WO2013075819A1 - Method for performing an electronic transaction between a mobile station and a terminal - Google Patents

Method for performing an electronic transaction between a mobile station and a terminal Download PDF

Info

Publication number
WO2013075819A1
WO2013075819A1 PCT/EP2012/004803 EP2012004803W WO2013075819A1 WO 2013075819 A1 WO2013075819 A1 WO 2013075819A1 EP 2012004803 W EP2012004803 W EP 2012004803W WO 2013075819 A1 WO2013075819 A1 WO 2013075819A1
Authority
WO
WIPO (PCT)
Prior art keywords
terminal
data carrier
portable data
information
user
Prior art date
Application number
PCT/EP2012/004803
Other languages
German (de)
French (fr)
Inventor
Dieter Weiss
Original Assignee
Giesecke & Devrient Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke & Devrient Gmbh filed Critical Giesecke & Devrient Gmbh
Priority to EP12794871.9A priority Critical patent/EP2783335A1/en
Publication of WO2013075819A1 publication Critical patent/WO2013075819A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • G06Q20/3278RFID or NFC payments by means of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/42Confirmation, e.g. check or permission by the legal debtor of payment
    • G06Q20/425Confirmation, e.g. check or permission by the legal debtor of payment using two different networks, one for transaction and one for security confirmation

Definitions

  • the invention relates to a method for carrying out an electronic transaction between a mobile terminal and a terminal, and to a corresponding system and a portable data carrier which can be used to carry out the electronic transaction.
  • the mobile terminal As part of the implementation of electronic transactions between a mobile terminal and a terminal, it is usually required that corresponding information is confirmed by the user of the terminal.
  • the mobile terminal itself is used to display this information or to confirm it, i. the information is displayed on the display of the terminal and corresponding keys of the terminal are used to confirm the information. It proves to be disadvantageous that this process for the user is often uncomfortable, especially when the mobile terminal must be removed by the user only from a corresponding protective cover.
  • the use of the display and the keys of the terminal are safety-critical, because these components may not be able to be used. be manipulated by attackers.
  • the publication DE 102006 048 797 A1 describes a method for executing an application which can be used, for example, for a home banking application.
  • a portable data carrier in the form of a chip card is used, which transactional data, which originate from a browser and are to be forwarded to a server, first transmitted to a mobile phone.
  • the transaction data is displayed on the mobile phone and the user is requested to release the transaction data.
  • the document DE 103 16 771 AI discloses a self-adhesive security label for security or value documents, which comprises an integrated circuit and a transponder for contactless communication. For example, user-specific data can be stored in the integrated circuit.
  • the object of the invention is to make the execution of an electronic transaction between a mobile terminal and a terminal secure and comfortable for the user.
  • the method according to the invention serves to carry out an electronic transaction between a mobile terminal and a terminal.
  • the terminal represents a counterpart in the electronic transaction and is e.g. a publicly accessible terminal through which transactions can be processed.
  • the terminal provides, for example, a connection to a remote server, which offers so-called e-services. Under E-Services, all services and activities are grouped together as transactions Computers can be created and executed interactively and / or statically via electronic media.
  • server in this application is synonymous with the term application server.
  • One transaction is an information and education service, such as e-education, e-learning, e-teaching, e-pubhshing, e-book and e-catalog, to provide bespoke, trade and ordering services such as e-business, e-business Commerce, e-procurement, e-cash, e-shop, e-intermediary, e-auction, to provide cultural and administrative services such as e-culture, e-government or e-voting to improve marketing, product or service the customer relationship to electronic consulting such as E-Consult or E-Advising.
  • an information and education service such as e-education, e-learning, e-teaching, e-pubhshing, e-book and e-catalog
  • bespoke, trade and ordering services such as e-business, e-business Commerce, e-procurement, e-cash, e-shop, e-intermediary, e-auction
  • cultural and administrative services such as
  • information which is to be confirmed by a user in the context of the transaction is transmitted to the terminal by the terminal via a first contactless communication link. Subsequently, this information is transmitted from the terminal via a second contactless communication link to a portable data carrier attached to the mobile terminal comprising a display unit and an input unit operable by the user.
  • the portable data carrier can be attached directly and in particular also indirectly to the terminal.
  • the portable data carrier is provided on a protective cover attached to the terminal and preferably designed as a sticker (ie as a flat element), which is glued, for example, on the protective cover.
  • the data carrier is in particular mounted on the terminal or provided on the protective cover, that the display unit by the user from the outside is perceptible and the input unit by the user from the outside (eg via the protective cover) can be actuated.
  • the portable data carrier is in particular an RFID transponder. Conventionally, both the power supply of an RFID transponder in an RFID system and the data exchange between the
  • RFID transponders have an electronic circuit and, depending on the frequency range, an antenna coil (e.g., 13.56 MHz) or an electromagnetic antenna (e.g., 868 MHz). About the antenna, the field required for the operation of the transponder energy can be removed from the field and the data transmission can be performed. For this purpose, the terminal provides the corresponding energy. Alternatively, the power is provided by the terminal where the transaction is to be performed. Up to a certain distance between the terminal / terminal and the transponder, which is also referred to as the energy range, the transponder can draw just enough energy from the field of the terminal terminal to operate its own circuit.
  • an antenna coil e.g., 13.56 MHz
  • an electromagnetic antenna e.g. 868 MHz
  • Typical energy ranges of such systems are about 10 cm for ISO 14443 and up to 1 m for ISO 15693 compatible systems.
  • the range within which communication in the system is possible through data transmission can be increased by using active transponders, ie transponders with their own energy supply.
  • the power supply of the active transponder for example in the form of a battery or a charging capacitor, operates its electronic circuit.
  • Conventional transponders without their own power supply are referred to as passive transponders.
  • RFID systems for example for different types of coupling, as well as a load modulation using an auxiliary carrier in inductively coupled
  • RFID systems are described in Chapter 3.2 of the "RFID Handbook” by Klaus Finkenzeller.
  • the so-called Nah Near Field Communication technology is integrated in order to enable communication between the terminals or with the terminal.
  • the coupling of the devices / terminals takes place via coils, with the carrier frequency being 13.56 MHz, as in RFID systems.
  • the carrier frequency being 13.56 MHz, as in RFID systems.
  • the active mode two NFC units alternately generate their own RF field as signal carriers, switching back and forth between transmit and receive mode, as in a classic mobile radio system, both tuned to each other.
  • passive mode however, the two NFC units must agree on which unit acts as a reader and creates a field that can then influence the other unit by means of load modulation.
  • NFC end devices are very similar to those of contactless data carriers. NFC devices are therefore also able to communicate with contactless data carriers. To realize the communication, the operating modes “Card Emulation”, “Reader Emulation” and “Peer to Peer” (P2P) are possible.
  • the information to be confirmed is displayed on the display unit of the portable data carrier, whereupon the user can confirm the information via the input unit.
  • an acknowledgment signal is transmitted from the portable data carrier via the second contactless communication link to the terminal, whereupon confirmation data are transmitted from the terminal via the first contactless communication link to the terminal and thereby complete the transaction becomes.
  • the portable data carrier is preferably an RFID sticker which can be attached mechanically detachably to the terminal.
  • an adhesive layer on the disk ensures the appropriate liability between the device and the disk.
  • the data carrier is configured with security functionalities and designed, for example, as a smart card, chip card, token, mass storage card, multimedia card or electronic identity document.
  • the inventive method is characterized in that in the context of the confirmation of information, a separate, not belonging to the terminal portable data carrier with display unit and input unit is used.
  • a separate, not belonging to the terminal portable data carrier with display unit and input unit is used.
  • the user has access to the disk directly through his terminal.
  • he does not use the display unit or the keys of the terminal, but rather the display unit and the input unit of the data carrier.
  • This increases user comfort and security.
  • the portable data carrier is provided on the protective cover of the terminal, the acceptance of the use of the terminal in carrying out the transactions is increased because a user does not need to remove the protective cover from the terminal to confirm this information.
  • the first and / or the second communication link based on the now widespread near-field or NFC communication, with information over short ranges in the decimeter range are transmitted.
  • the input unit of the portable data carrier can be configured differently.
  • the input unit comprises a single, operable by the user key with which the corresponding information displayed on the display unit can be confirmed.
  • the input unit may also include a plurality of keys for entering more complex acknowledgments in the manner of a PIN.
  • the input unit can be configured as a gesture recognition means or as a biometric sensor for the recognition of biometric features and in particular as a fingerprint sensor.
  • the inventive method can be used to carry out any electronic transactions in which a confirmation by a user is required.
  • the method is used for carrying out a payment transaction, in the case of information which is to be confirmed by the user in the context of the electronic transaction, being an amount of money to be paid to the terminal.
  • the terminal communicates in a particularly preferred embodiment by means of a known security element (English: Secure Element) and / or a secure runtime environment, which are provided in the terminal, via the first and / or the second contactless Garurukationsuite.
  • the security element is then configured in particular as a hardware component and arranged as a fixed integrated component in the mobile terminal, where it can not be removed either in the form of the mobile device, for example as M2M module, co-processor or Trusted Base or as a removable module withrissafunktionaHtusch is connected to the mobile terminal, for example as a smart card, in particular a Subscriber Identification Module, SIM / USIM card short, smart card, mass memory card, USB token, multimedia card, Secure MicroSD card, mobile network token, eg a UMTS Surf stick.
  • the security element is designed as a software component as a trusted part of the operating system kernel of the mobile terminal or as a security software algorithm.
  • the known per se ARM TrustZone ® can be used as a secure runtime environment on the example which is also known operating system MobiCore ® running.
  • the security element signs the confirmation data to be transmitted via the first contactless communication link. In this way, it is possible to check at the terminal that the confirmation data actually comes from the terminal to which the information to be confirmed has previously been transmitted.
  • the security of the method is increased by providing both a secure runtime environment and a security element in the terminal, wherein the secure runtime environment supports the portable data carrier and the security device. element is driving.
  • the portable data carrier By controlling the portable data carrier through the secure runtime environment, a tamper-proof display of the information on the display unit of the data carrier is achieved.
  • the security element via the secure runtime environment, manipulation of the generation or processing of the confirmation data to be transmitted to the terminal can be avoided.
  • the confirmation signal is transmitted from the portable data carrier to the terminal in the form of a rolling code, wherein the rolling code for each newly transmitted acknowledgment signal changes and wherein the rolling code on a shared secret between portable data carrier and Terminal or between portable data carrier and another (external) unit.
  • the common secret used in the generation of the rolling code is determined by a manual, user-paired pairing between the terminal and the portable data carrier.
  • the pairing can be based on a barcode which is applied to the portable data carrier or its packaging and is read during the first use of the portable data carrier, for example via the terminal by means of a suitable reader.
  • the security element described above verifies the rolling code transmitted by the portable data carrier based on the shared secret and generates the confirmation signal upon successful verification. Preferably, it also signs the confirmation signal.
  • the secure runtime environment described above verifies the transmitted rolling code based on the shared secret and causes the security element to successfully generate the verification signal and possibly also to sign.
  • the shared secret may also be defined between the portable data carrier and another (external) device.
  • the terminal transmits the rolling code as confirmation data or together with the confirmation data on the first con murtikationsddle to the terminal, whereupon the terminal causes the verification of the rolling code and only upon successful verification, the electronic transaction is completed.
  • the terminal may represent the external unit.
  • the external unit may also be an external server of a background system to which the rolling code is forwarded by the terminal for verification.
  • the invention further relates to a system for performing an electronic transaction between a mobile terminal and a terminal.
  • the system includes the mobile terminal and the terminal as well as a portable data carrier.
  • the system is designed such that in its operation, the method according to the invention or one or more variants of the method according to the invention can be carried out.
  • the invention further relates to a portable data carrier for use in the method according to the invention or in one or more variants of the method according to the invention.
  • It comprises a display unit, a contactless communication interface, in particular for NFC communication, and a user-operable input unit, which are configured such that the portable data carrier, in operation, has information to be confirmed by the user about the contact Medunikationsssdinittstelle receives from the terminal and then displayed on the display unit, wherein the portable data carrier sends the acknowledgment signal via the contactless communication interface to the terminal after a subsequent confirmation of the information via the input unit.
  • the portable data carrier is preferably provided on a protective cover, which can be attached to the terminal. The attachment takes place in particular mechanically detachable, for example by means of an adhesive layer on the portable data carrier. In this sense, the invention also relates to a protective cover with the portable data carrier provided thereon.
  • the portable data carrier is arranged in communication range with the mobile phone and is used instead of the terminal for confirming the transaction.
  • the mobile phone performs the transaction without user interaction.
  • User interaction in the meaning of the invention means, on the one hand, that the user does not have to carry out an interaction on the mobile phone either when setting up or when carrying out the transaction.
  • the user does not have to remove the terminal from his storage, for example a pocket of the user. to perform the transaction as the acknowledgment is taken from the volume.
  • a mobile telephone 1 is used as the mobile terminal, which communicates wirelessly via an IS 1 C communication link K 1 with a payment terminal 2.
  • the BezaH Terrrtinal includes a schematically indicated kontaküose NFC interface or antenna 201, which communicates with a corresponding NFC interface or antenna 103 (also shown schematically) of the mobile phone 1.
  • the mobile telephone further comprises a display 101 and a per se known security element 102 (English: Secure Element), which is realized in the illustrated variant via the USIM / SIM card of the user.
  • a user wants to contactlessly pay a predetermined amount via his mobile phone 1.
  • the BezaW terminal 2 may be provided for the issue of public transport tickets, the payment of the ticket being made contactlessly via the correspondence link K1.
  • the amount to be paid to the User is displayed and confirmed by this.
  • a portable data carrier 3 in the form of a so-called sticker is used for this purpose.
  • This sticker is provided in a protective cover 4 into which the mobile telephone 1 is inserted.
  • the protective cover is indicated by a thicker edge around the mobile phone 1.
  • the sticker 3 comprises a separate display 301 as well as a button 302 and in turn an NFC interface or antenna 303, by means of which a Kornmunikation with the mobile phone via the antenna 103 based on the contactless Kornmunikationstier K2.
  • a barcode is attached to the sticker, which is indicated schematically by the reference numeral 304.
  • the sticker used in the embodiment described here is very simple and preferably does not have its own power supply, i. it is only operated by the field energy received via the NFC interface 303 in the context of contactless communication. Nevertheless, there may also be the possibility that a buffer memory or a battery may be provided in the sticker which, depending on the application, supplies the sticker additionally or completely with energy.
  • step Sl an information IN about the contactless Communication line Kl transmitted from the terminal 2.
  • This information contains the amount of money to be paid by the user.
  • step S2 After receiving the information IN in the mobile phone 1 or security element 102, this is - in contrast to known methods - not displayed on the display 101, but forwarded in step S2 via the contactless communication path K2 to the sticker 3. Since the sticker is provided in the protective cover 4 of the mobile phone, it is also ensured that it is in communication range with the mobile telephone 1.
  • the information IN received in the sticker is then displayed on the display 301 of the sticker.
  • the user can then read the amount without having to remove the protective cover 4 from the mobile phone 1. If the amount corresponds to the payment amount communicated to the user in the context of the transaction (eg via a display on the terminal), the user can now confirm the amount by pressing the key 302.
  • a corresponding acknowledgment signal BS is transmitted from the sticker 3 to the mobile telephone 1 in step S3 via the contactless communication link K2.
  • corresponding confirmation data BD are generated in step S4, which are provided with a signature SIG via the security element 102.
  • the confirmation data may possibly correspond to the confirmation signal.
  • the signed confirmation data are finally transmitted to the terminal 2 via the first contactless communication link K 1 in step S 5.
  • the received confirmation data inform the Terrninal that the payment process has been authorized by the user and that the transaction process is now complete.
  • the terminal can also check that the confirmation data actually originate from the mobile phone 1 of the user.
  • corresponding applications or applets that are integrated in the security element 102 of the terminal 1 are used to support electronic transactions.
  • the applet already supports the integration of the sticker 3 in the transaction in the security element.
  • the applet does not support the integration of the sticker.
  • a second sticker applet is installed on the terminal 1, which does not necessarily have to be stored on the security element 102.
  • This applet then takes over the communication between the security element or the terminal and the sticker.
  • the output of the payment applet on the terminal or on the mobile terminal intercepts and forwards the information relating to the amount to be paid to the sticker.
  • this applet receives the response from the sticker and generates a response that meets the requirements of the payment applet on the security element.
  • step S2 the information IN transmitted in step S2 is transmitted unencrypted with regard to the payment amount. This is not a problem, because if this amount were corrupted by an attacker, the wrong amount would be visible to the user on the display 301 of the sticker 3 and therefore not confirmed by the user.
  • step S2 it is also dispensed with transmitting further information, such as the identification of the terminal, together with the information IN.
  • further information such as the identification of the terminal
  • an attacker could readjust and send the acknowledgment signal BS sent on pressing the key 302 to the terminal 1, so that external transactions could be performed unnoticed.
  • corresponding safety mechanisms are provided, which should preferably be as simple as possible.
  • so-called rolling codes can be used, which are always generated in the manner of a one-time password only once upon actuation of the key 302 and thus change from actuation to actuation. That is, the sticker 3 sends after displaying the amount to be paid on the display 301 and after the corresponding confirmation of the user via the key 302 in each payment transaction another code back to the terminal 1. This requires that the terminal can verify the code appropriately as a confirmation signal.
  • this is achieved by a manual pairing (English: Pairing) between the terminal 1 and the sticker 3.
  • This pairing ensures that the device and the sticker share a common secret upon which the corresponding rolling code is based. An attacker is then no longer possible to pretend the output of a confirmation signal to the terminal.
  • the manual pairing between the terminal 1 and the sticker 3 can be made in various ways.
  • the barcode 304 printed on the sticker 3 is used, which can be one-dimensional or two-dimensional. If necessary, the barcode can also be applied to the packaging of the sticker, which then, after being unpacked, is placed on the protective cover of the mobile telephone, for example via a corresponding adhesive surface is attached.
  • the barcode contains the part of the secret that the terminal needs to verify the rouoding code.
  • the corresponding barcode is read via a reader of the terminal for commissioning the sticker and then used to personalize the payment applet on the security element or the separate sticker applet.
  • the manual pairing can possibly also be carried out in other ways, for example by entering a sequence of numbers using the keyboard of the terminal, similar to the pre-shared key in WLAN. The sequence of numbers can in turn be applied to the sticker or its packaging.
  • the sticker can be made more complex in order to further increase transaction security.
  • the input of a key combination in the manner of a PIN may be provided.
  • additional buttons are provided on the sticker.
  • the confirmation may be entered by means of a gesture of the user, e.g. can be detected by a strain gauge on the sticker.
  • a biometric sensor is used for this purpose. Only if a fingerprint detected via the sensor coincides with an imprint pattern deposited in the sticker is a corresponding confirmation signal BS emitted.
  • a trust zone known per se is provided on the microprocessor of the mobile terminal, within which the verification of the rolling codes takes place.
  • the trust zone represents a secure runtime environment and uses the known per se operating system MobiCore in a preferred embodiment.
  • the activation of the sticker 3 and the security element 102 is carried out exclusively via a TrustZone.
  • the sticker display 301 is a so-called. Secure display, which is protected against manipulation. As a result, the amount of payment displayed on the display is trusted.
  • the TrustZone also checks the receipt of a received acknowledgment signal and in particular a corresponding rolling code.
  • the TrustZone triggers the security element 102 to sign corresponding confirmation data. Possibly. It is also possible that the rolling code is checked by the security element. For example, the rolling code can be linked to the confirmed payment amount, creating a kind of TAN.
  • the correctness of the rolling codes is always checked by the terminal. If necessary, it is also possible for a remote, trustworthy server, for example the server of the payment system provider, to check the rolling codes.
  • the code is sent together with the confirmation data BD via the communication links Kl from the terminal 1 to the terminal 2.
  • the terminal then passes the code to the remote server, which checks it.
  • This variant of the invention has the advantage that a Trojan attack on the terminal has much less chance of success. This is due to the fact that the terminal is no longer personalized and a Trojan thus has no access to the common Has secret between sticker and server. Consequently, a Trojan can no longer trigger hidden transactions, since this always requires the generation of an appropriate acknowledgment signal, but for which the shared secret is needed.
  • the embodiments of the invention described above have a number of advantages.
  • the use of a terminal-mounted sticker with display and push-button ensures simple and convenient transaction processing with low additional costs. Since the sticker is preferably provided in the protective cover of the terminal, it is no longer necessary that the terminal must be removed from the protective envelope to complete the transactions, which increases the acceptance in the Durkri arrangement the transactions at the user. Furthermore, the risk is reduced that the terminal falls off during removal from the protective cover and thereby damaged or destroyed.
  • only minor modifications are required in comparison with conventional transactions carried out without the interposition of a sticker. In particular, only the software on the terminal needs to be adapted.
  • the inventive method can be easily integrated into existing payment systems.
  • the data carrier 3 is not necessarily mounted on the protective cover 4 of the mobile phone 1. Rather, the disk 3 can also serve as a low-cost terminal, which makes handling of the mobile phone 1 superfluous. In this case, the data carrier 3 would be in the form of an ID-1 chip card.
  • the described procedure of the transaction does not change. The customer / user just pulls the card out of his pocket and confirms the transaction. Since the communication range between disk 3 you terminal 1 as usual in RFID and NFC systems is up to 20cm, such a configuration is possible in principle. But more attractive for the user is a greater communication range for data transmission.
  • an RFID system for transmission in Ultra High Frequency, UHF short range used, so that a greater communication range for transmitting the data from the terminal 1 to the disk 3 is made possible.
  • the data carrier 1 has in particular a Energyversorugn 305 in the form of a battery.
  • the data is transferred from the terminal 1 to the data carrier 3 before pulling out the data carrier 3 from a pocket of the user. After insertion into the bag, the confirmation from the disk 3 is sent back to the terminal 1.
  • the data carrier 1 is a chip card, its enormous robustness against environmental influences can be used.

Abstract

The invention relates to a method for performing an electronic transaction between a mobile station (1) and a terminal (2). The method according to the invention involves the terminal (2) using a first contactless communication link (K1) to transmit a piece of information (IN), which needs to be confirmed by a user as part of the electronic transaction, to the station (1). The information (IN) is transmitted from the station (1) via a second contactless communication link (K2) to a portable data storage medium (3), fitted on the station (1), comprising a display unit (301) and an input unit (302) which can be operated by the user. This information (IN) is then displayed on the display unit (301) of the portable data storage medium (3), whereupon the user can confirm the information (IN) by using the input unit (302). Finally, when the information (IN) is confirmed by using the input unit (302), a confirmation signal (BS) is transmitted from the portable data storage medium (3) via the second contactless communication link (K2) to the station (1), whereupon confirmation data (BD) are transmitted from the station (1) via the first contactless communication link (K1) to the terminal (2).

Description

Verfahren zur Durchführung einer elektronischen Transaktion zwischen einem mobilen Endgerät und einem Terminal  A method of performing an electronic transaction between a mobile terminal and a terminal
Die Erfindung betrifft ein Verfahren zur Durchführung einer elektronischen Transaktion zwischen einem mobilen Endgerät und einem Terminal sowie ein entsprechendes System und einen tragbaren Datenträger, der zur Durchführung der elektronischen Transaktion verwendbar ist. The invention relates to a method for carrying out an electronic transaction between a mobile terminal and a terminal, and to a corresponding system and a portable data carrier which can be used to carry out the electronic transaction.
Im Rahmen der Durchführung von elektronischen Transaktionen zwischen einem mobilen Endgerät und einem Terminal ist es in der Regel erforderlich, dass eine entsprechende Information durch den Benutzer des Endgeräts bestätigt wird. Herkömmlicherweise wird zur Anzeige dieser Information bzw. zu deren Bestätigung das mobile Endgerät selbst verwendet, d.h. die Information wird auf dem Display des Endgeräts angezeigt und entsprechende Tasten des Endgeräts werden zur Bestätigung der Information verwendet. Es erweist sich dabei als nachteilhaft, dass dieser Vorgang für den Benutzer oftmals unkomfortabel ist, insbesondere wenn das mobile Endgerät von dem Benutzer erst aus einer entsprechenden Schutzhülle entnommen werden muss. Ferner ist die Verwendung des Displays und der Tasten des Endge- räts sicherheitskritisch, denn diese Komponenten können u.U. durch Angreifer manipuliert werden. As part of the implementation of electronic transactions between a mobile terminal and a terminal, it is usually required that corresponding information is confirmed by the user of the terminal. Conventionally, the mobile terminal itself is used to display this information or to confirm it, i. the information is displayed on the display of the terminal and corresponding keys of the terminal are used to confirm the information. It proves to be disadvantageous that this process for the user is often uncomfortable, especially when the mobile terminal must be removed by the user only from a corresponding protective cover. Furthermore, the use of the display and the keys of the terminal are safety-critical, because these components may not be able to be used. be manipulated by attackers.
In der Druckschrift DE 102006 048 797 AI ist ein Verfahren zum Ausführen einer Applikation beschrieben, welches beispielsweise für eine Homeban- king- Anwendung verwendet werden kann. Dabei wird ein tragbarer Datenträger in der Form einer Chipkarte verwendet, welche Transaktionsdaten, die von einem Browser stammen und an einen Server weiterzuleiten sind, zunächst an ein Mobiltelefon übermittelt. Auf dem Mobiltelefon werden die Transaktionsdaten zur Anzeige gebracht und der Benutzer wird aufgef or- dert, die Transaktionsdaten freizugeben. Die Druckschrift DE 103 16 771 AI offenbart ein selbstklebendes Sicherheitslabel für Sicherheits- oder Wertdokumente, welches einen integrierten Schaltkreis und einen Transponder zur kontaktlosen Kommunikation um- fasst. In dem integrierten Schaltkreis können z.B. benutzerindividuelle Daten gespeichert werden. The publication DE 102006 048 797 A1 describes a method for executing an application which can be used, for example, for a home banking application. In this case, a portable data carrier in the form of a chip card is used, which transactional data, which originate from a browser and are to be forwarded to a server, first transmitted to a mobile phone. The transaction data is displayed on the mobile phone and the user is requested to release the transaction data. The document DE 103 16 771 AI discloses a self-adhesive security label for security or value documents, which comprises an integrated circuit and a transponder for contactless communication. For example, user-specific data can be stored in the integrated circuit.
Aufgabe der Erfindung ist es, die Durchfuhrung einer elektronischen Transaktion zwischen einem mobilen Endgerät und einem Terminal sicher und für den Benutzer komfortabel auszugestalten. The object of the invention is to make the execution of an electronic transaction between a mobile terminal and a terminal secure and comfortable for the user.
Die Aufgabe der Erfindung wird durch die in den nebengeordneten unabhängigen Patentansprüchen beschriebenen Maßnahmen gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung sind in den jeweils abhängigen Ansprüchen beschrieben. The object of the invention is achieved by the measures described in the independent independent claims. Advantageous embodiments and further developments of the invention are described in the respective dependent claims.
Das erfindungsgemäße Verfahren dient zur Durd führung einer elektronischen Transaktion zwischen einem mobilen Endgerät und einem Terminal. Der Begriff des mobilen Endgeräts ist dabei weit zu verstehen und betrifft jede beliebige tragbare elektronische Vorrichtung, insbesondere ein Mobilfunktelefon und vorzugsweise ein Smartphone, ein PDA (PDA = Personal Digital Assistent), ein Laptop und dergleichen. Das Terminal stellt dabei eine Gegenstelle im Rahmen der elektronischen Transaktion dar und ist z.B. ein öffentlich zugängliches Terminal, über das entsprechende Transaktionen abgewickelt werden können. The method according to the invention serves to carry out an electronic transaction between a mobile terminal and a terminal. The term of the mobile terminal is to be understood broadly and relates to any portable electronic device, in particular a mobile phone and preferably a smartphone, a PDA (PDA = Personal Digital Assistant), a laptop and the like. The terminal represents a counterpart in the electronic transaction and is e.g. a publicly accessible terminal through which transactions can be processed.
Das Terminal stellt dabei beispielsweise eine Verbindung zu einem entfernten Server bereit, der sogenannte E-Services anbietet. Unter E-Services sind alle Dienste und Aktivitäten als Transaktionen zusammengef asst, die mittels Computern erstellt und über elektronische Medien interaktiv und/ oder statisch angeboten und ausgeführt werden können. Der Begriff Server ist in dieser Anmeldung gleichbedeutend mit dem Begriff Anwendungsserver. Eine Transaktion ist beispielsweise ein Informations- und Bildungsdienst, wie E-Education, E-Learning, E-Teaching, E-PubHshing, E-Book und E- Catalog, um Besdiaffungs-, Handels- und Bestelldienste wie E-Business, E- Commerce, E-Procurement, E-Cash, E-Shop, E-Intermediary, E-Auction, um kulturelle und administrative Dienste wie E-Culture, E-Government oder E- Vote, um Verbesserung der Dienstleisrungen des Marketings, des Produktes oder der Kundenbeziehung, um elektronische Beratung wie E-Consult oder E-Advising. The terminal provides, for example, a connection to a remote server, which offers so-called e-services. Under E-Services, all services and activities are grouped together as transactions Computers can be created and executed interactively and / or statically via electronic media. The term server in this application is synonymous with the term application server. One transaction, for example, is an information and education service, such as e-education, e-learning, e-teaching, e-pubhshing, e-book and e-catalog, to provide bespoke, trade and ordering services such as e-business, e-business Commerce, e-procurement, e-cash, e-shop, e-intermediary, e-auction, to provide cultural and administrative services such as e-culture, e-government or e-voting to improve marketing, product or service the customer relationship to electronic consulting such as E-Consult or E-Advising.
Im Rahmen des erfindungsgemäßen Verfahrens wird von dem Terminal über eine erste kontaküose Kommunikationsstrecke eine Information, welche im Rahmen der Transaktion durch einen Benutzer zu bestätigen ist, an das Endgerät übermittelt. Anschließend wird diese Information von dem Endgerät über eine zweite kontaktlose Kommunikationsstrecke an einen tragbaren, an dem mobilen Endgerät angebrachten Datenträger umfassend eine Anzeigeeinheit und eine von dem Benutzer betätigbare Eingabeeinheit übermittelt. Der tragbare Datenträger kann unmittelbar und insbesondere auch mittelbar am Endgerät befestigt sein. In einer besonders bevorzugten Ausführungsform ist der tragbare Datenträger an einer an dem Endgerät angebrachten Schutzhülle vorgesehen und vorzugsweise als Sticker (d.h. als flaches Element) ausgestaltet, der beispielsweise auf die Schutzhülle aufgeklebt ist. Der Datenträger ist insbesondere derart am Endgerät angebracht bzw. an der Schutzhülle vorgesehen, dass die Anzeigeeinheit vom Benutzer von außen wahrnehmbar ist und die Eingabeeinheit vom Benutzer von außen (z.B. über die Schutzhülle) betätigbar ist. Der tragbare Datenträger ist insbesondere ein RFID-Transponder. Herkömmlich erfolgt sowohl die Energieversorgung eines RFID-Transponders in einem RFID-System als auch der Datenaustausch zwischen dem In the context of the method according to the invention, information which is to be confirmed by a user in the context of the transaction is transmitted to the terminal by the terminal via a first contactless communication link. Subsequently, this information is transmitted from the terminal via a second contactless communication link to a portable data carrier attached to the mobile terminal comprising a display unit and an input unit operable by the user. The portable data carrier can be attached directly and in particular also indirectly to the terminal. In a particularly preferred embodiment, the portable data carrier is provided on a protective cover attached to the terminal and preferably designed as a sticker (ie as a flat element), which is glued, for example, on the protective cover. The data carrier is in particular mounted on the terminal or provided on the protective cover, that the display unit by the user from the outside is perceptible and the input unit by the user from the outside (eg via the protective cover) can be actuated. The portable data carrier is in particular an RFID transponder. Conventionally, both the power supply of an RFID transponder in an RFID system and the data exchange between the
Transponder und dem Endgerät unter Verwendung magnetischer oder elektromagnetischer Felder. RFID-Transponder besitzen eine elektronische Schaltung und je nach Frequenzbereich eine Antennenspule (z.B. 13,56 MHz) oder eine elektromagnetische Antenne (z.B. 868 MHz). Über die Antenne kann dem Feld des Endgeräts die zum Betrieb des Transponders benötigte Energie entnommen sowie die Datenübertragung durchgeführt werden. Dazu stellt das Endgerät die entsprechende Energie bereit. Alternativ erfolgt die Energiebereitstellung von dem Terminal, an dem die Transaktion durchzuführen ist. Bis zu einem bestimmten Abstand zwischen Endgerät/ Terminal und dem Transponder, welcher auch als Energiereichweitebe- zeichnet wird, kann der Transponder dem Feld des EndgerätsTenrtinals gerade noch ausreichend Energie zum Eigenbetrieb seiner Schaltung entnehmen. Typische Energiereichweiten solcher Systeme sind etwa 10 cm für ISO 14443 und bis zu 1 m für ISO 15693 kompatible Systeme. Die Reichweite, innerhalb derer eine Kommunikation im System durch Datenübertragung möglich ist, kann erhöht werden durch Verwendung von aktiven Transpondern, also Transpondern mit eigener Energieversorgung. Die Energieversorgung des aktiven Transponders, beispielsweise in Form einer Batterie oder eines Ladekondensators, betreibt dessen elektronische Schaltung. Herkömmliche Transponder ohne eigene Energieversorgung werden dagegen als passive Transponder bezeichnet.  Transponder and the terminal using magnetic or electromagnetic fields. RFID transponders have an electronic circuit and, depending on the frequency range, an antenna coil (e.g., 13.56 MHz) or an electromagnetic antenna (e.g., 868 MHz). About the antenna, the field required for the operation of the transponder energy can be removed from the field and the data transmission can be performed. For this purpose, the terminal provides the corresponding energy. Alternatively, the power is provided by the terminal where the transaction is to be performed. Up to a certain distance between the terminal / terminal and the transponder, which is also referred to as the energy range, the transponder can draw just enough energy from the field of the terminal terminal to operate its own circuit. Typical energy ranges of such systems are about 10 cm for ISO 14443 and up to 1 m for ISO 15693 compatible systems. The range within which communication in the system is possible through data transmission can be increased by using active transponders, ie transponders with their own energy supply. The power supply of the active transponder, for example in the form of a battery or a charging capacitor, operates its electronic circuit. Conventional transponders without their own power supply are referred to as passive transponders.
RFID-Systeme, beispielsweise für verschiedene Kopplungsarten, sowie eine Lastmodulation unter Verwendung eines Hilfsträgers in induktiv gekoppel- ten RFID-Systemen werden insbesondere unter Kapitel 3.2 in dem "RFID- Handbuch" von Klaus Finkenzeller beschrieben. RFID systems, for example for different types of coupling, as well as a load modulation using an auxiliary carrier in inductively coupled In particular, RFID systems are described in Chapter 3.2 of the "RFID Handbook" by Klaus Finkenzeller.
In Mobilfunkendgeräten wird die sogenannte Nahfeldkornmunikationstech- nik (NF Near Field Communication) integriert, um eine Kommunikation zwischen den Endgeräten oder mit dem Terminal zu ermöglichen. Die Kopplung der Geräte/ Terminals findet über Spulen statt, wobei die Trägerfrequenz wie in RFID-Systemen 13,56 MHz beträgt. Wie in dem NFC- Standard ISO/IEC 18092 näher beschrieben, gibt es in NFC-Systemen einen aktiven Kommunikationsmodus und einen passiven Kommunikationsmodus. In dem aktiven Modus erzeugen zwei NFC-Einheiten abwechselnd ihr eigenes RF-Feld als Signalträger, schalten also wie in einem klassischen Mo- bilfunksystem, beide aufeinander abgestimmt, zwischen Sende- und Empfangsbetrieb hin und her. In dem passiven Modus müssen sich die beiden NFC-Einheiten dagegen einigen, welche Einheit als Lesegerät agiert und ein Feld erzeugt, das die andere Einheit dann mittels Lastmodulation beeinflussen kann. In mobile radio terminals, the so-called Nah Near Field Communication technology is integrated in order to enable communication between the terminals or with the terminal. The coupling of the devices / terminals takes place via coils, with the carrier frequency being 13.56 MHz, as in RFID systems. As described in more detail in the NFC standard ISO / IEC 18092, there is an active communication mode and a passive communication mode in NFC systems. In the active mode, two NFC units alternately generate their own RF field as signal carriers, switching back and forth between transmit and receive mode, as in a classic mobile radio system, both tuned to each other. In passive mode, however, the two NFC units must agree on which unit acts as a reader and creates a field that can then influence the other unit by means of load modulation.
Primär aufgrund der verwendeten kleinen Antennendurchmesser sind in NFC-Systemen - insbesondere im passiven Modus - nur geringe Kommunikationsreichweiten möglich. Die typische Reichweite von NFC-Endgeräten beträgt etwa 20 cm. Die eingesetzten Verfahren zur Datenübertragung sind denen kontaktloser Datenträger sehr ähnlich. NFC-Geräte sind daher auch in der Lage, mit kontaktlosen Datenträgern zu kommunizieren. Zur Realisierung der Kommunikation sind die Betriebsarten„Card Emulation",„Reader Emulation" und„Peer to Peer" (P2P) möglich. Primarily due to the small antenna diameters used, in NFC systems - especially in passive mode - only low communication ranges are possible. The typical range of NFC end devices is about 20 cm. The methods used for data transmission are very similar to those of contactless data carriers. NFC devices are therefore also able to communicate with contactless data carriers. To realize the communication, the operating modes "Card Emulation", "Reader Emulation" and "Peer to Peer" (P2P) are possible.
Im erfindungsgemäßen Verfahren wird die zu bestätigende Information auf der Anzeigeeinheit des tragbaren Datenträgers angezeigt, woraufhin der Be- nutzer die Information über die Eingabeeinheit bestätigen kann. Im Falle, dass der Benutzer diese Information über die Eingabeeinheit bestätigt, wird ein Bestätigungssignal von dem tragbaren Datenträger über die zweite kontaktlose Kommunikationsstrecke an das Endgerät übermittelt, woraufhin Bestätigungsdaten von dem Endgerät über die erste kontaktlose Kommunikationsstrecke an das Terminal übermittelt werden und hierdurch die Transaktion abgeschlossen wird. In the method according to the invention, the information to be confirmed is displayed on the display unit of the portable data carrier, whereupon the user can confirm the information via the input unit. In the event that the user confirms this information via the input unit, an acknowledgment signal is transmitted from the portable data carrier via the second contactless communication link to the terminal, whereupon confirmation data are transmitted from the terminal via the first contactless communication link to the terminal and thereby complete the transaction becomes.
Bei dem tragbaren Datenträger handelt es sich vorzugsweise um einen RFID- Sticker, der auf das Endgerät mechanisch lösbar angebracht werden kann. Insbesondere eine Klebeschicht auf dem Datenträger sorgt für die entsprechende Haftung zwischen Endgerät und Datenträger. The portable data carrier is preferably an RFID sticker which can be attached mechanically detachably to the terminal. In particular, an adhesive layer on the disk ensures the appropriate liability between the device and the disk.
Alternativ ist der Datenträger mit Sicherheitsfunktionalitäten ausgestaltet und beispielsweise als Smart Card, Chipkarte, Token, Massenspeicherkarte, Multimediakarte oder elektronischen Identitätsdokument ausgestaltet. Alternatively, the data carrier is configured with security functionalities and designed, for example, as a smart card, chip card, token, mass storage card, multimedia card or electronic identity document.
Das erfindungsgemäße Verfahren zeichnet sich dadurch aus, dass im Rahmen der Bestätigung von Informationen ein separater, nicht zum Endgerät gehöriger tragbarer Datenträger mit Anzeigeeinheit und Eingabeeinheit verwendet wird. Durch Anbringung dieses Datenträgers an dem Endgerät hat der Benutzer unmittelbar über sein Endgerät Zugriff auf den Datenträger. Er nutzt im Rahmen der Transaktion dabei nicht die Anzeigeeinheit bzw. die Tasten des Endgeräts, sondern die Anzeigeeinheit und die Eingabe- einheit des Datenträgers. Hierdurch werden Benutzerkomfort und Sicherheit erhöht. Insbesondere wenn der tragbare Datenträger an der Schutzhülle des Endgeräts vorgesehen ist, wird die Akzeptanz der Verwendung des Endgeräts bei der Durchführung der Transaktionen erhöht, denn ein Benutzer muss zur Bestätigung entsprechender Informationen die Schutzhülle nicht mehr von dem Endgerät entfernen. The inventive method is characterized in that in the context of the confirmation of information, a separate, not belonging to the terminal portable data carrier with display unit and input unit is used. By attaching this disk to the terminal, the user has access to the disk directly through his terminal. As part of the transaction, he does not use the display unit or the keys of the terminal, but rather the display unit and the input unit of the data carrier. This increases user comfort and security. In particular, if the portable data carrier is provided on the protective cover of the terminal, the acceptance of the use of the terminal in carrying out the transactions is increased because a user does not need to remove the protective cover from the terminal to confirm this information.
In einer besonders bevorzugten Ausführungsform basiert die erste und/ oder die zweite Kommunikationsstrecke auf der mittlerweile weit verbreiteten Nahfeld- bzw. NFC-Kommunikation, mit der über kurze Reichweiten im Dezimeterbereich Informationen übertragen werden. Die Eingabeeinheit des tragbaren Datenträgers kann verschieden ausgestaltet sein. In einer Variante umf asst die Eingabeeinheit eine einzelne, durch den Benutzer betätigbare Taste, mit der die entsprechende, auf der Anzeigeeinheit dargestellte Information bestätigt werden kann. Gegebenenfalls kann die Eingabeeinheit auch mehrere Tasten zur Eingabe von komplexeren Bestätigungen nach Art einer PIN umfassen. Ebenso kann die Eingabeeinheit als Gesten-Erkennungs- Mittel bzw. als biometrischer Sensor zur Erkennung von biometrischen Merkmalen und insbesondere als Fingerabdrucksensor ausgestaltet sein. In a particularly preferred embodiment, the first and / or the second communication link based on the now widespread near-field or NFC communication, with information over short ranges in the decimeter range are transmitted. The input unit of the portable data carrier can be configured differently. In one variant, the input unit comprises a single, operable by the user key with which the corresponding information displayed on the display unit can be confirmed. Optionally, the input unit may also include a plurality of keys for entering more complex acknowledgments in the manner of a PIN. Likewise, the input unit can be configured as a gesture recognition means or as a biometric sensor for the recognition of biometric features and in particular as a fingerprint sensor.
Das erfindungsgemäße Verfahren kann zur Durchführung beliebiger elektronischer Transaktionen eingesetzt werden, bei denen eine Bestätigung durch einen Benutzer erforderlich ist. In einer besonders bevorzugten Aus- führungsf orm wird das Verfahren zur Durchführung einer Bezahltransaktion verwendet, bei als Information, welche im Rahmen der elektronischen Transaktion durch den Benutzer zu bestätigen ist, ein an das Terminal zu zahlender Geldbetrag ist. Um die Sicherheit des Verfahrens zu erhöhen, kommuniziert das Endgerät in einer besonders bevorzugten Ausführungsform mittels eines an sich bekannten Sicherheitselements (englisch: Secure Element) und/ oder einer gesicherten Laufzeitumgebung, welche im Endgerät vorgesehen sind, über die erste und/ oder die zweite kontaktlose Kommurukationsstrecke. Das Sicherheits- element ist dann insbesondere als Hardwarekomponente ausgestaltet und als ein fest integrierter Bestandteil im mobilen Endgerät angeordnet, wobei es entweder in der Form nicht vom mobilen Endgerät entnommen werden kann, beispielsweise als M2M Modul, Co-Prozessor bzw. Trusted Base oder als ein entnehmbares Modul mit SicherheitsfunktionaHtät mit dem mobilen Endgerät verbunden ist, beispielsweise als Chipkarte, insbesondere einer Subscriber Identification Module, kurz SIM/USIM Karte, Smart Card, Mas- senspeicherkarte, USB-Token, Multimediakarte, Secure MicroSD-Karte, Mo- bilfunknetztoken, z.B. ein UMTS-Surf stick. The inventive method can be used to carry out any electronic transactions in which a confirmation by a user is required. In a particularly preferred embodiment, the method is used for carrying out a payment transaction, in the case of information which is to be confirmed by the user in the context of the electronic transaction, being an amount of money to be paid to the terminal. To increase the security of the method, the terminal communicates in a particularly preferred embodiment by means of a known security element (English: Secure Element) and / or a secure runtime environment, which are provided in the terminal, via the first and / or the second contactless Kommurukationsstrecke. The security element is then configured in particular as a hardware component and arranged as a fixed integrated component in the mobile terminal, where it can not be removed either in the form of the mobile device, for example as M2M module, co-processor or Trusted Base or as a removable module with SicherheitsfunktionaHtät is connected to the mobile terminal, for example as a smart card, in particular a Subscriber Identification Module, SIM / USIM card short, smart card, mass memory card, USB token, multimedia card, Secure MicroSD card, mobile network token, eg a UMTS Surf stick.
Alternativ ist das Sicherheitselement als eine Softwarekomponente als vertrauenswürdiger Teil des Betriebssystemkernels des mobilen Endgerätes bzw. als ein Sicherheitssoftware-Algorithmus ausgestaltet. Hierbei ist die Verwendung von gesicherten Laufzeitumgebungen zur Ausführung von Programmen bzw. Applikationen zu nennen. Insbesondere kann als gesicherte Laufzeitumgebung die an sich bekannte ARM TrustZone® eingesetzt werden, auf der z.B. das ebenfalls bekannte Betriebssystem MobiCore® läuft. Alternatively, the security element is designed as a software component as a trusted part of the operating system kernel of the mobile terminal or as a security software algorithm. Here, the use of secure runtime environments for executing programs or applications to call. In particular, the known per se ARM TrustZone ® can be used as a secure runtime environment on the example which is also known operating system MobiCore ® running.
In einer weiteren, besonders bevorzugten Ausführungsform signiert das Si- cherheitselement die über die erste kontaktlose Kommunikationsstrecke zu übermittelnden Bestätigungsdaten. Auf diese Weise wird es ermöglicht, dass am Terminal überprüft wird, dass die Bestätigungsdaten tatsächlich von dem Endgerät stammen, an das die zu bestätigende Information zuvor übermittelt wurde. In a further, particularly preferred embodiment, the security element signs the confirmation data to be transmitted via the first contactless communication link. In this way, it is possible to check at the terminal that the confirmation data actually comes from the terminal to which the information to be confirmed has previously been transmitted.
In einer weiteren bevorzugten Ausführungsform wird die Sicherheit des Verfahrens dadurch erhöht, dass sowohl eine gesicherte Laufzeitumgebung als auch ein Sicherheitselement im Endgerät vorgesehen sind, wobei die gesicherte Laufzeitumgebung den tragbaren Datenträger und das Sicherheits- element ansteuert. Durch die Ansteuerung des tragbaren Datenträgers durch die gesicherte Laufzeitumgebung wird eine manipulationsgeschützte Anzeige der Informationen auf der Anzeigeeinheit des Datenträgers erreicht. Durch die Ansteuerung des Sicherheitselements über die gesicherte Lauf- zeitumgebung können Manipulationen bei der Generierung bzw. Verarbeitung der an das Terminal zu übermittelnden Bestätigungsdaten vermieden werden. In a further preferred embodiment, the security of the method is increased by providing both a secure runtime environment and a security element in the terminal, wherein the secure runtime environment supports the portable data carrier and the security device. element is driving. By controlling the portable data carrier through the secure runtime environment, a tamper-proof display of the information on the display unit of the data carrier is achieved. By controlling the security element via the secure runtime environment, manipulation of the generation or processing of the confirmation data to be transmitted to the terminal can be avoided.
In einer besonders bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird das Bestätigungssignal von dem tragbaren Datenträger an das Endgerät in der Form eines rollierenden Codes übermittelt, wobei sich der rollierende Code für jedes neu übermittelte Bestätigungssignal verändert und wobei der rollierende Code auf einem gemeinsamen Geheimnis zwischen tragbarem Datenträger und Endgerät oder zwischen tragbarem Datenträger und einer anderen (externen) Einheit basiert. Auf diese Weise werden Angriffe verhindert, bei denen ein Angreifer unbefugt versucht, das Bestätigungssignal zu simulieren und an das Endgerät zu übertragen. In a particularly preferred embodiment of the method according to the invention, the confirmation signal is transmitted from the portable data carrier to the terminal in the form of a rolling code, wherein the rolling code for each newly transmitted acknowledgment signal changes and wherein the rolling code on a shared secret between portable data carrier and Terminal or between portable data carrier and another (external) unit. In this way, attacks are prevented in which an attacker unauthorized attempts to simulate the confirmation signal and transmit to the terminal.
In einer weiteren bevorzugten Ausführungsform ist das gemeinsame Ge- heimnis, das bei der Generierung des rollierenden Codes verwendet wird, durch eine manuelle, durch den Benutzer durchgeführte Paarung (englisch: Pairing) zwischen Endgerät und tragbarem Datenträger festgelegt. Die Paarung kann dabei auf einem Barcode basieren, der auf dem tragbaren Datenträger bzw. dessen Verpackung aufgebracht wird und bei der erstmaligen Verwendung des tragbaren Datenträgers z.B. über das Endgerät mittels eines geeigneten Lesers eingelesen wird. Hierdurch kann auf einfache Weise eine Zuordnung des tragbaren Datenträgers bei dessen Inbetriebnahme zu einem entsprechenden Endgerät erreicht werden. In einer weiteren Variante des erfindungsgemäßen Verfahrens verifiziert das oben beschriebene Sicherheitselement den vom tragbaren Datenträger übermittelten rollierenden Code basierend auf dem gemeinsamen Geheimnis und generiert bei erfolgreicher Verifikation das Bestätigungssignal. Vor- zugsweise signiert es dabei auch das Bestätigungssignal. Gegebenenfalls besteht auch die Möglichkeit, dass die oben beschriebene gesicherte Laufzeitumgebung den übermittelten rollierenden Code basierend auf dem gemeinsamen Geheimnis verifiziert und bei erfolgreicher Verifikation das Sicherheitselement dazu veranlasst, das Bestätigungssignal zu generieren und ggf. auch zu signieren. In a further preferred embodiment, the common secret used in the generation of the rolling code is determined by a manual, user-paired pairing between the terminal and the portable data carrier. The pairing can be based on a barcode which is applied to the portable data carrier or its packaging and is read during the first use of the portable data carrier, for example via the terminal by means of a suitable reader. As a result, an assignment of the portable data carrier during its commissioning can be achieved in a simple manner to a corresponding terminal. In a further variant of the method according to the invention, the security element described above verifies the rolling code transmitted by the portable data carrier based on the shared secret and generates the confirmation signal upon successful verification. Preferably, it also signs the confirmation signal. Optionally, there is also the possibility that the secure runtime environment described above verifies the transmitted rolling code based on the shared secret and causes the security element to successfully generate the verification signal and possibly also to sign.
Wie oben erwähnt, kann das gemeinsame Geheimnis auch zwischen dem tragbaren Datenträger und einer anderen (externen) Einheit festgelegt sein. Vorzugsweise übermittelt dabei das Endgerät den rollierenden Code als Bestätigungsdaten oder zusammen mit den Bestätigungsdaten über die erste Kon murtikationsstrecke an das Terminal, woraufhin das Terminal die Verifikation des rollierenden Codes veranlasst und nur bei erfolgreicher Verifikation die elektronische Transaktion abgeschlossen wird. Gegebenenfalls kann das Terminal die externe Einheit darstellen. Die externe Einheit kann jedoch auch ein externer Server eines Hintergrundsystems sein, an den der rollie- rende Code von dem Terminal zur Verifikation weitergeleitet wird. As mentioned above, the shared secret may also be defined between the portable data carrier and another (external) device. Preferably, the terminal transmits the rolling code as confirmation data or together with the confirmation data on the first con murtikationsstrecke to the terminal, whereupon the terminal causes the verification of the rolling code and only upon successful verification, the electronic transaction is completed. Optionally, the terminal may represent the external unit. However, the external unit may also be an external server of a background system to which the rolling code is forwarded by the terminal for verification.
Neben dem oben beschriebenen Verfahren betrifft die Erfindung ferner ein System zur Durchführung einer elektronischen Transaktion zwischen einem mobilen Endgerät und einem Terminal. Das System umfasst dabei das mobile Endgerät und den Terminal sowie einen tragbaren Datenträger. Das System ist derart ausgestaltet, dass in dessen Betrieb das erfindungsgemäße Verfahren bzw. eine oder mehrere Varianten des erfindungsgemäßen Verfahrens durchführbar sind. Die Erfindung betrifft darüber hinaus einen tragbaren Datenträger zur Verwendung in dem erfindungsgemäßen Verfahren bzw. in einer oder mehreren Varianten des erfindungsgemäßen Verfahrens. Er umfasst eine Anzeige- einheit, eine kontaktlose Kommunikationsschnittstelle, insbesondere zur NFC-Kommunikation, und eine von einem Benutzer betätigbare Eingabeeinheit, welche derart ausgestaltet sind, dass der tragbare Datenträger im Betrieb eine Information, welche von dem Benutzer zu bestätigen ist, über die kontaküose Kommunikationssdinittstelle von dem Endgerät empfängt und anschließend über die Anzeigeeinheit anzeigt, wobei der tragbare Datenträger nach einer anschließenden Bestätigung der Information über die Eingabeeinheit das Bestätigungssignal über die kontaktlose Kommunikationsschnittstelle zum Endgerät aussendet. Der tragbare Datenträger ist vorzugsweise an einer Schutzhülle vorgesehen, welche an das Endgerät angebracht werden kann. Das Anbringen erfolgt insbesondere mechanisch lösbar, beispielsweise mittels einer Klebeschicht auf dem tragbaren Datenträger. In diesem Sinne betrifft die Erfindung auch eine Schutzhülle mit dem daran vorgesehenen tragbaren Datenträger. In addition to the method described above, the invention further relates to a system for performing an electronic transaction between a mobile terminal and a terminal. The system includes the mobile terminal and the terminal as well as a portable data carrier. The system is designed such that in its operation, the method according to the invention or one or more variants of the method according to the invention can be carried out. The invention further relates to a portable data carrier for use in the method according to the invention or in one or more variants of the method according to the invention. It comprises a display unit, a contactless communication interface, in particular for NFC communication, and a user-operable input unit, which are configured such that the portable data carrier, in operation, has information to be confirmed by the user about the contact Kommunikationsssdinittstelle receives from the terminal and then displayed on the display unit, wherein the portable data carrier sends the acknowledgment signal via the contactless communication interface to the terminal after a subsequent confirmation of the information via the input unit. The portable data carrier is preferably provided on a protective cover, which can be attached to the terminal. The attachment takes place in particular mechanically detachable, for example by means of an adhesive layer on the portable data carrier. In this sense, the invention also relates to a protective cover with the portable data carrier provided thereon.
Insbesondere ist der tragbare Datenträger in Kommunikationsreichweite mit dem Mobiltelefon angeordnet und wird anstelle des Endgeräts zur Bestätigung der Transaktion verwendet wird. Dabei führt das Mobiltelefon die Transaktion ohne Benutzerinteraktion durch. Benutzerinteraktion im Sinne der Erfindung bedeutet zum Einen, dass der Benutzer weder beim Aufbau noch bei der Durchführung der Transaktion eine Interaktion auf dem Mobiltelefon durchführen muss. Zusätzlich muss der Benutzer das Endgerät nicht aus seiner Aufbewahrung, beispielsweise einer Tasche des Benutzers ent- nehmen, um die Transaktion durchzuführen, da die Bestätigung vom Datenträger übernommen wird. In particular, the portable data carrier is arranged in communication range with the mobile phone and is used instead of the terminal for confirming the transaction. The mobile phone performs the transaction without user interaction. User interaction in the meaning of the invention means, on the one hand, that the user does not have to carry out an interaction on the mobile phone either when setting up or when carrying out the transaction. In addition, the user does not have to remove the terminal from his storage, for example a pocket of the user. to perform the transaction as the acknowledgment is taken from the volume.
Nachfolgend wird anhand einer Figur die Erfindung bzw. deren Ausfüh- rungsf ormen und Vorteile der Erfindung näher erläutert, wobei die Figur lediglich Ausführungsbeispiele der Erfindung beschreiben. Gleiche Bestandteile in der Figur werden mit gleichen Bezugszeichen versehen. Die Figur ist nicht als maßstabsgetreu anzusehen, es können einzelne Elemente der Figur übertrieben groß bzw. übertrieben vereinfacht dargestellt sein. In the following, the invention or its embodiments and advantages of the invention will be explained in greater detail on the basis of a figure, the figures describing only exemplary embodiments of the invention. Identical components in the figure are given the same reference numerals. The figure is not to be considered as true to scale, it can be exaggerated in size or exaggerated simplified individual elements of the figure.
Die Erfindung wird nachfolgend basierend auf einer elektronischen Transaktion in der Form einer Bezahltransaktion erläutert, welche zwischen einem mobilen Endgerät eines Benutzers und einem Beza -Terminal durchgeführt wird. Gemäß Fig. 1 wird als mobiles Endgerät ein Mobiltelefon 1 verwendet, das drahtlos über eine IS^C-Kommunikationsstrecke Kl mit einem Bezahl- Terminal 2 kommuniziert. Zur kontaktlosen Kommunikation umf asst das BezaH-Terrrtinal eine schematisch angedeutete kontaküose NFC-Schnittstelle bzw. Antenne 201, welche mit einer entsprechenden NFC-Schnittstelle bzw. Antenne 103 (ebenfalls schematisch dargestellt) des Mobiltelefons 1 kommu- niziert. Das Mobiltelefon umfasst ferner ein Display 101 sowie ein an sich bekanntes Sicherheitselement 102 (englisch: Secure Element), welches in der dargestellten Variante über die USIM/SIM-Karte des Benutzers realisiert ist. The invention is explained below based on an electronic transaction in the form of a payment transaction, which is performed between a user's mobile terminal and a Beza terminal. According to FIG. 1, a mobile telephone 1 is used as the mobile terminal, which communicates wirelessly via an IS 1 C communication link K 1 with a payment terminal 2. For contactless communication, the BezaH Terrrtinal includes a schematically indicated kontaküose NFC interface or antenna 201, which communicates with a corresponding NFC interface or antenna 103 (also shown schematically) of the mobile phone 1. The mobile telephone further comprises a display 101 and a per se known security element 102 (English: Secure Element), which is realized in the illustrated variant via the USIM / SIM card of the user.
Im Rahmen des hier beschriebenen Verfahrens möchte ein Benutzer über sein Mobiltelefon 1 kontaktlos einen vorbestimmten Betrag bezahlen. Beispielsweise kann das BezaW-Terminal 2 zur Ausgabe von Fahrkarten für öffentliche Verkehrsmittel vorgesehen sein, wobei die Bezahlung der Fahrkarte kontaktlos über die Korrimunikationsstrecke Kl erfolgen soll. Im Rahmen des Bezahlvorgangs ist es erforderlich, dass der zu bezahlende Betrag dem Benutzer angezeigt wird und durch diesen bestätigt wird. In der hier beschriebenen Variante der Erfindung wird hierzu neben dem Mobiltelefon 1 ein tragbarer Datenträger 3 in der Form eines sog. Stickers eingesetzt Dieser Sticker ist in einer Schutzhülle 4 vorgesehen, in welche das Mobiltelefon 1 gesteckt ist. Die Schutzhülle ist dabei durch einen dickeren Rand um das Mobiltelefon 1 angedeutet. Der Sticker 3 umf asst ein separates Display 301 sowie eine Taste 302 und wiederum eine NFC-Sdmittstelle bzw. Antenne 303, mittels der eine Kornmunikation mit dem Mobiltelefon über dessen Antenne 103 basierend auf der kontaktlosen Kornmunikationsstrecke K2 erfolgt. Darüber hinaus ist auf dem Sticker ein Barcode angebracht, der schematisch durch das Bezugszeichen 304 angedeutet ist. Durch die Anbringung des Stickers auf der Schutzhülle 4 kann auf einfache Weise eine Anzeige und Bestätigung des im Rahmen des Bezahlvorgangs zu bezahlenden Betrags über das Display 301 und die Taste 302 erreicht werden, wie im Folgenden noch näher erläutert wird. As part of the method described here, a user wants to contactlessly pay a predetermined amount via his mobile phone 1. For example, the BezaW terminal 2 may be provided for the issue of public transport tickets, the payment of the ticket being made contactlessly via the correspondence link K1. As part of the payment process, it is necessary that the amount to be paid to the User is displayed and confirmed by this. In the variant of the invention described here, in addition to the mobile telephone 1, a portable data carrier 3 in the form of a so-called sticker is used for this purpose. This sticker is provided in a protective cover 4 into which the mobile telephone 1 is inserted. The protective cover is indicated by a thicker edge around the mobile phone 1. The sticker 3 comprises a separate display 301 as well as a button 302 and in turn an NFC interface or antenna 303, by means of which a Kornmunikation with the mobile phone via the antenna 103 based on the contactless Kornmunikationsstrecke K2. In addition, a barcode is attached to the sticker, which is indicated schematically by the reference numeral 304. By attaching the sticker on the protective cover 4, a display and confirmation of the amount to be paid in the context of the payment process via the display 301 and the button 302 can be achieved in a simple manner, as will be explained in more detail below.
Der in der hier beschriebenen Ausführungsform verwendete Sticker ist sehr einfach aufgebaut und umfasst vorzugsweise keine eigene Energieversorgung, d.h. er wird lediglich durch die über die NFC-Schnittstelle 303 emp- fangene Feldenergie im Rahmen einer kontaktlosen Kommunikation betrieben. Nichtsdestotrotz besteht gegebenenfalls auch die Möglichkeit, dass ein Pufferspeicher oder eine Batterie im Sticker vorgesehen sind, die je nach Anwendungsfall den Sticker zusätzlich oder vollständig mit Energie versorgen. The sticker used in the embodiment described here is very simple and preferably does not have its own power supply, i. it is only operated by the field energy received via the NFC interface 303 in the context of contactless communication. Nevertheless, there may also be the possibility that a buffer memory or a battery may be provided in the sticker which, depending on the application, supplies the sticker additionally or completely with energy.
Im Folgenden wird der Ablauf des Bezahlvorgangs basierend auf den in Fig. 1 dargestellten Geräten erläutert. Im Rahmen des Bezahlvorgangs ist es erforderlich, dass der Benutzer den zu zahlenden Betrag in geeigneter Weise bestätigt. Deshalb wird in Schritt Sl eine Information IN über die kontaktlose Kommunikationsstrecke Kl von dem Terminal 2 übermittelt. Diese Information enthält den von dem Benutzer zu zahlenden Geldbetrag. Nach Empfang der Information IN im Mobiltelefon 1 bzw. Sicherheitselement 102 wird diese - im Unterschied zu bekannten Verfahren - nicht auf dem Display 101 angezeigt, sondern im Schritt S2 über die kontaktlose Kommunikationsstrecke K2 an den Sticker 3 weitergeleitet. Da der Sticker in der Schutzhülle 4 des Mobiltelefons vorgesehen ist, ist auch sichergestellt, dass dieser in Kommunikationsreichweite zu dem Mobiltelefon 1 ist. Die im Sticker empfangene Information IN wird anschließend auf dem Display 301 des Stickers ange- zeigt. Der Benutzer kann den Betrag dann ablesen, ohne dass er die Schutzhülle 4 vom Mobiltelefon 1 entfernen muss. Sollte der Betrag dem Zahlbetrag entsprechen, der im Rahmen der Transaktion dem Benutzer zuvor (z.B. über ein Display auf dem Terminal) mitgeteilt wurde, kann der Benutzer nunmehr über die Betätigung der Taste 302 den Betrag bestätigen. In the following, the procedure of the payment process will be explained based on the devices shown in FIG. As part of the payment process, it is necessary that the user confirms the amount to be paid in an appropriate manner. Therefore, in step Sl, an information IN about the contactless Communication line Kl transmitted from the terminal 2. This information contains the amount of money to be paid by the user. After receiving the information IN in the mobile phone 1 or security element 102, this is - in contrast to known methods - not displayed on the display 101, but forwarded in step S2 via the contactless communication path K2 to the sticker 3. Since the sticker is provided in the protective cover 4 of the mobile phone, it is also ensured that it is in communication range with the mobile telephone 1. The information IN received in the sticker is then displayed on the display 301 of the sticker. The user can then read the amount without having to remove the protective cover 4 from the mobile phone 1. If the amount corresponds to the payment amount communicated to the user in the context of the transaction (eg via a display on the terminal), the user can now confirm the amount by pressing the key 302.
Nach dieser Bestätigung wird im Schritt S3 über die kontaktlose Kommuni- kationsstrecke K2 ein entsprechendes Bestätigungssignal BS vom Sticker 3 an das Mobiltelefon 1 übermittelt. Aus diesem Bestätigungssignal werden in Schritt S4 entsprechende Bestätigungsdaten BD generiert, die über das Si- cherheitselement 102 mit einer Signatur SIG versehen werden. Die Bestätigungsdaten können dabei ggf. dem Bestätigungssignal entsprechen. Die signierten Bestätigungsdaten werden schließlich in Schritt S5 über die erste kontaktlose Kommunikationsstrecke Kl an das Terminal 2 übermittelt. Durch die empfangenen Bestätigungsdaten wird dem Terrninal mitgeteilt, dass der Bezahlvorgang durch den Benutzer autorisiert wurde und der Transaktionsvorgang hiermit abgeschlossen ist. Über die Signatur der Bestätigungsdaten kann das Terminal ferner überprüfen, dass die Bestätigungsdaten auch tatsächlich von dem Mobiltelefon 1 des Benutzers stammen. Im Allgemeinen werden zur Unterstützung von elektronischen Transaktionen entsprechende Applikationen bzw. Applets verwendet, welche in dem Sicherheitselement 102 des Endgeräts 1 integriert sind. In einer Variante der Erfindung unterstützt das Applet im Sicherheitselement bereits von sich aus die Einbindung des Stickers 3 in die Transaktion. Es sind jedoch auch Varianten denkbar, bei denen das Applet die Einbindung des Stickers nicht unterstützt. In diesem Fall ist ein zweites Sticker- Applet auf dem Endgerät 1 installiert, welches nicht unbedingt auf dem Sicherheitselement 102 hinterlegt sein muss. Dieses Applet übernimmt dann die Kommunikation zwischen dem Sicherheitselement bzw. dem Endgerät und dem Sticker. Es fängt dabei die Ausgabe des Bezahlapplets auf dem Endgerät bzw. an das mobile Endgerät ab und leitet die Information bezüglich des zu zahlenden Betrags an den Sticker weiter. Umgekehrt empfängt dieses Applet die Antwort vom Sticker und erzeugt daraus eine Antwort, die den Anforderungen des Bezahlapplets auf dem Sicherheitselement genügt. After this confirmation, a corresponding acknowledgment signal BS is transmitted from the sticker 3 to the mobile telephone 1 in step S3 via the contactless communication link K2. From this confirmation signal, corresponding confirmation data BD are generated in step S4, which are provided with a signature SIG via the security element 102. The confirmation data may possibly correspond to the confirmation signal. The signed confirmation data are finally transmitted to the terminal 2 via the first contactless communication link K 1 in step S 5. The received confirmation data inform the Terrninal that the payment process has been authorized by the user and that the transaction process is now complete. Via the signature of the confirmation data, the terminal can also check that the confirmation data actually originate from the mobile phone 1 of the user. In general, corresponding applications or applets that are integrated in the security element 102 of the terminal 1 are used to support electronic transactions. In a variant of the invention, the applet already supports the integration of the sticker 3 in the transaction in the security element. However, variants are also conceivable in which the applet does not support the integration of the sticker. In this case, a second sticker applet is installed on the terminal 1, which does not necessarily have to be stored on the security element 102. This applet then takes over the communication between the security element or the terminal and the sticker. In this case, the output of the payment applet on the terminal or on the mobile terminal intercepts and forwards the information relating to the amount to be paid to the sticker. Conversely, this applet receives the response from the sticker and generates a response that meets the requirements of the payment applet on the security element.
Die Kommunikation zwischen dem Endgerät und dem Sticker sollte möglichst einfach sein. D.h., auf die Verwendung von komplexen kryptographi- schen Algorithmen sollte im Rahmen der Kommunikation verzichtet werden. In einer bevorzugten Ausführungsform der Erfindung wird deshalb die in Schritt S2 übermittelte Information IN bezüglich des Bezahlbetrags unverschlüsselt übertragen. Dies ist unproblematisch, denn würde dieser Betrag von einem Angreifer verfälscht, so würde der falsche Betrag für den Benutzer auf dem Display 301 des Stickers 3 sichtbar und demzufolge von dem Benutzer nicht bestätigt werden. Zur Erhöhung der Sicherheit wird in Schritt S2 auch darauf verzichtet, weitere Informationen, wie z.B. die Identifikation des Endgeräts, zusammen mit der Information IN zu übermitteln. Im Unterschied zur Kommunikation vom Endgerät 1 hin zum Sticker 3, ist die umgekehrte Kommunikation vom Sticker 3 hin zum Endgerät 1 deutlich sicherheitskritischer. Insbesondere könnte ein Angreifer das beim Drücken der Taste 302 ausgesendete Bestätigungssignal BS nachstellen und an das Endgerät 1 senden, so dass unbemerkt Transaktionen von außen durchgeführt werden könnten. Um dies zu vermeiden, sind in einer bevorzugten Variante der Erfindung entsprechende Sicherheitsmechanismen vorgesehen, welche vorzugsweise möglichst einfach ausgestaltet sein sollten. Insbesondere können dabei sog. rollierende Codes zum Einsatz kommen, welche nach Art eines One-Time-Passworts immer nur einmalig bei der Betätigung der Taste 302 erzeugt werden und sich somit von Betätigung zu Betätigung verändern. D.h., der Sticker 3 sendet nach dem Anzeigen des zu zahlenden Betrags auf dem Display 301 und nach der zugehörigen Bestätigung des Benutzers über die Taste 302 bei jeder Bezahltransaktion einen anderen Code zu- rück an das Endgerät 1. Hierfür ist es erforderlich, dass das Endgerät den Code in geeigneter Weise als Bestätigungssignal verifizieren kann. In einer bevorzugten Variante wird dies durch eine manuelle Paarung (englisch: Pairing) zwischen dem Endgerät 1 und dem Sticker 3 erreicht. Über diese Paarung wird sichergestellt, dass das Endgerät und der Sticker ein gemeinsames Geheimnis aufweisen, auf dem dann der entsprechende rollierende Code basiert. Einem Angreifer ist es dann nicht mehr möglich, die Ausgabe eines Bestätigungssignals gegenüber dem Endgerät vorzutäuschen. The communication between the device and the sticker should be as simple as possible. That is, the use of complex cryptographic algorithms should be omitted in the context of communication. In a preferred embodiment of the invention, therefore, the information IN transmitted in step S2 is transmitted unencrypted with regard to the payment amount. This is not a problem, because if this amount were corrupted by an attacker, the wrong amount would be visible to the user on the display 301 of the sticker 3 and therefore not confirmed by the user. In order to increase security, in step S2 it is also dispensed with transmitting further information, such as the identification of the terminal, together with the information IN. In contrast to the communication from the terminal 1 to the sticker 3, the reverse communication from the sticker 3 towards the terminal 1 is much more safety-critical. In particular, an attacker could readjust and send the acknowledgment signal BS sent on pressing the key 302 to the terminal 1, so that external transactions could be performed unnoticed. In order to avoid this, in a preferred variant of the invention corresponding safety mechanisms are provided, which should preferably be as simple as possible. In particular, so-called rolling codes can be used, which are always generated in the manner of a one-time password only once upon actuation of the key 302 and thus change from actuation to actuation. That is, the sticker 3 sends after displaying the amount to be paid on the display 301 and after the corresponding confirmation of the user via the key 302 in each payment transaction another code back to the terminal 1. This requires that the terminal can verify the code appropriately as a confirmation signal. In a preferred variant, this is achieved by a manual pairing (English: Pairing) between the terminal 1 and the sticker 3. This pairing ensures that the device and the sticker share a common secret upon which the corresponding rolling code is based. An attacker is then no longer possible to pretend the output of a confirmation signal to the terminal.
Das manuelle Pairing zwischen dem Endgerät 1 und dem Sticker 3 kann auf verschiedene Weise vorgenommen werden. In der Ausführungsform der Fig. 1 wird hierzu der auf dem Sticker 3 aufgedruckte Barcode 304 verwendet, der eindimensional oder zweidimensional sein kann. Der Barcode kann gegebenenfalls auch auf der Verpackung des Stickers aufgebracht sein, der nach dem Auspacken dann auf der Schutzhülle des Mobiltelefons, z.B. über eine entsprechende Klebefläche, befestigt wird. Der Barcode enthält den Teil des Geheimnisses, den das Endgerät zur Verifikation des roUierenden Codes benötigt. Im Rahmen der Durchführung des manuellen Pairings wird zur Inbetriebnahme des Stickers der entsprechende Barcode über einen Leser des Endgeräts eingelesen und anschließend dazu verwendet, um das Bezahlapplet auf dem Sicherheitselement bzw. das separate Sticker- Applet zu personalisieren. Das manuelle Pairing kann jedoch gegebenenfalls auch auf andere Weise ablaufen, z.B. über die Eingabe einer Zahlenfolge mittels der Tastatur des Endgeräts, ähnlich dem Pre-Shared Key bei WLAN. Die Zahlenfolge kann dabei wiederum auf dem Sticker bzw. dessen Verpackung aufgebracht sein. The manual pairing between the terminal 1 and the sticker 3 can be made in various ways. In the embodiment of FIG. 1, the barcode 304 printed on the sticker 3 is used, which can be one-dimensional or two-dimensional. If necessary, the barcode can also be applied to the packaging of the sticker, which then, after being unpacked, is placed on the protective cover of the mobile telephone, for example via a corresponding adhesive surface is attached. The barcode contains the part of the secret that the terminal needs to verify the rouoding code. As part of the implementation of manual pairing the corresponding barcode is read via a reader of the terminal for commissioning the sticker and then used to personalize the payment applet on the security element or the separate sticker applet. However, the manual pairing can possibly also be carried out in other ways, for example by entering a sequence of numbers using the keyboard of the terminal, similar to the pre-shared key in WLAN. The sequence of numbers can in turn be applied to the sticker or its packaging.
Das im Vorangegangenen beschriebene erfindungsgemäße Verfahren kann verschiedenen Modifikationen unterliegen. Insbesondere kann der Sticker komplexer ausgestaltet sein, um die Transaktionssicherheit weiter zu erhöhen. Es kann beispielsweise zur Bestätigung des am Display 301 angezeigten Betrags die Eingabe einer Tastenkombination nach Art einer PIN vorgesehen sein. In diesem Fall sind auf dem Sticker weitere Tasten vorgesehen. Ferner kann die Bestätigung mittels einer Geste des Benutzers eingegeben werden, welche z.B. durch einen Dehnungsmessstreifen am Sticker erfasst werden kann. Ebenso besteht bei hochsicherheitskritischen Transaktionen die Möglichkeit, biometrische Merkmale des Benutzers über einen biometrischen Sensor am Sticker zu erfassen. Vorzugsweise wird hierzu ein Fingerabdrucksensor verwendet. Nur wenn ein über den Sensor erfasster Fingerabdruck mit einem im Sticker hinterlegten Abdrucksmuster übereinstimmt, wird dann ein entsprechendes Bestätigungssignal BS ausgesendet. The process of the invention described above may be subject to various modifications. In particular, the sticker can be made more complex in order to further increase transaction security. For example, to confirm the amount displayed on the display 301, the input of a key combination in the manner of a PIN may be provided. In this case, additional buttons are provided on the sticker. Furthermore, the confirmation may be entered by means of a gesture of the user, e.g. can be detected by a strain gauge on the sticker. Likewise, in highly security-critical transactions, it is possible to capture biometric features of the user via a biometric sensor on the sticker. Preferably, a fingerprint sensor is used for this purpose. Only if a fingerprint detected via the sensor coincides with an imprint pattern deposited in the sticker is a corresponding confirmation signal BS emitted.
In einer weiteren Variante können spezielle Sicherheitsmechanismen zur Prüfung der oben beschriebenen roUierenden Codes vorgesehen werden. Vorzugsweise ist dabei auf dem Mikroprozessor des mobilen Endgeräts eine an sich bekannte Trustzone vorgesehen, innerhalb der die Verifikation der rollierenden Codes erfolgt. Die Trustzone stellt eine gesicherte Laufzeitumgebung dar und verwendet in einer bevorzugten Ausführungsform das an sich bekannte Betriebssystem MobiCore. In einer weiteren Ausführungsform wird die Ansteuerung des Stickers 3 und des Sicherheitselements 102 ausschließlich über eine TrustZone vorgenommen. Durch diese Ansteuerung ist das Sticker-Display 301 ein sog. sicheres Display, welches gegen Manipulationen geschützt ist. Der auf dem Display angezeigte Bezahlbetrag ist demzu- folge vertrauenswürdig. Über die TrustZone wird auch die Prüfung eines empfangenen Bestätigungssignals und insbesondere eines entsprechenden rollierenden Codes durchgeführt. Erst bei positiver Verifikation des Signals steuert die TrustZone das Sicherheitselement 102 zur Signatur entsprechender Bestätigungsdaten an. Ggf. besteht auch die Möglichkeit, dass der rollie- rende Code durch das Sicherheitselement geprüft wird. Dabei kann der rol- lierende Code z.B. mit dem bestätigten Bezahlbetrag verknüpft sein, wodurch eine Art TAN geschaffen wird. In a further variant, special security mechanisms can be provided for checking the roaming codes described above. Preferably, a trust zone known per se is provided on the microprocessor of the mobile terminal, within which the verification of the rolling codes takes place. The trust zone represents a secure runtime environment and uses the known per se operating system MobiCore in a preferred embodiment. In a further embodiment, the activation of the sticker 3 and the security element 102 is carried out exclusively via a TrustZone. By this control, the sticker display 301 is a so-called. Secure display, which is protected against manipulation. As a result, the amount of payment displayed on the display is trusted. The TrustZone also checks the receipt of a received acknowledgment signal and in particular a corresponding rolling code. Only when the signal is positively verified does the TrustZone trigger the security element 102 to sign corresponding confirmation data. Possibly. It is also possible that the rolling code is checked by the security element. For example, the rolling code can be linked to the confirmed payment amount, creating a kind of TAN.
In den soeben beschriebenen Varianten der Erfindung wird immer ausge- hend vom Endgerät die Richtigkeit der rollierenden Codes geprüft Gegebenenfalls ist es auch möglich, dass ein entfernter, vertrauenswürdiger Server, beispielsweise der Server des Anbieters des Bezahlsystems, die rollierenden Codes überprüft. Dabei wird der Code zusammen mit den Bestätigungsdaten BD über die Kommunikationsstrecken Kl von dem Endgerät 1 an das Terminal 2 gesendet. Das Terminal reicht den Code dann an den entfernten Server weiter, der diesen überprüft. Diese Variante der Erfindung hat den Vorteil, dass ein Trojaner- Angriff auf das Endgerät deutlich geringere Aussichten auf Erfolg hat. Dies Hegt daran, dass das Endgerät nun nicht mehr personalisiert ist und ein Trojaner somit keinen Zugriff auf das gemeinsame Geheimnis zwischen Sticker und Server hat. Ein Trojaner kann folglich auch keine verborgenen Transaktionen mehr auslösen, denn hierzu ist immer die Generierung eines entsprechenden Bestätigungssignals erforderlich, für das jedoch das gemeinsame Geheimnis benötigt wird. In the variants of the invention just described, the correctness of the rolling codes is always checked by the terminal. If necessary, it is also possible for a remote, trustworthy server, for example the server of the payment system provider, to check the rolling codes. In this case, the code is sent together with the confirmation data BD via the communication links Kl from the terminal 1 to the terminal 2. The terminal then passes the code to the remote server, which checks it. This variant of the invention has the advantage that a Trojan attack on the terminal has much less chance of success. This is due to the fact that the terminal is no longer personalized and a Trojan thus has no access to the common Has secret between sticker and server. Consequently, a Trojan can no longer trigger hidden transactions, since this always requires the generation of an appropriate acknowledgment signal, but for which the shared secret is needed.
Die im Vorangegangenen beschriebenen Ausführungsformen der Erfindung weisen eine Reihe von Vorteilen auf. Über die Verwendung eines am Endgerät angebrachten Stickers mit Display und Taster wird eine einfache und komfortable Abwicklung von Transaktionen mit geringen Zusatzkosten er- reicht. Da der Sticker vorzugsweise in der Schutzhülle des Endgeräts vorgesehen ist, ist es nicht mehr erforderlich, dass zur Abwicklung der Transaktionen das Endgerät aus der Schutzhülle entfernt werden muss, was die Akzeptanz bei der Durcriführung der Transaktionen beim Benutzer erhöht. Ferner wird die Gefahr reduziert, dass das Endgerät beim Entfernen aus der Schutzhülle herunterfällt und hierdurch beschädigt bzw. zerstört wird. Zur Realisierung der elektronischen Transaktionen sind ferner nur geringe Modifikationen im Vergleich zu herkömmlichen, ohne Zwischenschaltung eines Stickers durchgeführten Transaktionen erforderlich. Insbesondere muss nur die Software auf dem Endgerät angepasst werden. Somit kann das erfin- dungsgemäße Verfahren in bereits bestehende Bezahlsysteme problemlos integriert werden. Darüber hinaus ist es von Vorteil, dass zur Bestätigung der Transaktion ein separater tragbarer Datenträger verwendet wird, denn die Tastatur auf einem mobilen Endgerät gilt im Regelfall nicht als sicher. In einer alternativen Ausgestaltung ist der Datenträger 3 nicht notwendigerweise auf der Schutzhülle 4 des Mobiltelefons 1 angebracht sein. Vielmehr kann der Datenträger 3 auch als ein kostengünstiges Endgerät dienen, welches das Hantieren mit dem Mobiltelefon 1 überflüssig macht. In diesem Fall hätte der Datenträger 3 die Form einer ID-l-Chipkarte. Der beschriebene Ablauf der Transaktion ändert sich dabei nicht. Der Kunde/Benutzer zieht nur noch die Karte aus der Tasche und bestätigt die Transaktion. Da die Kommunikationsreichweite zwischen Datenträger 3 du Endgerät 1 wie üblich in RFID- und NFC-Systemen bis zu 20cm beträgt ist eine derartige Ausgestaltung prinzipiell möglich. Attraktiver für den Benutzer ist aUerdings eine größere Kommunikationsreichweite für die Datenübertragung. The embodiments of the invention described above have a number of advantages. The use of a terminal-mounted sticker with display and push-button ensures simple and convenient transaction processing with low additional costs. Since the sticker is preferably provided in the protective cover of the terminal, it is no longer necessary that the terminal must be removed from the protective envelope to complete the transactions, which increases the acceptance in the Durkriführung the transactions at the user. Furthermore, the risk is reduced that the terminal falls off during removal from the protective cover and thereby damaged or destroyed. For the realization of the electronic transactions, furthermore, only minor modifications are required in comparison with conventional transactions carried out without the interposition of a sticker. In particular, only the software on the terminal needs to be adapted. Thus, the inventive method can be easily integrated into existing payment systems. In addition, it is advantageous that a separate portable data carrier is used to confirm the transaction, because the keyboard on a mobile device is generally not considered safe. In an alternative embodiment, the data carrier 3 is not necessarily mounted on the protective cover 4 of the mobile phone 1. Rather, the disk 3 can also serve as a low-cost terminal, which makes handling of the mobile phone 1 superfluous. In this case, the data carrier 3 would be in the form of an ID-1 chip card. The described procedure of the transaction does not change. The customer / user just pulls the card out of his pocket and confirms the transaction. Since the communication range between disk 3 you terminal 1 as usual in RFID and NFC systems is up to 20cm, such a configuration is possible in principle. But more attractive for the user is a greater communication range for data transmission.
Dafür wird zur Kornmunikation zwischen Endgerät 1 und Datenträger 3 ein RFID-System zur Übertragung im Ultra High Frequency, kurz UHF-Bereich eingesetzt, sodass eine größere Kommunikationsreichweite zur Übertragung der Daten vom Endgerät 1 zum Datenträger 3 ermöglicht wird. Der Datenträger 1 weist insbesondere eine Energieversorugn 305 in Form einer Batterie auf. Alternativ werden die Daten vor dem Herausziehen des Datenträgers 3 aus einer Tasche des Benutzers von dem Endgerät 1 an den Datenträger 3 übertragen. Nach dem Einstecken in die Tasche wird die Bestätigung vom Datenträger 3 zurück an das Endgerät 1 gesendet. Durch dieses alternative Verfahren wird das Hantieren mit den durchaus empfindlichen Mobiltelefonen 1, beispielsweise das Herunterfallen oder der Diebstahl komplett vermieden. Wenn der Datenträger 1 eine Chipkarte ist, kann deren enorme Robustheit gegen Umwelteinflüsse genutzt werden. Gleichzeitig ist ein Verlust/ Diebstahl der Chipkarte kein Problem, da eine erfindungsgemäße Transaktion ohne die Energiebereitstellung und die Datenübertragung mit dem Endgerät 1 nicht möglich ist. Die Karte kann demnach an einem viel unsichereren Platz, beispielsweise einer Hosen- oder Hemdtasche des Benutzers verwahrt werden, was die Handhabung für den Kunden/ Benutzer deutlich erleichtert. Bezugszeichenliste For the grain communication between terminal 1 and disk 3, an RFID system for transmission in Ultra High Frequency, UHF short range used, so that a greater communication range for transmitting the data from the terminal 1 to the disk 3 is made possible. The data carrier 1 has in particular a Energieversorugn 305 in the form of a battery. Alternatively, the data is transferred from the terminal 1 to the data carrier 3 before pulling out the data carrier 3 from a pocket of the user. After insertion into the bag, the confirmation from the disk 3 is sent back to the terminal 1. By this alternative method, the handling of the quite sensitive mobile phones 1, such as falling or theft is completely avoided. If the data carrier 1 is a chip card, its enormous robustness against environmental influences can be used. At the same time, a loss / theft of the chip card is not a problem, since a transaction according to the invention without the provision of energy and the data transmission with the terminal 1 is not possible. The card can therefore be stored in a much more insecure place, such as a trouser or shirt pocket of the user, which greatly facilitates handling for the customer / user. LIST OF REFERENCE NUMBERS
1 mobiles Endgerät 1 mobile device
101 Display  101 display
102 Sicherheitselement  102 security element
103 NFC-Schnittstelle  103 NFC interface
2 Terminal  2 terminal
201 NFC-Schnittstelle  201 NFC interface
3 tragbarer Datenträger  3 portable data carriers
301 Display  301 display
302 Taste  302 button
303 NFC-Schnittstelle  303 NFC interface
304 Barcode  304 barcode
305 Energieversorgung  305 energy supply
4 Schutzhülle  4 protective cover
Sl, S2, S3, S4, S5 Schritte  Sl, S2, S3, S4, S5 steps
IN Information zur Bestätigung durch den Benutzer IN information for confirmation by the user
BS Bestätigungssignal BS confirmation signal
BD Bestätigungsdaten  BD confirmation data
SIG Signatur  SIG signature
Kl erste kontaktiose Korrimunikationsstrecke Kl first contact Correlation section
K2 zweite kontaktiose Kommunikationsstrecke K2 second contact communication line

Claims

P a t e n t a n s p r ü c h e Patent claims
1. Verfahren zur Durchführung einer elektronischen Transaktion zwischen einem mobilen Endgerät (1) und einem Terminal (2), bei dem: A method of performing an electronic transaction between a mobile terminal (1) and a terminal (2), comprising:
- von dem Terminal (2) über eine erste kontaktlose Kornmunikations- strecke (Kl) eine Information (IN), welche im Rahmen der elektronischen Transaktion durch einen Benutzer zu bestätigen ist, an das Endgerät (1) übermittelt wird;  - From the terminal (2) via a first contactless Kornmunikations- track (Kl) information (IN), which is to be confirmed in the context of the electronic transaction by a user, to the terminal (1) is transmitted;
die Information (IN) von dem Endgerät (1) über eine zweite kontakt- lose Korrununikationsstrecke (K2) an einen tragbaren, am Endgerät (1) angebrachten Datenträger (3) umfassend eine Anzeigeeinheit (301) und eine von dem Benutzer betätigbares Eingabeeinheit (302) übermittelt wird;  the information (IN) from the terminal (1) via a second contactless communication line (K2) to a portable data carrier (3) attached to the terminal (1) comprising a display unit (301) and an input unit (302 ) is transmitted;
die Information (IN) auf der Anzeigeeinheit (301) des tragbaren Datenträgers (3) angezeigt wird, woraufhin der Benutzer die Information (IN) über die Eingabeeinheit (302) bestätigen kann;  the information (IN) is displayed on the display unit (301) of the portable data carrier (3), whereupon the user can confirm the information (IN) via the input unit (302);
im Falle der Bestätigung der Information (IN) über die Eingabeeinheit (302) ein Bestätigungssignal (BS) von dem tragbaren Datenträger (3) über die zweite kontaktlose Kommunikationsstrecke (K2) an das Endgerät (1) übermittelt wird, woraufhin Bestätigungsdaten (BD) von dem Endgerät (2) über die erste kontaktlose Kommunikationsstrecke (Kl) an das Terminal (2) übermittelt werden.  in the case of confirmation of the information (IN) via the input unit (302) an acknowledgment signal (BS) from the portable data carrier (3) via the second contactless communication path (K2) to the terminal (1) is transmitted, whereupon confirmation data (BD) of the terminal (2) via the first contactless communication link (Kl) to the terminal (2) are transmitted.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der tragbare Datenträger (3) an einer an dem Endgerät (1) angebrachten Schutzhülle (4) vorgesehen ist und insbesondere als Sticker ausgestaltet ist. 2. The method according to claim 1, characterized in that the portable data carrier (3) on one of the terminal (1) attached protective cover (4) is provided and is designed in particular as a sticker.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die erste und/ oder zweite Kommunikationsstrecke (Kl, K2) auf NFC-Kommuni- kation basiert und/ oder die Eingabeeinheit (302) des tragbaren Datenträgers eine oder mehrere Tasten und/ oder ein Gesten-Erkennungs-Mittel und/ oder einen Sensor zur Erkennung von biometrischen Merkmalen um- fasst. 3. The method of claim 1 or 2, characterized in that the first and / or second communication link (Kl, K2) based on NFC communication cation and / or the input unit (302) of the portable data carrier one or more keys and / or a gesture recognition means and / or a sensor for detecting biometric features.
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die elektronische Transaktion eine Bezahltransaktion ist, bei der als Information (IN), welche im Rahmen der elektronischen Transaktion durch den Benutzer zu bestätigen ist, ein an das Terminal (2) zu zahlender Geldbetrag ist 4. The method according to any one of the preceding claims, characterized in that the electronic transaction is a payment transaction, in which as information (IN), which is to be confirmed in the context of the electronic transaction by the user, one to the terminal (2) to pay Amount of money is
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Endgerät (2) mittels eines Sicherheitselements (102) und/ oder einer gesicherten Laufzeitumgebung, welche im Endgerät (1) vorgesehen sind, über die erste und/ oder zweite kontaktlose Kommunikations- strecke (Kl, K2) kommuniziert. 5. The method according to any one of the preceding claims, characterized in that the terminal (2) by means of a security element (102) and / or a secure runtime environment, which are provided in the terminal (1) via the first and / or second contactless communication route (Kl, K2) communicates.
6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass das Sicherheitselement (102) die über die erste kontaktlose Kommunikationsstrecke (Kl) zu übermittelnden Bestätigungsdaten (BD) signiert. 6. Method according to claim 5, characterized in that the security element (102) signs the confirmation data (BD) to be transmitted via the first contactless communication path (K1).
7. Verfahren nach Anspruch 5 oder 6, dadurch gekennzeichnet, dass die gesicherte Laufzeitumgebung den tragbaren Datenträger und das Sicherheitselement ansteuert. 7. The method according to claim 5 or 6, characterized in that the secure runtime environment controls the portable data carrier and the security element.
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Betätigungssignal (BS) von dem tragbaren Datenträger (3) an das Endgerät (2) in der Form eines rollierenden Codes übermittelt wird, wobei sich der roHierende Code für jedes neu übermittelte Bestätigungssignal (BS) verändert und wobei der rollierende Code auf einem gemeinsamen Geheimnis zwischen tragbarem Datenträger (3) und Endgerät (1) oder zwischen tragbarem Datenträger (3) und einer anderen Einheit basiert. 8. The method according to any one of the preceding claims, characterized in that the actuating signal (BS) is transmitted from the portable data carrier (3) to the terminal (2) in the form of a rolling code, wherein the roHierende code for each newly transmitted confirmation signal (BS) and wherein the rolling code is based on a shared secret between portable data carrier (3) and terminal (1) or between portable data carrier (3) and another unit.
9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass das gemeinsame Geheimnis über eine manuelle, durch den Benutzer durchgeführte Paarung zwischen Endgerät (2) und tragbarem Datenträger (3) festgelegt wird. 9. The method according to claim 8, characterized in that the common secret of a manual, performed by the user pairing between the terminal (2) and portable data carrier (3) is set.
10. Verfahren nach Anspruch 8 oder 9 in Kombination mit einem der Ansprüche 5 bis 7, dadurch gekennzeichnet, dass das Sicherheitselement (102) den übermittelten rollierenden Code basierend auf dem gemeinsamen Ge- heimnis verifiziert und bei erfolgreicher Verifikation das Bestätigungssignal (BS) generiert und/ oder dass die gesicherte Laufzeitumgebung den übermittelten rollierenden Code basierend auf dem gemeinsamen Geheimnis verifiziert und bei erfolgreicher Verifikation das Sicherheitselement (102) dazu veranlasst, das Bestätigungssignal (BS) zu generieren. 10. The method according to claim 8 or 9 in combination with one of claims 5 to 7, characterized in that the security element (102) verifies the transmitted rolling code based on the shared secret and upon successful verification generates the acknowledgment signal (BS) and / or that the secure runtime environment verifies the transmitted rolling code based on the shared secret and, upon successful verification, causes the security element (102) to generate the acknowledgment signal (BS).
11. Verfahren nach einem der Ansprüche 8 bis 10, dadurch gekennzeichnet, dass das Endgerät (1) den rollierenden Code als Bestätigungsdaten (BD) oder zusammen mit den Bestätigungsdaten (BD) über die erste Kommunikationsstrecke (Kl) an das Terminal (2) übermittelt, woraufhin das Terminal (2) die Verifikation des rollierenden Codes veranlasst und nur bei erfolgreicher Verifikation die elektronische Transaktion abgeschlossen wird. 11. The method according to any one of claims 8 to 10, characterized in that the terminal (1) transmits the rolling code as confirmation data (BD) or together with the confirmation data (BD) via the first communication link (Kl) to the terminal (2) whereupon the terminal (2) causes the verification of the rolling code and the electronic transaction is completed only upon successful verification.
12. System zur Durchführung einer elektronischen Transaktion zwischen einem mobilen Endgerät (1) und einem Terminal (2), wobei das System der- art ausgestaltet ist, dass in dessen Betrieb: 12. System for carrying out an electronic transaction between a mobile terminal (1) and a terminal (2), the system being designed such that in its operation:
von dem Terminal (2) über eine erste kontaktlose Kommunikationsstrecke (Kl) eine Information (IN), welche im Rahmen der elektronischen Transaktion durch einen Benutzer zu bestätigen ist, an das Endgerät (1) übermittelt wird die Information (IN) von dem Endgerät (1) über eine zweite kontaktlose Kommunikationsstrecke (K2) an einen tragbaren, am Endgerät (1) angebrachten Datenträger (3) umfassend ein Anzeigeeinheit (301) und eine von dem Benutzer betätigbare Eingabeeinheit (302) übermittelt wird; from the terminal (2) via a first contactless communication link (Kl) information (IN), which is to be confirmed in the context of the electronic transaction by a user, to the terminal (1) is transmitted the information (IN) from the terminal (1) via a second contactless communication path (K2) to a portable, on the terminal (1) mounted data carrier (3) comprising a display unit (301) and a user-operable input unit (302) transmits becomes;
- die Information (IN) auf der Anzeigeeinheit (301) des tragbaren Datenträgers (3) angezeigt wird, woraufhin der Benutzer die Information (IN) über die Eingabeeinheit (302) bestätigen kann; - the information (IN) is displayed on the display unit (301) of the portable data carrier (3), whereupon the user can confirm the information (IN) via the input unit (302);
im Falle der Bestätigung der Information (IN) über die Eingabeeinheit (302) ein Bestätigungssignal (BS) von dem tragbaren Datenträger (3) über die zweite kontaktlose Kommunikationsstrecke (K2) an das Endgerät (1) übermittelt wird, woraufhin Bestätigungsdaten (BD) von dem Endgerät (2) über die erste kontaktlose Kommunikationsstrecke (Kl) an das Terminal (2) übermittelt werden.  in the case of confirmation of the information (IN) via the input unit (302) an acknowledgment signal (BS) from the portable data carrier (3) via the second contactless communication path (K2) to the terminal (1) is transmitted, whereupon confirmation data (BD) of the terminal (2) via the first contactless communication link (Kl) to the terminal (2) are transmitted.
13. System nach Anspruch 12, dadurch gekennzeichnet, dass das System zur Durchführung eines Verfahrens nach einem der Ansprüche 2 bis 11 ausgestaltet ist. 13. System according to claim 12, characterized in that the system for carrying out a method according to one of claims 2 to 11 is configured.
14. Tragbarer Datenträger zur Verwendung in einem Verfahren nach ei- nem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass der tragbare Datenträger (3) eine Anzeigeeinheit (301), eine kontaktlose Kommunikationsschnittstelle (303) und eine vom einem Benutzer betätigbare Eingabeeinheit (302) umfasst, welche derart ausgestaltet sind, dass der tragbare Datenträger (3) im Betrieb eine Information, welche von dem Benutzer zu bestätigen ist, über die kontaktlose Kommunikationsschnittstelle (303) von dem Endgerät (1) empfängt und anschließend über die Anzeigeeinheit (301) anzeigt, wobei der tragbare Datenträger (3) nach einer anschließenden Bestätigung der Information über die Eingabeeinheit (302) ein Bestätigungssignal (BS) über die kontaktlose Kommunikationsschnittstelle (303) zum Endgerät (1) aussendet. 14. A portable data carrier for use in a method according to any one of claims 1 to 11, characterized in that the portable data carrier (3) comprises a display unit (301), a contactless communication interface (303) and a user-operable input unit (302 ) which are configured such that the portable data carrier (3) in operation receives information to be confirmed by the user via the contactless communication interface (303) from the terminal (1) and subsequently via the display unit (301) indicates, wherein the portable data carrier (3) after a subsequent confirmation of the information via the input unit (302) an acknowledgment signal (BS) via the contactless communication interface (303) to the terminal (1) emits.
15. Tragbarer Datenträger nach Anspruch 14, dadurch gekennzeichnet, dass der tragbare Datenträger an einer Schutzhülle (4) angebracht ist, wobei die Schutzhülle (4) an das Endgerät (1) angebracht werden kann. 15. A portable data carrier according to claim 14, characterized in that the portable data carrier to a protective cover (4) is mounted, wherein the protective cover (4) to the terminal (1) can be attached.
16. Tragbarer Datenträger nach Anspruch 14, dadurch gekennzeichnet, dass der tragbare Datenträger (3) in Koinmunikatiorisreichweite mit dem Mobiltelefon (3) angeordnet ist und anstelle des Endgeräts (1) zur Bestätigung der Transaktion verwendet wird und wobei das Mobiltelefon (1) ohne Benutzerinteraktion die Transaktion durchführt. 16. A portable data carrier according to claim 14, characterized in that the portable data carrier (3) is arranged in Koinmunikatiorisreichweite with the mobile phone (3) and instead of the terminal (1) is used to confirm the transaction and wherein the mobile phone (1) without user interaction performs the transaction.
PCT/EP2012/004803 2011-11-25 2012-11-20 Method for performing an electronic transaction between a mobile station and a terminal WO2013075819A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP12794871.9A EP2783335A1 (en) 2011-11-25 2012-11-20 Method for performing an electronic transaction between a mobile station and a terminal

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE201110119441 DE102011119441A1 (en) 2011-11-25 2011-11-25 A method of performing an electronic transaction between a mobile terminal and a terminal
DE102011119441.3 2011-11-25

Publications (1)

Publication Number Publication Date
WO2013075819A1 true WO2013075819A1 (en) 2013-05-30

Family

ID=47278753

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2012/004803 WO2013075819A1 (en) 2011-11-25 2012-11-20 Method for performing an electronic transaction between a mobile station and a terminal

Country Status (3)

Country Link
EP (1) EP2783335A1 (en)
DE (1) DE102011119441A1 (en)
WO (1) WO2013075819A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110111481A (en) * 2013-07-24 2019-08-09 捷德货币技术有限责任公司 Method and apparatus for valuable document processing

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014002602B4 (en) * 2014-02-24 2021-10-21 Giesecke+Devrient Mobile Security Gmbh Method for authorizing a transaction and the use of a clock and a cash register system in this method
DE202019104321U1 (en) * 2019-08-06 2020-09-11 Tiger Media Deutschland Gmbh Digital media management system
DE202019104316U1 (en) * 2019-08-06 2020-04-01 Tiger Media Deutschland Gmbh Playback device, system and data server

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030146821A1 (en) * 2002-02-04 2003-08-07 Jan Brandt Electronic device with cover including a radio frequency indentification module
WO2003081934A1 (en) * 2002-03-26 2003-10-02 Nokia Corporation Apparatus, method and system for authentication
DE10316771A1 (en) 2003-04-10 2004-10-28 Giesecke & Devrient Gmbh Security label and manufacturing process for the same
US20060074698A1 (en) * 2001-07-10 2006-04-06 American Express Travel Related Services Company, Inc. System and method for providing a rf payment solution to a mobile device
US20080051059A1 (en) * 2005-12-31 2008-02-28 Mobile Candy Dish, Inc. Method and system for adapting a wireless mobile communication device for wireless transactions
DE102006048797A1 (en) 2006-10-16 2008-04-17 Giesecke & Devrient Gmbh Method for executing an application using a portable data carrier

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8103881B2 (en) * 2000-11-06 2012-01-24 Innovation Connection Corporation System, method and apparatus for electronic ticketing
EP1233570A1 (en) * 2001-02-16 2002-08-21 TELEFONAKTIEBOLAGET L M ERICSSON (publ) Method and system for establishing a wireless communications link
KR20020078989A (en) * 2001-04-12 2002-10-19 (주)엠커머스 The system and method for certificating credit card trade by using mobile terminals
DE10245347A1 (en) * 2002-09-27 2004-04-08 Giesecke & Devrient Gmbh Digital data signing
DE102004044454A1 (en) * 2004-09-14 2006-03-30 Giesecke & Devrient Gmbh Portable device for unlocking an access
TW200912761A (en) * 2007-07-20 2009-03-16 Soon Huat Leonard Wee A radio frequency transponder
US8244211B2 (en) * 2008-02-07 2012-08-14 Inflexis Llc Mobile electronic security apparatus and method
US9324071B2 (en) * 2008-03-20 2016-04-26 Visa U.S.A. Inc. Powering financial transaction token with onboard power source
EP2187592A1 (en) * 2008-11-13 2010-05-19 Vodafone Holding GmbH Machine-to machine device and smartcard for use in the device
DE102009008854A1 (en) * 2009-02-13 2010-08-19 Giesecke & Devrient Gmbh Backup of transaction data
EP2224375B1 (en) * 2009-02-25 2018-11-14 Vodafone Holding GmbH Power supply for a system including chip card connected to a host device
DE102009016532A1 (en) * 2009-04-06 2010-10-07 Giesecke & Devrient Gmbh Method for carrying out an application using a portable data carrier

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060074698A1 (en) * 2001-07-10 2006-04-06 American Express Travel Related Services Company, Inc. System and method for providing a rf payment solution to a mobile device
US20030146821A1 (en) * 2002-02-04 2003-08-07 Jan Brandt Electronic device with cover including a radio frequency indentification module
WO2003081934A1 (en) * 2002-03-26 2003-10-02 Nokia Corporation Apparatus, method and system for authentication
DE10316771A1 (en) 2003-04-10 2004-10-28 Giesecke & Devrient Gmbh Security label and manufacturing process for the same
US20080051059A1 (en) * 2005-12-31 2008-02-28 Mobile Candy Dish, Inc. Method and system for adapting a wireless mobile communication device for wireless transactions
DE102006048797A1 (en) 2006-10-16 2008-04-17 Giesecke & Devrient Gmbh Method for executing an application using a portable data carrier

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"Update: Mobile payment stickers", CARD TECHNOLOGY TODAY, ELSEVIER, vol. 21, no. 4, 1 April 2009 (2009-04-01), pages 4 - 5, XP026221527, ISSN: 0965-2590, [retrieved on 20090401], DOI: 10.1016/S0965-2590(09)70088-X *
See also references of EP2783335A1 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110111481A (en) * 2013-07-24 2019-08-09 捷德货币技术有限责任公司 Method and apparatus for valuable document processing

Also Published As

Publication number Publication date
EP2783335A1 (en) 2014-10-01
DE102011119441A1 (en) 2013-05-29

Similar Documents

Publication Publication Date Title
EP2982046B1 (en) Device having communications means and a receptacle for a chip card
WO2010032215A4 (en) The system and method of contactless authorization of a payment
DE102009006872A1 (en) Contactless chip module, contactless device, contactless system and method for contactless communication
US20090100511A1 (en) Method and apparatus for use in personalizing identification token
WO2007073904A2 (en) Method for authorised granting of a service and device for carrying out said method
US20120088449A1 (en) Method and Apparatus for A Multi-band, Multi-mode Smartcard
DE102008023914A1 (en) Method for authenticating an RFID tag
EP2088531A1 (en) Method and device for secure mobile electronic signature
EP2709052A1 (en) Device for protecting electronic transactions with secure electronic signatures.
WO2013056783A1 (en) Mobile terminal, transaction terminal, and method for carrying out a transaction at a transaction terminal by means of a mobile terminal
EP2783335A1 (en) Method for performing an electronic transaction between a mobile station and a terminal
EP2770484B1 (en) Reader for a document, method for reading a data object and computer program product
KR100973553B1 (en) Method for Processing Payment Statement of Affiliate Payment Terminal, and Affiliate Store Payment Terminal
EP2041727B1 (en) Methods for selecting and cancelling electronic tickets by an electronic terminal capable of near field communication
DE102018005038A1 (en) Smart card as a security token
DE102010012565A1 (en) Method for transmission of data to vehicle key for activating vehicle, involves receiving data of service provider by vehicle key, and charging data of service provider by vehicle into vehicle key
EP2948899A1 (en) Method and apparatus for preventing concealed, unauthorized wireless data access
DE102011089579A1 (en) Procedure for making authenticated payments
WO2014068136A1 (en) Method for operating an electronic authentication unit
EP2070250B1 (en) Method for personalizing documents, cryptographic system, personalization system and document
DE102017128807A1 (en) Method and arrangement for triggering an electronic payment
EP2234030B1 (en) Chip card, computer system, method for activating a chip card and method for personalising a chip card
CN106022777A (en) Password processing method
EP3486852A2 (en) Method and an arrangement for triggering an electronic payment
DE102011112855A1 (en) Method for electronically conducting payment transaction in smart phone, involves transmitting authentication element of data connection to mobile unit, and utilizing authentication element as part of authentication data

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12794871

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2012794871

Country of ref document: EP