EP3198546A1 - Transaction method - Google Patents

Transaction method

Info

Publication number
EP3198546A1
EP3198546A1 EP15771857.8A EP15771857A EP3198546A1 EP 3198546 A1 EP3198546 A1 EP 3198546A1 EP 15771857 A EP15771857 A EP 15771857A EP 3198546 A1 EP3198546 A1 EP 3198546A1
Authority
EP
European Patent Office
Prior art keywords
authentication server
time
service
passwords
secure element
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP15771857.8A
Other languages
German (de)
French (fr)
Inventor
Caroline Grosser
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient Mobile Security GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Publication of EP3198546A1 publication Critical patent/EP3198546A1/en
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/085Payment architectures involving remote charge determination or related payment systems
    • G06Q20/0855Payment architectures involving remote charge determination or related payment systems involving a third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions

Definitions

  • the present invention relates to a transaction method.
  • the present invention relates to a method for anonymous
  • a service used may be, for example, the acquisition of a music file and / or a text document.
  • Authentication agent uses a disk.
  • Authentication service known, which perform as a service the authentication of a person for a service, such as a cloud service.
  • Such authentication service providers are also known as "Authentication as a Service Providers" (AaaS) .Overhead for a cloud service claiming an authentication service provider is that it is no longer necessary for authentication
  • Such services require that users be required to charge a credit account with the service.
  • the credit account is necessary because the settlement of small amounts due to the high transaction fees is generally unattractive. Creating the credit account at the service requires the user to reveal their identity. Only so is a secure association between
  • an anonymous payment method is known from the prior art, in which the user buys a credit card with a PIN with cash, wherein this PIN is assigned a corresponding amount of money.
  • this prepaid card for example, a PaysafeCard
  • the cited prior art has the disadvantage that there is no payment method with which it is anonymously possible to pay small amounts. Because even with the anonymous payment method with the prepaid card, it is always necessary to pay a certain minimum amount. In addition, the user is usually not willing to enter his PIN for paying small amounts. Presentation of the invention
  • the object is achieved by a method according to
  • the invention is based on the idea of providing an authentication server as a link between a secure element, a payment device and a service device such that it is possible with the secure element to make an anonymous payment at the service device.
  • the method of anonymously performing a transaction comprises establishing a first connection between a secure element and an authentication server, establishing a second connection between the authentication server and a payment device, transferring an amount of money from the secure element to the payment via the authentication server Means, generating at least one one-time password (OTP), wherein the number of one-time passwords corresponds to the transferred amount of money, and sending the at least one one-time password
  • OTP one-time password
  • a “secure element” is a unit in a mobile device in which data can be stored in a particularly secure manner
  • the secure element can have different form factors
  • the secure element can be a chip permanently installed in the mobile device, a SIM card and / or or a (micro-) SD card
  • the "mobile device” is, for example, a mobile phone, a tablet PC or the like.
  • the mobile device is provided with an interface, in particular with a contactless interface, for example via GSM and / or WLAN, and / or a contact-type interface.
  • An “authentication server” in the sense of the invention is used to authenticate a user to another service, such as the payment device and / or the service device. [Weitere Card] Other tasks of the authentication server can be: care of several different service devices,
  • Decryption of received data payment of one-time passwords at the payment facility, verification of payment (successful redemption), generation of one-time passwords (OTPs), treatment of one-time passwords with the one-way function (eg hash), buffering of one-time passwords lists (OTP
  • One-time passwords to the corresponding desired service device transmission of the one-way function-treated one-time passwords (hashed OTPs) to the corresponding desired service device, Encrypting the one-time passwords (eg with a public key of the secure element), transmission of the encrypted original one-time password list to the secure element
  • a user can preferably make a payment anonymously Transfer money to the payment facility of a PaysafeCard
  • Alternative payment methods such as a prepaid credit card or the like are also possible.
  • the service facility provides a service upon receipt of the payment.
  • an amount once paid to the payment facility may be used to service a variety of service facilities. It is also possible that the amount may be used in a single service facility to account for a variety of different
  • the authentication server it is not necessary for the authentication server to permanently store the one-time passwords and / or the one-way passwords encrypted with the one-way function. Because the one-time passwords can be stored in the secure element and those with the
  • One-way function encrypted one-time passwords can be used in the
  • Service device to be stored. Furthermore, the Security requirements for the service device is not particularly high, since it is only necessary in this store the encrypted using the one-way passwords. If someone is the
  • Service means the original one-time password, i. without being encrypted with the one-way function to transmit.
  • the one-way function is a hash function according to one embodiment.
  • Such hash functions are known in cryptology and are characterized, inter alia, by the fact that it is practically impossible to find an input value for a given output value. In other words, it is relatively easy to get out of one
  • the one-time password may be preceded by a random string before being encrypted.
  • This method is also referred to as "cold" in cryptology, and describes a method in which the randomly chosen string is appended to the one-time password prior to applying the hash function. Using the random string in conjunction with the hashing function increases the security of the method additionally.
  • the generated one-time passwords may have an expiration date be provided in order to limit the access to the service of the service device in time.
  • the payment device confirms after receipt of the amount of money from the secure element (via the authentication server) the receipt of the amount of money at the authentication server. In this way, the arrives
  • Authentication server can have this amount. Furthermore, the service facility is informed by the authentication server of the payment received since the authentication server is aware that payment has been made. The actual transfer of money to the service facility can be done by methods known in the art.
  • Authentication server that at least one one-time password to the secure element, wherein the transmission of the one-time password to the secure element can preferably be encrypted.
  • the at least one one-time password is sent to the secure element without being encrypted with the one-way function.
  • the secure element is aware of the "original" one-time password and can use it to call a service at the service facility, thus authorizing a secure and easy one
  • the at least one one-time password is generated by the authentication server.
  • the authentication server after he has been informed that the payment device has received the amount of money to start generating the one-time passwords. This increases the security of the transaction process, since the payment device has no knowledge of the one-time passwords.
  • the authentication server can make a list with the
  • One-time passwords and passwords encrypted with the one-way function can advantageously serve to ensure an association between the passwords and the passwords encrypted with the one-way function.
  • the authentication server sends the at least one one-time password encrypted with the one-way function to the service device via the third connection. In this way it is ensured that the service device receives the one-way function encrypted one-time passwords directly from the authentication server.
  • the number of passwords may correspond to the amount of money. In this way, it is possible to divide a once paid to the payment facility amount of money in any number of individual amounts and assign each item a one-time password. It is possible that a one-time password always equals an equal amount of money, for example, two cents. Alternatively, it is possible for each one-time password to have a different height
  • Amount of money equals. In this way can be different
  • the service device has a list of one-way function encrypted and unused one-time passwords. These unused one-time passwords are used to pay a monetary amount to the service facility.
  • the secure element sends a non-encrypted with the one-time function
  • the service device applies the one-way function to the password.
  • the service facility recognizes that a valid payment intent exists and allows the requested service to be claimed from it.
  • One-time passwords (to which the on-way function has not been applied) are transmitted to the service facility.
  • the number of transmitted one-time passwords then corresponds to the amount to be paid.
  • Fig. 1 shows a schematic sequence of an inventive
  • Fig. 2 shows a schematic sequence of an inventive
  • Fig. 3 shows a sequence of a method according to the invention.
  • Fig. 1 shows schematically a procedure when transferring a sum of money from a secure element 10 to a payment device.
  • a first connection 20 is established between the secure element 10 and an authentication server 12 via an air interface (GSM / WLAN).
  • the secure element 10 notifies the authentication server 12 of its intention to pay a cash amount to a payment facility (payment facility) 14.
  • the authentication server 12 against which the secure element 10 has authenticated, establishes a second connection 22 with the payment device 14.
  • the second connection 22 may be constructed by known methods.
  • the amount of money is transmitted from the secure element 10 via the authentication server 12 to the payment device 14.
  • a prepaid credit card or other anonymous payment method such as a PaysafeCard may be used to pay.
  • the payment device confirms the receipt of the amount of money at the authentication server 12.
  • the authentication server 12 As soon as the authentication server 12 has been informed about the receipt of payment by the payment device 14 by means of the second connection 22, the authentication server 12 generates one-time passwords in accordance with the amount of the paid-in amount. If, for example, 10 euros were transferred to the payment facility, then the
  • Authentication server with a denomination of 2 et / password a total of 500 one-time passwords. The person in the knowledge of these one-time passwords can use them to pay for or to use a service 16 at authorized service facilities.
  • the one-time passwords are subsequently used by the
  • Authentication server 12 with a one-way function, such as a hash function, encrypted.
  • a one-way function such as a hash function
  • the one-time passwords may be supplemented with a random string before being encrypted. This approach is also called “strings" in cryptography
  • One-time passwords have a limited validity.
  • all one-time passwords encrypted with the one-way function are sent to a service device 16 or to a plurality of different ones
  • One-time passwords as well as one-way passwords encrypted with the one-way function are also encrypted with the one-way function.
  • the first connection 20 may be a secure connection.
  • the secure element 10 is in possession of the one-time passwords after transmitting the one-time passwords. To a paid service of
  • a fourth connection 28 is established between the secure element 10 and the service device 16.
  • the secure element 10 sends a one-time password to the service device 16.
  • the service device 16 applies the one-way function to the one-time password sent by the secure element 10.
  • the service device 16 checks whether it is stored with a one-way function encrypted one-time password that matches the password just encrypted with the one-way function. Conversely, if a match of the passwords is detected, this means, conversely, that the one-time password has not yet been used and, consequently, this can be used to make use of the service 16.
  • several "original" one-time passwords may be sent to the service facility 16 from the secure element 10. The number of one-time passwords corresponds to the amount of payable
  • FIG. 3 shows a flow chart which shows the sequence of the
  • a first connection 20 is established between a secure element 10 and an authentication server 12.
  • a second connection 22 between the authentication server 12 and a payment device 14 is established. Once these two links 10, 12 have been made, a monetary amount is transferred from the secure element 10 to the payment device 14 via the authentication server 12.
  • the payment device 14 confirms in a subsequent step S4 the receipt of the amount of money at the authentication server 12.
  • the authentication server 12 In a next step S5, the authentication server 12 generates at least one one-time password, the number of one-time passwords corresponding to the amount of money transferred to the payment device 14.
  • the authentication server 12 sends the at least one one-time password to a service device 16 via a third connection 24, wherein the one-time password is only sent after it has been encrypted with a one-way function (hash function).
  • the "original" one-time passwords can be sent to the secure element 10.
  • the conclusion of the transaction takes place, as shown in Fig. 2, by the secure element 10 via a fourth connection 28, which can be built analogously to the first connection 20, one of the transmitted in step S7 passwords to the service device 16.
  • the passwords can be stored in the secure element. This makes it difficult for third parties to illegally access the passwords in the secure element 10.
  • the service device 16 can check whether the one-time password has already been used
  • One-time password is valid. If it is a valid password, then after applying the one-time function to the
  • One-time password a match with a stored at the service device 16 password.
  • the service of the service device 16 can be used by the secure element 10.
  • Authentication server 12 verify that password duplication occurs after applying the one-way function. Should
  • the authentication server 12 generates another one-time password and applies the one-way function to this new one-way password.

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Computer Security & Cryptography (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

The invention relates to a method for anonymously making a transaction. In said method, one-time passwords encrypted using a one-way function are sent from an authentication server (12) to a service device (16). The non-encrypted one-time passwords are sent by the authentication server (12) to a secure element (10) of a mobile device. In order for a transaction to be made, the secure element (10) sends the one-time passwords to the service device (16).

Description

Transaktionsverfahren  transaction process
Technisches Gebiet Die vorliegende Erfindung betrifft ein Transaktionsverfahren. Insbesondere betrifft die vorliegende Erfindung ein Verfahren zum anonymen Technical Field The present invention relates to a transaction method. In particular, the present invention relates to a method for anonymous
Durchführen einer Transaktion. Perform a transaction.
Beim Durchführen von Online-Transaktionen haben Nutzer bisweilen den Wunsch, dass ihre Identität gegenüber einem Dienstleister, bei dem sie einen Dienst in Anspruch nehmen, geschützt bzw. verborgen bleibt. When conducting online transactions, users sometimes wish to have their identity protected or hidden from a service provider in which they use a service.
Bei einem in Anspruch genommenen Dienst kann es sich beispielsweise um den Erwerb einer Musik-Datei und/ oder eines Textdokumentes handeln. A service used may be, for example, the acquisition of a music file and / or a text document.
Stand der Technik State of the art
Aus der DE 10 2011 119 103 AI ist ein Verfahren zum Authentisieren einer Person gegenüber einer Serverinstanz bekannt, wobei die Person als From DE 10 2011 119 103 AI a method for authenticating a person to a server instance is known, the person as
Authentisierungsmittel einen Datenträger verwendet. Authentication agent uses a disk.
Ferner sind im Stand der Technik sogenannte Furthermore, in the prior art so-called
Authentifizierungsdienstleister bekannt, welche als Dienstleistung die Authentisierung einer Person für einen Dienst vornehmen, beispielsweise für einen Cloud-Dienst. Solche Authentifizierungsdienstleister sind auch als ,, Authentication-as-a-Service-Dienstleister" (AaaS) bekannt. Vorteil für einen Cloud-Dienst, der einen Authentifizierungsdienstleister in Anspruch nimmt, ist, dass er sich nicht mehr um bei der Authentifizierung notwendige  Authentication service known, which perform as a service the authentication of a person for a service, such as a cloud service. Such authentication service providers are also known as "Authentication as a Service Providers" (AaaS) .Overhead for a cloud service claiming an authentication service provider is that it is no longer necessary for authentication
Sicherheitsanforderungen kümmern muss. Dies erledigt der Security requirements must take care of. This is done by the
Authentifizierungsdienstleister für ihn. Weiterhin sind im Stand der Technik kostenpflichtige Dienste bekannt, die auf Basis der Anzahl der Zugriffe oder der Zugriffsdauer abrechnen. Authentication service provider for him. Furthermore, in the prior art, fee-based services are known which charge on the basis of the number of accesses or the duration of access.
Derartige Dienste verlangen, dass es für Nutzer erforderlich ist, bei dem Dienst ein Guthabenkonto aufzuladen. Das Guthabenkonto ist notwendig, weil das Abrechnen von Kleinstbeträgen aufgrund der hohen anfallenden Transaktionsgebühren grundsätzlich unattraktiv ist. Beim Anlegen des Guthabenkontos bei dem Dienst ist es erforderlich, dass der Nutzer seine Identität preisgibt. Nur so ist eine sichere Zuordnung zwischen Such services require that users be required to charge a credit account with the service. The credit account is necessary because the settlement of small amounts due to the high transaction fees is generally unattractive. Creating the credit account at the service requires the user to reveal their identity. Only so is a secure association between
Guthabenkonto und Nutzer möglich. Für Nutzer eines solchen Credit balance and users possible. For users of such
kostenpflichtigen Dienstes ist es jedoch lästig, stets vorab einen paid service, however, it is annoying, always one in advance
Guthabenbetrag bei dem Dienst zu hinterlegen, um diesen Guthabenbetrag dann nach und nach in Anspruch zu nehmen.  Deposit amount to the service to then take this credit amount gradually to complete.
Weiterhin ist aus dem Stand der Technik ein anonymes Bezahlverfahren bekannt, bei welchem der Nutzer mit Bargeld eine Guthabenkarte mit einer PIN kauft, wobei dieser PIN ein entsprechender Geldbetrag zugeordnet ist. Mit dieser Guthabenkarte (beispielsweise einer PaysafeCard) ist es möglich, anonym einen Geldbetrag zu bezahlen, indem zur Bezahlung die PIN der Guthabenkarte eingegeben wird. Furthermore, an anonymous payment method is known from the prior art, in which the user buys a credit card with a PIN with cash, wherein this PIN is assigned a corresponding amount of money. With this prepaid card (for example, a PaysafeCard), it is possible to anonymously pay a sum of money by the PIN of the prepaid card is entered for payment.
Zusammenfassend weist der genannte Stand der Technik den Nachteil auf, dass es kein Bezahlverfahren gibt, mit dem es anonym möglich ist, kleine Beträge zu bezahlen. Denn auch bei dem anonymen Bezahlverfahren mit der Guthabenkarte ist es erforderlich stets einen gewissen Minimalbetrag zu bezahlen. Zudem ist der Nutzer in der Regel nicht gewillt, zum Bezahlen von Kleinstbeträgen stets seine PIN einzugeben. Darstellung der Erfindung In summary, the cited prior art has the disadvantage that there is no payment method with which it is anonymously possible to pay small amounts. Because even with the anonymous payment method with the prepaid card, it is always necessary to pay a certain minimum amount. In addition, the user is usually not willing to enter his PIN for paying small amounts. Presentation of the invention
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zum anonymen Durchführen einer Transaktion zur Verfügung zu stellen, das die bekannten Probleme aus dem Stand der Technik löst und ferner dazu geeignet ist, ein sicheres und anonymes Bezahlen von sowohl großen als auch kleinen Beträgen zu ermöglichen. It is an object of the present invention to provide a method of anonymously performing a transaction which overcomes the known problems of the prior art and which is further adapted to enable secure and anonymous payment of both large and small amounts.
Die Lösung der Aufgabe erfolgt durch ein Verfahren gemäß dem The object is achieved by a method according to
Gegenstand des Patentanspruchs 1. Bevorzugte Ausgestaltungen des erfindungsgemäßen Verfahrens ergeben sich aus den Unteransprüchen. The subject of claim 1. Preferred embodiments of the method according to the invention will become apparent from the dependent claims.
Die Erfindung basiert auf dem Gedanken einen Authentifizierungsserver als Bindeglied zwischen einem sicheren Element, einer Payment-Einrichtung und einer Diensteinrichtung derart vorzusehen, dass es mit dem sicheren Element möglich ist, anonym bei der Diensteinrichtung eine Zahlung vorzunehmen. The invention is based on the idea of providing an authentication server as a link between a secure element, a payment device and a service device such that it is possible with the secure element to make an anonymous payment at the service device.
Demgemäß umfasst das Verfahren zum anonymen Durchführen einer Transaktion das Herstellen einer ersten Verbindung zwischen einem sicheren Element und einem Authentifizierungsserver, das Herstellen einer zweiten Verbindung zwischen dem Authentifizierungsserver und einer Payment-Einrichtung, das Übertragen eines Geldbetrages von dem sicheren Element über den Authentifizierungsserver an die Payment-Einrichtung, das Erzeugen von zumindest einem Einmalpasswort (One Time Password) OTP, wobei die Anzahl der Einmalpasswörter dem übertragenen Geldbetrag entspricht, und das Senden des zumindest einen Einmalpassworts an Accordingly, the method of anonymously performing a transaction comprises establishing a first connection between a secure element and an authentication server, establishing a second connection between the authentication server and a payment device, transferring an amount of money from the secure element to the payment via the authentication server Means, generating at least one one-time password (OTP), wherein the number of one-time passwords corresponds to the transferred amount of money, and sending the at least one one-time password
(zumindest) eine Diensteinrichtung über eine dritte Verbindung, wobei das Einmalpasswort erst gesendet wird nachdem es mit einer Einwegfunktion verschlüsselt wurde. (at least) a service device via a third connection, wherein the One-time password is sent only after it has been encrypted with a one-way function.
Ein„sicheres Element" ist eine Einheit in einer mobilen Einrichtung, in der Daten besonders sicher gespeichert werden können. Das sichere Element kann unterschiedliche Formfaktoren aufweisen. Beispielsweise kann das sichere Element ein fest in der mobilen Einrichtung eingebauter Chip, eine SIM-Karte und/ oder eine (micro-)SD-Karte sein. Gemäß der Erfindung handelt es sich bei der„mobilen Einrichtung" beispielsweise um ein Mobilfunktelefon, einen Tablet-PC oder dergleichen. Die mobile Einrichtung ist mit einer Schnittstelle, insbesondere mit einer Kontaktlosschnittstelle, beispielsweise über GSM und/ oder WLAN, und/ oder einer kontaktbehafteten Schnittstelle versehen. A "secure element" is a unit in a mobile device in which data can be stored in a particularly secure manner The secure element can have different form factors For example, the secure element can be a chip permanently installed in the mobile device, a SIM card and / or or a (micro-) SD card According to the invention, the "mobile device" is, for example, a mobile phone, a tablet PC or the like. The mobile device is provided with an interface, in particular with a contactless interface, for example via GSM and / or WLAN, and / or a contact-type interface.
Ein„ Authentifizier ungsserver" im Sinne der Erfindung wird dazu verwendet um einen Nutzer gegenüber einem weiteren Dienst, wie beispielsweise der Payment-Einrichtung und/ oder der Diensteinrichtung zu authentifizieren. Weitere Aufgaben des Authentifizierungsserver können sein: Betreuung mehrerer verschiedener Diensteinrichtungen, An "authentication server" in the sense of the invention is used to authenticate a user to another service, such as the payment device and / or the service device. [Weitere Weitere] Other tasks of the authentication server can be: care of several different service devices,
Entschlüsselung der empfangenen Daten, Einlösen von Einmalpasswörtern bei der Payment-Einrichtung, Überprüfung der Zahlung (erfolgreiches Einlösen), Generieren von Einmalpasswörtern (OTPs), Behandlung der Einmalpasswörter mit der Einwegfunktion (z.B. Hash), Zwischenspeichern von Einmalpasswörter-Listen (OTP | Hash (OTP)), Zuordnung der  Decryption of received data, payment of one-time passwords at the payment facility, verification of payment (successful redemption), generation of one-time passwords (OTPs), treatment of one-time passwords with the one-way function (eg hash), buffering of one-time passwords lists (OTP | hash) OTP)), assignment of the
Einmalpasswörter zu der entsprechend gewünschten Diensteinrichtung, Übermittlung der mit Einwegfunktion behandelten Einmalpasswörter (gehashte OTPs) an die entsprechende gewünschte Diensteinrichtung, Ver schlüsseln der Einmalpasswörter (z.B. mit einem öffentlichen Schlüssel (Public Key) des Sicheren Elements), Übermittlung der verschlüsselten ursprünglichen Einmalpasswortliste an das Sichere Element Bei einer„Payment-Einrichtung" kann ein Nutzer eine Bezahlung bevorzugt anonym vornehmen. Dazu kann der Nutzer beispielsweise mittels einer PaysafeCard Geld an die Payment-Einrichtung transferieren. Alternative Bezahlverfahren, wie beispielsweise mittels einer Prepaid-Kreditkarte oder dergleichen sind ebenfalls möglich. One-time passwords to the corresponding desired service device, transmission of the one-way function-treated one-time passwords (hashed OTPs) to the corresponding desired service device, Encrypting the one-time passwords (eg with a public key of the secure element), transmission of the encrypted original one-time password list to the secure element In a "payment device", a user can preferably make a payment anonymously Transfer money to the payment facility of a PaysafeCard Alternative payment methods such as a prepaid credit card or the like are also possible.
Unter einer„Diensteinrichtung" im Sinne der Erfindung wird eine Under a "service facility" within the meaning of the invention is a
Einrichtung verstanden, für die die anonyme Bezahlung gedacht ist. Im Gegenzug stellt die Diensteinrichtung nach Erhalt der Bezahlung einen Dienst zur Verfügung. Selbstverständlich ist es möglich, dass ein einmal an die Payment-Einrichtung entrichteter Betrag dazu verwendet wird, um bei einer Vielzahl an Diensteinrichtungen eingesetzt zu werden. Auch ist es möglich, dass der Betrag bei einer einzelnen Diensteinrichtung dazu verwendet werden kann, um für eine Vielzahl an verschiedenen Understood institution for which the anonymous payment is intended. In return, the service facility provides a service upon receipt of the payment. Of course, it is possible for an amount once paid to the payment facility to be used to service a variety of service facilities. It is also possible that the amount may be used in a single service facility to account for a variety of different
Diensten/ Waren zu bezahlen. Services / goods to pay.
Mit dem erfindungsgemäßen Verfahren ist es besonders vorteilhaft möglich, ein anonymes Bezahlverfahren zur Verfügung zu stellen, da die With the method according to the invention it is particularly advantageous possible to provide an anonymous payment method, since the
Diensteinrichtung und die Payment-Einrichtung voneinander unabhängig sind. Ferner ist es für den Authentifizierungsserver nicht notwendig, dass er die Einmalpasswörter und/ oder die mit der Einwegfunktion verschlüsselten Einwegpasswörter dauerhaft speichert. Denn die Einmalpasswörter können in dem sicheren Element gespeichert werden und die mit der Service facility and the payment device are independent of each other. Furthermore, it is not necessary for the authentication server to permanently store the one-time passwords and / or the one-way passwords encrypted with the one-way function. Because the one-time passwords can be stored in the secure element and those with the
Einwegfunktion verschlüsselten Einmalpasswörter können bei der One-way function encrypted one-time passwords can be used in the
Diensteinrichtung gespeichert werden. Weiterhin sind die Sicherheitsanforderungen für die Diensteinrichtung nicht besonders hoch, da es in dieser lediglich notwendig ist, die mittels der Einwegfunktion verschlüsselten Passwörter zu speichern. Wenn jemand die Service device to be stored. Furthermore, the Security requirements for the service device is not particularly high, since it is only necessary in this store the encrypted using the one-way passwords. If someone is the
Diensteinrichtung nutzen möchte, ist es jedoch notwendig, an die However, it is necessary to contact the service provider
Diensteinrichtung das ursprüngliche Einmalpasswort, d.h. ohne dass es mit der Einwegfunktion verschlüsselt wurde, zu übertragen. Service means the original one-time password, i. without being encrypted with the one-way function to transmit.
Bei der Einwegfunktion handelt es sich gemäß einer Ausführungsform um eine Hashfunktion. Derartige Hashfunktionen sind in der Kryptologie bekannt und zeichnen sich unter anderem dadurch aus, dass es praktisch unmöglich ist zu einem gegebenen Ausgabewert einen Eingabewert zu finden. In anderen Worten ist es relativ einfach möglich aus einem The one-way function is a hash function according to one embodiment. Such hash functions are known in cryptology and are characterized, inter alia, by the fact that it is practically impossible to find an input value for a given output value. In other words, it is relatively easy to get out of one
bekannten Eingabewert einen Ausgabewert zu berechnen. Der umgekehrte Fall, also die Berechnung eines Eingabewertes aus einem Ausgabewert, ist praktisch unmöglich. Somit kann sichergestellt werden, dass nur derjenige den Geldbetrag bei der Diensteinrichtung einlösen kann, der in Kenntnis des zumindest einen ursprünglichen Einmalpasswortes ist. Es ist nicht ausreichend, das mit der Hashfunktion gehashte Einmalpasswort an die Diensteinrichtung zu übermitteln. known input value to calculate an output value. The reverse case, ie the calculation of an input value from an output value, is practically impossible. Thus, it can be ensured that only the one who can redeem the amount of money in the service, which is in knowledge of at least one original one-time password. It is not sufficient to transmit the hash function hashed one-time password to the service facility.
Um die Sicherheit weiter zu erhöhen, kann das Einmalpasswort vor dem Verschlüsseln mit einer zufällig gewählten Zeichenfolge versehen werden. Dieses Verfahren wird in der Kryptologie auch als„salten" bezeichnet und beschreibt ein Verfahren bei dem die zufällig gewählte Zeichenfolge an das Einmalpasswort vor dem Anwenden der Hashfunktion angehängt wird. Durch Verwenden der zufällig gewählten Zeichenfolge in Verbindung mit der Hashfunktion erhöht sich die Sicherheit des Verfahrens zusätzlich. To further increase security, the one-time password may be preceded by a random string before being encrypted. This method is also referred to as "cold" in cryptology, and describes a method in which the randomly chosen string is appended to the one-time password prior to applying the hash function. Using the random string in conjunction with the hashing function increases the security of the method additionally.
Ferner können die erzeugten Einmalpasswörter mit einem Verfallsdatum versehen werden, um den Zugriff auf den Dienst der Diensteinrichtung zeitlich zu beschränken. Furthermore, the generated one-time passwords may have an expiration date be provided in order to limit the access to the service of the service device in time.
Gemäß einer weiteren besonders bevorzugten Ausführungsform bestätigt die Payment-Einrichtung nach dem Erhalt des Geldbetrags von dem sicheren Element (über den Authentifizierungsserver) den Erhalt des Geldbetrages bei dem Authentifizierungsserver. Auf diese Weise gelangt der According to a further particularly preferred embodiment, the payment device confirms after receipt of the amount of money from the secure element (via the authentication server) the receipt of the amount of money at the authentication server. In this way, the arrives
Authentifizierungsserver darüber in Kenntnis, dass die Payment- Einrichtung den Geldbetrag erhalten hat und somit der Authentication server informed that the payment device has received the amount of money and thus the
Authentifizierungsserver über diesen Betrag verfügen kann. Ferner wird die Diensteinrichtung von dem Authentisierungsserver über die erhaltene Zahlung informiert, da der Authentisierungsserver darüber in Kenntnis ist, dass gezahlt wurde. Der tatsächliche Geldtransfer an die Diensteinrichtung kann mittels im Stand der Technik bekannter Verfahren erfolgen. Authentication server can have this amount. Furthermore, the service facility is informed by the authentication server of the payment received since the authentication server is aware that payment has been made. The actual transfer of money to the service facility can be done by methods known in the art.
Gemäß einer weiteren Ausführungsform sendet der According to another embodiment, the
Authentifizierungsserver das zumindest eine Einmalpasswort an das sichere Element, wobei das Senden des Einmalpasswortes an das sichere Element bevorzugt verschlüsselt erfolgen kann. Das zumindest eine Einmalpasswort wird an das sichere Element gesendet, ohne dass es mit der Einwegfunktion verschlüsselt wurde. Auf diese Weise ist das sichere Element in Kenntnis des „ursprünglichen" Einmalpasswortes und kann dieses dazu verwenden, um einen Dienst bei der Diensteinrichtung in Anspruch zu nehmen. Auf diese Weise wird ein besonders sicheres und einfaches Autorisieren einer  Authentication server that at least one one-time password to the secure element, wherein the transmission of the one-time password to the secure element can preferably be encrypted. The at least one one-time password is sent to the secure element without being encrypted with the one-way function. In this way, the secure element is aware of the "original" one-time password and can use it to call a service at the service facility, thus authorizing a secure and easy one
Transaktion ermöglicht. Transaction allows.
Ferner wird gemäß einer weiteren besonders bevorzugten Ausführungsform das zumindest eine Einmalpasswort von dem Authentifizierungsserver erzeugt. Auf diese Weise kann der Authentifizierungsserver, nachdem er darüber in Kenntnis gesetzt wurde, dass die Payment-Einrichtung den Geldbetrag erhalten hat, mit der Generierung der Einmalpasswörter beginnen. Dadurch erhöht sich die Sicherheit des Transaktionsverfahrens, da die Payment-Einrichtung keine Kenntnis von den Einmalpasswörtern hat. Furthermore, according to a further particularly preferred embodiment, the at least one one-time password is generated by the authentication server. This way, the authentication server, after he has been informed that the payment device has received the amount of money to start generating the one-time passwords. This increases the security of the transaction process, since the payment device has no knowledge of the one-time passwords.
Weiterhin kann der Authentifizierungsserver eine Liste mit den Furthermore, the authentication server can make a list with the
Einmalpasswörtern und mit den mit der Einwegfunktion verschlüsselten Passwörtern aufweisen. Das Vorhalten einer solchen Liste kann vorteilhaft dazu dienen, dass eine Zuordnung zwischen den Passwörtern und den mit der Einwegfunktion verschlüsselten Passwörtern sichergestellt wird. One-time passwords and passwords encrypted with the one-way function. The provision of such a list can advantageously serve to ensure an association between the passwords and the passwords encrypted with the one-way function.
Gemäß einer weiteren besonders bevorzugten Ausführungsform sendet der Authentifizierungsserver das zumindest eine mit der Einwegfunktion verschlüsselte Einmalpasswort an die Diensteinrichtung über die dritte Verbindung. Auf diese Weise wird sichergestellt, dass die Diensteinrichtung die mit der Einwegfunktion verschlüsselten Einmalpasswörter direkt von dem Authentifizierungsserver erhält. According to a further particularly preferred embodiment, the authentication server sends the at least one one-time password encrypted with the one-way function to the service device via the third connection. In this way it is ensured that the service device receives the one-way function encrypted one-time passwords directly from the authentication server.
Gemäß einer weiteren Ausführungsform kann die Anzahl der Passwörter der Höhe des Geldbetrages entsprechen. Auf diese Weise ist es möglich, einen einmal an die Payment-Einrichtung entrichteten Geldbetrag in beliebig viele Einzelbeträge aufzuteilen und jedem Einzelbetrag ein Einmalpasswort zuzuordnen. Es ist möglich, dass ein Einmalpasswort stets einem gleich großen Geldbetrag entspricht, beispielsweise zwei Cent. Alternativ ist es möglich, dass jedes Einmalpasswort einem unterschiedlich hohen According to another embodiment, the number of passwords may correspond to the amount of money. In this way, it is possible to divide a once paid to the payment facility amount of money in any number of individual amounts and assign each item a one-time password. It is possible that a one-time password always equals an equal amount of money, for example, two cents. Alternatively, it is possible for each one-time password to have a different height
Geldbetrag entspricht. Auf diese Weise können unterschiedliche Amount of money equals. In this way can be different
Stückelungen leichter verwirklicht werden. Gemäß einer Ausführungsform weist die Diensteinrichtung eine Liste mit mit der Einwegfunktion verschlüsselten und noch nicht verwendeten Einmalpasswörtern auf. Diese noch nicht verwendeten Einmalpasswörter werden dazu verwendet, um einen Geldbetrag an die Diensteinrichtung zu entrichten. Dazu sendet - gemäß einer weiteren Ausführungsform - das sichere Element ein nicht mit der Einmalfunktion verschlüsseltes Denominations are more easily realized. According to one embodiment, the service device has a list of one-way function encrypted and unused one-time passwords. These unused one-time passwords are used to pay a monetary amount to the service facility. For this purpose - according to another embodiment - the secure element sends a non-encrypted with the one-time function
Einmalpasswort (aus der Liste der noch nicht verwendeten One-time password (from the list of not yet used
Einmalpasswörter) an die Diensteinrichtung. Auf diese Weise wird ein besonders einfaches und zuverlässiges Bezahlverfahren verwirklicht, da es für die Entrichtung eines Betrages lediglich notwendig ist, ein noch nicht mit der Einmalfunktion verschlüsseltes Einmalpasswort an die One-time passwords) to the service facility. In this way, a particularly simple and reliable payment method is realized, since it is only necessary for the payment of an amount, one not yet encrypted with the one-time function one-time password to the
Diensteinrichtung zu senden. Um zu überprüfen, ob es sich bei dem To send service facility. To check if it is at the
Einmalpasswort um ein gültiges Einmalpasswort handelt, welches noch nicht verbraucht wurde, wendet die Diensteinrichtung die Einwegfunktion auf das Passwort an. In dem Fall, dass die beiden Passwörter, auf welche die Ein wegfunktion jeweils angewendet wurde, übereinstimmen, erkennt die Diensteinrichtung, dass eine gültige Zahlungsabsicht vorliegt und lässt zu, dass der gewünschte Dienst bei ihr in Anspruch genommen werden kann. Um einen höheren Betrag bei der Diensteinrichtung zu entrichten, kann es gemäß einer Ausführungsform erforderlich sein, dass mehrere Once the password is a valid one-time password that has not yet been consumed, the service device applies the one-way function to the password. In the event that the two passwords to which the on-away function has been respectively applied agree, the service facility recognizes that a valid payment intent exists and allows the requested service to be claimed from it. In order to pay a higher amount at the service facility, according to one embodiment, it may be necessary to have several
Einmalpasswörter (auf die die Ein wegfunktion nicht angewendet wurde) an die Diensteinrichtung übermittelt werden. Die Anzahl der übermittelten Einmalpasswörter entspricht dann dem zu entrichtenden Betragt. Kurze Beschreibung der Zeichnungen One-time passwords (to which the on-way function has not been applied) are transmitted to the service facility. The number of transmitted one-time passwords then corresponds to the amount to be paid. Brief description of the drawings
Fig. 1 zeigt einen schematischen Ablauf eines erfindungsgemäßen Fig. 1 shows a schematic sequence of an inventive
Geldaufladeverfahrens,  Geldaufladeverfahrens,
Fig. 2 zeigt einen schematischen Ablauf eines erfindungsgemäßen Fig. 2 shows a schematic sequence of an inventive
Bezahlverfahrens, und  Payment procedure, and
Fig. 3 zeigt einen Ablauf eines erfindungsgemäßen Verfahrens. Fig. 3 shows a sequence of a method according to the invention.
Ausführliche Beschreibung bevorzugter Ausführungsformen der Erfindung Detailed description of preferred embodiments of the invention
Im Folgenden erfolgt eine Beschreibung des erfindungsgemäßen Verfahrens anhand rein beispielhafter Ausführungsformen unter Bezugnahme auf die beigefügten Figuren 1 bis 3. Below is a description of the method according to the invention with reference to purely exemplary embodiments with reference to the accompanying figures 1 to 3.
In diesem Zusammenhang zeigt Fig. 1 schematisch einen Ablauf beim Übertragen eines Geldbetrages von einem sicheren Element 10 an eine Payment-Einrichtung. Dazu wird zunächst eine erste Verbindung 20 zwischen dem sicheren Element 10 und einem Authentifizierungsserver 12 über eine Luftschnittstelle (GSM/ WLAN) hergestellt. Das sichere Element 10 teilt dem Authentifizierungsserver 12 ihre Absicht mit, einen Geldbetrag bei einer Payment-Einrichtung (Bezahleinrichtung) 14 zu entrichten. Daraufhin stellt der Authentifizierungsserver 12, gegenüber welchem sich das sichere Element 10 authentifiziert hat, eine zweite Verbindung 22 mit der Payment- Einrichtung 14 her. Die zweite Verbindung 22 kann mittels bekannter Verfahren aufgebaut werden. In this connection, Fig. 1 shows schematically a procedure when transferring a sum of money from a secure element 10 to a payment device. For this purpose, first a first connection 20 is established between the secure element 10 and an authentication server 12 via an air interface (GSM / WLAN). The secure element 10 notifies the authentication server 12 of its intention to pay a cash amount to a payment facility (payment facility) 14. Subsequently, the authentication server 12, against which the secure element 10 has authenticated, establishes a second connection 22 with the payment device 14. The second connection 22 may be constructed by known methods.
Anschließend wird der Geldbetrag von dem sicheren Element 10 über den Authentifizierungsserver 12 an die Payment-Einrichtung 14 übertragen. Um die Anonymität beim Bezahlen des Geldbetrages zu gewährleisten, kann zum Bezahlen beispielsweise eine Prepaid-Kreditkarte oder ein anderes anonymes Bezahlverfahren, wie beispielsweise eine PaysafeCard, verwendet werden. Sowie der Betrag bei der Payment-Einrichtung 14 entrichtet wurde, bestätigt die Payment-Einrichtung den Erhalt des Geldbetrages bei dem Authentifizierungsserver 12. Subsequently, the amount of money is transmitted from the secure element 10 via the authentication server 12 to the payment device 14. To ensure anonymity when paying the amount can For example, a prepaid credit card or other anonymous payment method such as a PaysafeCard may be used to pay. As soon as the amount has been paid to the payment device 14, the payment device confirms the receipt of the amount of money at the authentication server 12.
Sowie der Authentifizierungsserver 12 über den Zahlungseingang bei der Payment-Einrichtung 14 mittels der zweiten Verbindung 22 unterrichtet wurde, erzeugt der Authentifizierungsserver 12 entsprechend der Höhe des eingezahlten Betrages Einmalpasswörter. Wurden beispielsweise 10 Euro an die Payment-Einrichtung übertragen, so erzeugt der As soon as the authentication server 12 has been informed about the receipt of payment by the payment device 14 by means of the second connection 22, the authentication server 12 generates one-time passwords in accordance with the amount of the paid-in amount. If, for example, 10 euros were transferred to the payment facility, then the
Authentifizierungsserver bei einer Stückelung von 2 et/ Passwort insgesamt 500 Einmalpasswörter. Derjenige, der in Kenntnis dieser Einmalpasswörter ist, kann sie benutzen, um bei zugelassenen Diensteinrichtungen 16 zu bezahlen bzw. einen Dienst in Anspruch zu nehmen.  Authentication server with a denomination of 2 et / password a total of 500 one-time passwords. The person in the knowledge of these one-time passwords can use them to pay for or to use a service 16 at authorized service facilities.
Die Einmalpasswörter werden im Anschluss von dem The one-time passwords are subsequently used by the
Authentifizierungsserver 12 mit einer Einwegfunktion, wie beispielsweise einer Hashfunktion, verschlüsselt. Um die Sicherheit weiter zu erhöhen, können die Einmalpasswörter vor dem Verschlüsseln mit einer zufällig gewählten Zeichenfolge ergänzt werden. Diese Vorgehensweise wird in der Kryptologie auch als„Saiten" bezeichnet. Alternativ können die Authentication server 12 with a one-way function, such as a hash function, encrypted. To further increase security, the one-time passwords may be supplemented with a random string before being encrypted. This approach is also called "strings" in cryptography
Einmalpasswörter eine begrenzte zeitliche Gültigkeit aufweisen. In Abhängigkeit von dem Wunsch des Nutzers des sicheren Elements 10 werden alle mit der Einwegfunktion verschlüsselten Einmalpasswörter an eine Diensteinrichtung 16 oder an eine Vielzahl von verschiedenen One-time passwords have a limited validity. Depending on the desire of the user of the secure element 10, all one-time passwords encrypted with the one-way function are sent to a service device 16 or to a plurality of different ones
Diensteinrichtungen 16 übertragen. Alsdann ist die Diensteinrichtung 16 in Kenntnis der mit der Einwegfunktion verschlüsselten Einmalpasswörter und der Authentifizierungsserver ist in Kenntnis von sowohl den Services 16 transferred. Then the service device 16 is aware of the one-way function encrypted one-time passwords and the authentication server is aware of both the
„ursprünglichen" Einmalpasswörtern als auch den mit der Einwegfunktion verschlüsselten Einmalpasswörtern. Über die erste Verbindung 20 werden die„ursprünglichen" One-time passwords as well as one-way passwords encrypted with the one-way function.
Einmalpasswörter anschließend an das sichere Element 10 übertragen. Damit die Übertragung der Passwörter von dem Authentifizierungsserver 12 das sichere Element 10 über die erste Verbindung 20 sicher erfolgt, kann es sich bei der ersten Verbindung 20 um eine gesicherte Verbindung handeln.  One-time passwords are then transmitted to the secure element 10. So that the transmission of the passwords from the authentication server 12 to the secure element 10 via the first connection 20 is secure, the first connection 20 may be a secure connection.
Das sichere Element 10 ist nach dem Übertragen der Einmalpasswörter in Besitz der Einmalpasswörter. Um einen kostenpflichtigen Dienst der The secure element 10 is in possession of the one-time passwords after transmitting the one-time passwords. To a paid service of
Diensteinrichtung 16 zu nutzen, ist es erforderlich, dass gemäß der Höhe des Nutzungsentgeltes„ursprüngliche" Einmalpasswörter von dem sicheren Element 10 an die Diensteinrichtung 16 übertragen werden. Fig. 2 To use the service device 16, it is necessary that "original" one-time passwords are transmitted from the secure element 10 to the service device 16 according to the amount of the usage fee
veranschaulicht diesen Ablauf. illustrates this process.
Zunächst wird eine vierte Verbindung 28 zwischen dem sicheren Element 10 und der Diensteinrichtung 16 aufgebaut. Das sichere Element 10 sendet ein Einmalpasswort an die Diensteinrichtung 16. Die Diensteinrichtung 16 wendet die Einwegfunktion auf das von dem sicheren Element 10 gesendete Einmalpasswort an. Anschließend überprüft die Diensteinrichtung 16, ob bei ihr ein mit der Einwegfunktion verschlüsseltes Einmalpasswort hinterlegt ist, das mit dem soeben mit der Einwegfunktion verschlüsselten Passwort übereinstimmt. Wenn eine Übereinstimmung der Passwörter festgestellt wird, so bedeutet dies im Umkehrschluss, dass das Einmalpasswort noch nicht verwendet wurde und dieses folglich zur Nutzung des Dienstes der Diensteinrichtung 16 herangezogen werden kann. In Abhängigkeit von der Höhe des für die Nutzung der Diensteinrichtung 16 erforderlichen Geldbetrages, können mehrere„ursprüngliche" Einmalpasswörter an die Diensteinrichtung 16 von dem sicheren Element 10 gesendet werden. Die Anzahl der Einmalpasswörter entspricht der Höhe des zu zahlenden First, a fourth connection 28 is established between the secure element 10 and the service device 16. The secure element 10 sends a one-time password to the service device 16. The service device 16 applies the one-way function to the one-time password sent by the secure element 10. Subsequently, the service device 16 checks whether it is stored with a one-way function encrypted one-time password that matches the password just encrypted with the one-way function. Conversely, if a match of the passwords is detected, this means, conversely, that the one-time password has not yet been used and, consequently, this can be used to make use of the service 16. Depending on the amount of the required for the use of the service facility 16 Amount of money, several "original" one-time passwords may be sent to the service facility 16 from the secure element 10. The number of one-time passwords corresponds to the amount of payable
Geldbetrages. Monetary amount.
Fig. 3 zeigt ein Ablaufdiagramm, welches den Ablauf des FIG. 3 shows a flow chart which shows the sequence of the
erfindungsgemäßen Verfahrens darstellt. Bei diesem Verfahren wird in einem ersten Schritt Sl, wie oben bereits ausgeführt, eine erste Verbindung 20 zwischen einem sicheren Element 10 und einem Authentifizierungsserver 12 hergestellt. Anschließend wird in einem zweiten Schritt S2 eine zweite Verbindung 22 zwischen dem Authentifizierungsserver 12 und einer Payment-Einrichtung 14 hergestellt. Sowie diese beiden Verbindungen 10, 12 hergestellt wurden, wird ein Geldbetrag von dem sicheren Element 10 über den Authentifizierungsserver 12 an die Payment-Einrichtung 14 übertragen. represents the inventive method. In this method, in a first step S1, as already explained above, a first connection 20 is established between a secure element 10 and an authentication server 12. Subsequently, in a second step S2, a second connection 22 between the authentication server 12 and a payment device 14 is established. Once these two links 10, 12 have been made, a monetary amount is transferred from the secure element 10 to the payment device 14 via the authentication server 12.
Die Payment-Einrichtung 14 bestätigt in einem darauffolgenden Schritt S4 den Erhalt des Geldbetrages bei dem Authentifizierungsserver 12. The payment device 14 confirms in a subsequent step S4 the receipt of the amount of money at the authentication server 12.
Der Authentifizierungsserver 12 erzeugt in einem nächsten Schritt S5 zumindest ein Einmalpasswort, wobei die Anzahl der Einmalpasswörter dem an die Payment-Einrichtung 14 übertragenen Geldbetrag entspricht. In a next step S5, the authentication server 12 generates at least one one-time password, the number of one-time passwords corresponding to the amount of money transferred to the payment device 14.
In einem nächsten Schritt S6 sendet der Authentifizierungsserver 12 das zumindest eine Einmalpasswort an eine Diensteinrichtung 16 über eine dritte Verbindung 24, wobei das Einmalpasswort erst gesendet wird nachdem es mit einer Einwegfunktion (Hashfunktion) verschlüsselt wurde. Parallel dazu oder im Anschluss daran können in einem fakultativen Schritt S7 die„ursprünglichen" Einmalpasswörter an das sichere Element 10 gesendet werden. Der Abschluss der Transaktion erfolgt, wie in Fig. 2 dargestellt, indem das sichere Element 10 über eine vierte Verbindung 28, die analog der ersten Verbindung 20 auf gebaut werden kann, eines der im Schritt S7 übermittelten Passwörter an die Diensteinrichtung 16 übermittelt. Die Passwörter können in dem sicheren Element gespeichert werden. Dadurch wird es Dritten erschwert unberechtigterweise auf die Passwörter in dem sicheren Element 10 zuzugreifen. Durch Anwenden der Einwegfunktion auf das von dem sicheren Element 10 an die Diensteinrichtung 16 gesendete Einmalpasswort durch die Diensteinrichtung 16 kann die Diensteinrichtung 16 überprüfen, ob das Einmalpasswort bereits verwendet wurde bzw. ob das In a next step S6, the authentication server 12 sends the at least one one-time password to a service device 16 via a third connection 24, wherein the one-time password is only sent after it has been encrypted with a one-way function (hash function). In parallel thereto or subsequently, in an optional step S7, the "original" one-time passwords can be sent to the secure element 10. The conclusion of the transaction takes place, as shown in Fig. 2, by the secure element 10 via a fourth connection 28, which can be built analogously to the first connection 20, one of the transmitted in step S7 passwords to the service device 16. The passwords can be stored in the secure element. This makes it difficult for third parties to illegally access the passwords in the secure element 10. By applying the one-way function to the one-time password sent from the secure element 10 to the service device 16 by the service device 16, the service device 16 can check whether the one-time password has already been used
Einmalpasswort gültig ist. Wenn es sich um ein gültiges Passwort handelt, so ergibt sich nach dem Anwenden der Einmalfunktion auf das One-time password is valid. If it is a valid password, then after applying the one-time function to the
Einmalpasswort eine Übereinstimmung mit einem bei der Diensteinrichtung 16 hinterlegten Passwort. Im Falle einer Übereinstimmung kann der Dienst der Diensteinrichtung 16 durch das sichere Element 10 genutzt werden. One-time password a match with a stored at the service device 16 password. In case of a match, the service of the service device 16 can be used by the secure element 10.
Beim Anwenden der Einwegfunktion vor dem Senden der Einmalpasswörter über die dritte Verbindung 24 an die Diensteinrichtung 16 kann der When applying the one-way function before sending the one-time passwords via the third connection 24 to the service device 16, the
Authentifizierungsserver 12 überprüfen, ob sich nach dem Anwenden der Einwegfunktion Passwortdoppelungen ergeben. Sollten sich Authentication server 12 verify that password duplication occurs after applying the one-way function. Should
Passwortdoppelungen ergeben, so wird von dem Authentifizierungsserver 12 ein weiteres Einmalpasswort generiert und die Einwegfunktion auf dieses neue Einwegpasswort angewendet. Password duplications result, the authentication server 12 generates another one-time password and applies the one-way function to this new one-way password.

Claims

P a t e n t a n s p r ü c h e Patent claims
1. Verfahren zum anonymen Durchführen einer Transaktion, aufweisend die folgenden Schritte: A method for anonymously executing a transaction, comprising the following steps:
- Herstellen einer ersten Verbindung (20) zwischen einem sicheren Element (10) und einem Authentifizierungsserver (12), Establishing a first connection (20) between a secure element (10) and an authentication server (12),
- Herstellen einer zweiten Verbindung (22) zwischen dem  - Establishing a second connection (22) between the
Authentifizierungsserver (12) und einer Paymenteinrichtung (14), Authentication server (12) and a payment device (14),
- Übertragen eines Geldbetrages von dem sicheren Element (10) über den Authentifizierungsserver (12) an die Paymenteinrichtung (14),  Transferring an amount of money from the secure element (10) via the authentication server (12) to the payment device (14),
- Erzeugen von zumindest einem Einmalpasswort, wobei die Anzahl der Einmalpasswörter dem übertragenen Geldbetrag entspricht, und  Generating at least one one-time password, wherein the number of one-time passwords corresponds to the transferred amount of money, and
- Senden der erzeugten Einmalpasswörter an eine Diensteinrichtung (16) über eine dritte Verbindung (24), wobei das zumindest eine Einmalpasswort erst gesendet wird, nachdem es mit einer Einwegfunktion verschlüsselt wurde.  - Sending the generated one-time passwords to a service device (16) via a third connection (24), wherein the at least one one-time password is sent only after it has been encrypted with a one-way function.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass es sich bei der Einwegfunktion um eine Hashfunktion handelt. 2. Method according to claim 1, characterized in that the one-way function is a hash function.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass das Einmalpasswort vor dem Verschlüsseln mit einer zufällig gewählten 3. The method according to claim 2, characterized in that the one-time password before encrypting with a randomly selected
Zeichenfolge versehen wird. String is provided.
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Paymenteinrichtung (14) bei dem 4. The method according to any one of the preceding claims, characterized in that the payment device (14) in the
Authentifizierungsserver (12) den Erhalt des Geldbetrages bestätigt. Authentication server (12) confirms the receipt of the money.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Authentifizierungsserver (12) das zumindest eine Einmalpasswort an das sichere Element (10) sendet, wobei das Senden bevorzugt verschlüsselt erfolgt. 5. The method according to any one of the preceding claims, characterized in that the authentication server (12) sends the at least one one-time password to the secure element (10), wherein the transmission is preferably encrypted.
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Authentifizierungsserver (12) das zumindest eine Einmalpasswort erzeugt. 6. The method according to any one of the preceding claims, characterized in that the authentication server (12) generates the at least one one-time password.
7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Authentifizierungsserver (12) eine Liste mit den Einmalpasswörtern und den mit der Einwegfunktion verschlüsselten Einmalpasswörtern aufweist. 7. The method according to any one of the preceding claims, characterized in that the authentication server (12) has a list with the one-time passwords and the one-way function encrypted one-time passwords.
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Authentifizierungsserver (12) das zumindest eine Einmalpasswort an die Diensteinrichtung (16) über die dritte Verbindung (24) sendet. 8. The method according to any one of the preceding claims, characterized in that the authentication server (12) sends the at least one one-time password to the service device (16) via the third connection (24).
9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Anzahl der Einmalpasswörter der Höhe des Geldbetrages entspricht. 9. The method according to any one of the preceding claims, characterized in that the number of one-time passwords corresponds to the amount of money.
10. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Diensteinrichtung (16) eine Liste mit mit der Einwegfunktion verschlüsselten und noch nicht verwendeten 10. The method according to any one of the preceding claims, characterized in that the service device (16) a list of encrypted with the one-way function and not yet used
Einmalpasswörtern aufweist. Having one-time passwords.
11. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zum Abschließen einer Transaktion das sichere Element einer mobilen Einrichtung (10) zumindest ein nicht mit der Einmalfunktion verschlüsseltes Einmalpasswort an die Diensteinrichtung (16) sendet. 11. The method according to any one of the preceding claims, characterized in that to complete a transaction, the secure element of a mobile device (10) sends at least one non-encrypted with the one-time function one-time password to the service device (16).
12. Verfahren nach Anspruch 11, dadurch gekennzeichnet, dass die Diensteinrichtung (16) die Einwegfunktion auf die gesendeten 12. The method according to claim 11, characterized in that the service device (16) the one-way function sent to the
Einmalpasswörter anwendet. Applies one-time passwords.
13. Verfahren nach Anspruch 11 oder 12, dadurch gekennzeichnet, dass die Anzahl an gesendeten Einmalpasswörtern einem an die 13. The method according to claim 11 or 12, characterized in that the number of sent one-time passwords one to the
Diensteinrichtung (16) zu entrichtenden Geldbetrag entspricht. Service facility (16) corresponds to the amount of money to be paid.
EP15771857.8A 2014-09-24 2015-09-22 Transaction method Ceased EP3198546A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102014014109.8A DE102014014109A1 (en) 2014-09-24 2014-09-24 transaction process
PCT/EP2015/001882 WO2016045788A1 (en) 2014-09-24 2015-09-22 Transaction method

Publications (1)

Publication Number Publication Date
EP3198546A1 true EP3198546A1 (en) 2017-08-02

Family

ID=54238377

Family Applications (1)

Application Number Title Priority Date Filing Date
EP15771857.8A Ceased EP3198546A1 (en) 2014-09-24 2015-09-22 Transaction method

Country Status (4)

Country Link
US (1) US10839380B2 (en)
EP (1) EP3198546A1 (en)
DE (1) DE102014014109A1 (en)
WO (1) WO2016045788A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11030624B2 (en) * 2018-10-04 2021-06-08 Capital One Services, Llc Techniques to perform computational analyses on transaction information for automatic teller machines

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19859959A1 (en) * 1998-12-29 2000-07-06 Manfred Matzel Method of cash or asset transfer from payer to payee via Internet using cash unit card by transferring units if funds are available after checking by provider
DE19940448A1 (en) * 1999-08-25 2001-03-01 Nt Innovation Ohg I Gr Outputting virtual credits involves calling from terminal to automatic dispenser for virtual credits, passing data for paying, receiving data, providing credits by dispenser, passing to terminal
US20010044787A1 (en) * 2000-01-13 2001-11-22 Gil Shwartz Secure private agent for electronic transactions
DE10009710A1 (en) * 2000-03-01 2001-09-13 Roland Eckert Exchanging payment information for Internet compatible cashless payment transactions involves transferring customer-allocated identity code with owed amounts
EP1986146A1 (en) * 2007-04-27 2008-10-29 Gemplus Transaction method between two entities providing anonymity revocation for tree-based schemes without trusted party
US9665868B2 (en) * 2010-05-10 2017-05-30 Ca, Inc. One-time use password systems and methods
WO2011141062A1 (en) * 2010-05-12 2011-11-17 Novelty Group Limited Payment system, procedure for producing at least one code pair for authorizing a debit operation, and method for carrying out a payment operation
DE102010033232A1 (en) 2010-08-03 2012-02-09 Siemens Aktiengesellschaft Method and device for providing a one-time password
DE102010055699A1 (en) * 2010-12-22 2012-06-28 Giesecke & Devrient Gmbh Cryptographic process
DE102011108069A1 (en) * 2011-07-19 2013-01-24 Giesecke & Devrient Gmbh Procedure for securing a transaction
DE102011122767A1 (en) * 2011-09-09 2013-03-14 Dr. Klein Gmbh & Co. Media Kgaa Method of payment with at least one electronic means of payment
DE102011119103A1 (en) 2011-11-22 2013-05-23 Giesecke & Devrient Gmbh Method for authenticating a person to a server instance
CN104145284A (en) * 2012-03-07 2014-11-12 索尼公司 Payment processing system, payment terminal, communication device, payment server and payment processing method
DE102012109041A1 (en) * 2012-09-25 2014-03-27 Retailo AG Method for managing web-enabled payment by transfer small payments for acquired products, involves transferring product price to product provider, and transmitting acquired voucher and acquired product to end customer
WO2014071290A1 (en) * 2012-11-05 2014-05-08 Netnumber, Inc. System and method for anonymous micro-transactions
US10796302B2 (en) * 2014-04-23 2020-10-06 Minkasu, Inc. Securely storing and using sensitive information for making payments using a wallet application

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
None *
See also references of WO2016045788A1 *

Also Published As

Publication number Publication date
US20180232727A1 (en) 2018-08-16
US10839380B2 (en) 2020-11-17
DE102014014109A1 (en) 2016-03-24
WO2016045788A1 (en) 2016-03-31

Similar Documents

Publication Publication Date Title
EP3574610B1 (en) Method for carrying out a two-factor authentication
DE102009038645A1 (en) Method for transferring monetary amount in form of electronic record between two non-central entities, involves receiving private key of asymmetric key non central entity, and signing of record
EP2817758B1 (en) Computer-implemented payment method
DE102009034436A1 (en) Method for payment of cash value amount in form of electronic money, involves transmitting signed data set to non-central instance by transmission of signed data set from central instance and receiving of signed data set
EP3748521B1 (en) Method for reading attributes from an id token
WO2017008939A1 (en) Method and apparatus for authenticating a service user for a service that is to be provided
DE102012221288A1 (en) A method, apparatus and service means for authenticating a customer to a service to be provided by a service means
WO2004034343A2 (en) Method for concluding a payment transaction in electronic commerce
EP4224786A1 (en) Method and device for creating electronic signatures
EP1665184A1 (en) Method for carrying out an electronic transaction
DE102012201209A1 (en) A method for creating a pseudonym using an ID token
WO2013011043A1 (en) Mobile system for financial transactions
WO2014095001A1 (en) Reputation system and method
WO2013152986A1 (en) Secure generation of a user account in a service server
EP3206151B1 (en) Method and system for authenticating a mobile telecommunication terminal on a service computer system and mobile telecommunication terminal
DE102005008610A1 (en) Internet download e.g. articles of newspaper, cost paying method, involves protecting anonymity of user until attempt to fraud is identified, and automatically determining identity of defrauded user and proof for attempt to fraud
WO2016045788A1 (en) Transaction method
DE102015209073B4 (en) Method for reading attributes from an ID token
DE102012202744A1 (en) A method for creating a pseudonym using an ID token
EP3283999B1 (en) Electronic system for producing a certificate
DE102014204122A1 (en) Electronic transaction procedure and computer system
EP3416120A1 (en) Arrangement and method for user authentication and access authorization
DE10229619A1 (en) Conducting a payment process by mobile telephone involves checking identification characteristic in transaction center, completing payment process if identification check satisfactory
DE102014116294A1 (en) A method for discriminating user abusive queries of valid queries to a service provider on a computer network
DE102015017060A1 (en) Method for reading attributes from an ID token

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20170424

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20180222

REG Reference to a national code

Ref country code: DE

Ref legal event code: R003

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20191121