WO2014117939A1 - Method for accessing a service of a server using an application of a terminal - Google Patents

Method for accessing a service of a server using an application of a terminal Download PDF

Info

Publication number
WO2014117939A1
WO2014117939A1 PCT/EP2014/000246 EP2014000246W WO2014117939A1 WO 2014117939 A1 WO2014117939 A1 WO 2014117939A1 EP 2014000246 W EP2014000246 W EP 2014000246W WO 2014117939 A1 WO2014117939 A1 WO 2014117939A1
Authority
WO
WIPO (PCT)
Prior art keywords
service
application
security element
terminal
authentication token
Prior art date
Application number
PCT/EP2014/000246
Other languages
German (de)
French (fr)
Inventor
Alexander SUMMERER
Denny Brandl
Bernhard Inderst
Original Assignee
Giesecke & Devrient Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke & Devrient Gmbh filed Critical Giesecke & Devrient Gmbh
Priority to EP14701919.4A priority Critical patent/EP2952029A1/en
Publication of WO2014117939A1 publication Critical patent/WO2014117939A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Definitions

  • the invention relates to a method for accessing a service of a server via an application of a terminal. Furthermore, the invention relates to a corresponding system for accessing a service.
  • Authentication methods for accessing servers based on authentication tokens are known from the prior art. An application in possession of such an authentication token can gain access to a service or a resource via this token.
  • Well-known token-based authentication methods are the protocols OAuth 1.0 and OAuth 2.0.
  • the object of the invention is to provide a method for accessing a service of a server via an application, which is well protected against attacks by unauthorized third parties and requires few or possibly no user interaction for authentication. This object is achieved by the method according to claim 1 and the system according to claim 12. Further developments of the invention are defined in the dependent claims.
  • the inventive method is used to access a service of a server via an application of a terminal, wherein the terminal is associated with a security element with which the terminal can communicate.
  • the security element contains a subscriber identification of a mobile subscriber in a mobile network.
  • the terminal has access to a mobile radio interface and may be a portable mobile device, such as a mobile phone, smart phone, tablet PC or a portable computer, depending on the configuration. Also, the terminal may also be a stationary device such as a desktop computer.
  • the security element may also be a permanently installed in the terminal element (security module), in particular in the form of a so-called. Embedded UICC card or embedded SIM / USIM card, but also as an NFC module or TPM module. The assignment of the terminal to the security element can thus be achieved by inserting the security element in the terminal or by the fixed installation of the security element in the terminal.
  • the terminal can also be ensured via another coupling between the terminal and the security element, for example by a mobile radio stick or another device containing the security element, wired (eg via USB) or wirelessly (eg via Bluetooth) is connected to the terminal.
  • TLS Transport Layer Security
  • the second channel is thus based on a transmission technology which is not based on the Internet Protocol.
  • the verification of the corresponding identification can be done differently depending on the configuration, in case of unsuccessful identification of the method is aborted.
  • one or more predetermined identifications are stored in the server, wherein in case the identification received via the first channel matches one of the predetermined identifications, the identification is successfully verified.
  • the concept of the authentication token is here and in the As broadly understood, it may include any type of authentication data based on any data format.
  • a step c) the application is provided automatically (i.e., without a user interaction) with the authentication token transmitted to the security element.
  • the application accesses the service in a step d) by means of an encrypted communication via the first (IP-based) channel, wherein the application requests (which are transmitted in the context of the encrypted communication from the application to the service, automatically (ie without user interaction) with the provided authentication token.
  • requests are processed by the service only upon successful verification of the authentication token.
  • the verification of the authentication token takes place in particular in such a way that the authentication token is compared with the authentication token transmitted in step b) and still stored in the server, whereby the verification is successful only if the tokens match.
  • the encrypted communication used in step d) is preferably based on the already mentioned TLS protocol.
  • the inventive method has the advantage that the security against attacks by third parties is increased by the use of two channels for data transmission, namely a first channel for encrypted access to the service and a second channel for transmitting an authentication token.
  • the number of required user inputs is reduced as part of an authentication.
  • the authentication token is automatically generated by the application processed without having to enter authentication data manually.
  • the identification transmitted in step a) is communicated in advance to a user of the terminal, whereby this message takes place in particular via the service which is to be accessed.
  • the user enters the identification at the terminal via a user interface, whereupon the application transmits the input identification to the service via the first channel.
  • the notification of the identification to the user may e.g. by sending an e-mail or text SMS.
  • step a) the application reads out a call number stored in the security element, via which the mobile radio subscriber can be contacted, wherein the identification transmitted in step a) is the read out call number.
  • the corresponding identification no longer has to be entered manually by a user.
  • SMS Short Message Service
  • the transmission of the authentication token to the security element in step b) with the interposition of a so-called.
  • OTA server Over The Air
  • the automatic provision of the authentication token in step c) takes place via a polling of the application for the authentication token on the security element.
  • the term known per se for polling is understood as meaning a cyclical polling via which the application receives the information that a corresponding authentication token is available on the security element.
  • the reception of the authentication token in the security element and the provision of this authentication token for the application are carried out with the aid of a program and in particular a Java applet on the security element.
  • API application programming interface
  • Such APIs are well known in the art (e.g., Open Mobile API or JSR177). These APIs allow for access protection mechanisms so that only an authorized application can read the authentication token from the security element.
  • the transmission of queries in step d) can be triggered at least partially by a user via a user interface of the terminal.
  • the execution of the application can be controlled in a suitable manner by a user.
  • the authentication token is preferably valid only for a defined time for use with a service. The authentication token is thus accepted by the service for verification if it is used within the defined period of time. However, upon expiration of the time, the authentication token is no longer accepted by the service.
  • the server can delete a transmitted (and stored for verification) authentication token after the defined time, for example, mark or expired.
  • the transmitted (first) authentication token can also serve as a second identification (session ID) for a second communication with the service or another service, for which then - analogously to the procedure already described - a second authentication token is transmitted.
  • the method of the invention can be used to access any types of services.
  • one or more cryptographic keys or one or more certificates can be stored or renewed by the service on the terminal.
  • a session ID is independent of the type of the first communication channel.
  • the session ID can thus be used for different first communication channels between the application and the one service.
  • the invention further relates to a system for accessing a service of a server via an application of a terminal, wherein the terminal is assigned a security element, with which the terminal can communicate, and the security element contains a subscriber identification of a mobile subscriber in a mobile network.
  • the application, the security element and the service are designed such that the method according to the invention or one or more preferred variants of the method according to the invention can be carried out.
  • the invention further relates to a server having a service stored thereon, wherein the service is set up for use in the method according to the invention or one or more preferred variants of the method according to the invention. That is to say, the service is set up to carry out the steps carried out by it according to claim 1 or corresponding dependent claims.
  • the service is designed such that it corresponds to a service of the above-described system according to the invention.
  • the invention further includes a terminal with an application and assigned security element deposited thereon, wherein the application and the security element are for use in the method according to the invention or one or more preferred variants of the invention
  • Procedure are set up. That is, the application and the security element are set up to carry out the steps performed by them according to claim 1 or corresponding dependent claims.
  • the application and the security element correspond to the application and the security element in the system according to the invention described above.
  • Fig. 2 is a schematic representation of a second embodiment of the method according to the invention.
  • a method for accessing an application AP which is an arbitrary consumer application, is shown on a service SR of a server SV.
  • the application AP is stored on a mobile device MD of a user U.
  • This mobile device allows communication in a mobile network.
  • IMSI International Mobile Subscribe Identity
  • the application AP can access the service SR via a suitable interface by means of an IP-based data transmission.
  • This service is a so-called service provider application, via which the application AP can obtain data on the mobile device MD or perform actions.
  • the service SR is thus offered by a service provider, this provider does not necessarily have to match the operator of the server SV.
  • the application AP can, for example, access a service for providing keys, the keys being stored in the server SV.
  • a certificate for the application AP to be issued. If, for example, a new key was generated by the application AP, it can request a certificate for the new key by accessing the service.
  • Another example of a service is the renewal of an existing certificate for an application.
  • the user U indicated schematically in FIG. 1 is a human person who operates the application AP on the mobile radio MD in order to access the service SR of the server SV. As a rule, this person is also the owner of the mobile device at the same time.
  • the mobile device may be a mobile phone or a smartphone.
  • the mobile device may also be a tablet computer, portable computer or laptop with security element inserted or integrated therein.
  • the mobile device may be a stationary desktop computer or PC.
  • the security element SE can be realized differently depending on the embodiment.
  • it can be a replaceable SIM / USIM card, which is reversibly inserted into the mobile device (portable data carrier).
  • the security element may be a so-called.
  • Embedded SIM / USIM card which is firmly integrated in the mobile device (security module).
  • the security element can also be used in a mobile radio stick to set up a mobile radio connection, wherein the stick is in turn connected to a terminal (eg via USB). The terminal together with the stick then represents the mobile device.
  • the security element can be assigned to a terminal via another mobile device, which is connected via a corresponding interface and, in particular, to a wireless device. los (eg via Bluetooth) communicates with the terminal.
  • the mobile device MD of FIG. 1 corresponds in this case to the combination of terminal and further mobile device.
  • the application AP can access the security element SE in the context of the method according to the invention. In this case, known technologies can be used, for example, access via a so-called.
  • Secure Element API Application Programming Interface
  • Examples of such Secure Element APIs are Open Mobile API under the Android operating system or JSR177 for Blackberry phones.
  • APDUs are typically used for data transfer between a security element and a terminal or mobile device.
  • the communication between application and security element as well as the receipt of an authentication token described below is preferably controlled on the security element via a special Java applet.
  • a step S1 the user U initially enters an identification in the form of a so-called session ID SID, whereby the user is provided with this identification in advance via a suitable transmission path (eg via text SMS or e-mail). Mail) was communicated.
  • the corresponding message with the identification contained therein is transmitted in the embodiment described here by the server SV to the mobile device MD and can be displayed to the user U there.
  • the application AP After entering the identification SID, this is transmitted by the application AP in a step S2 to the service SR.
  • an IP-based data transmission over a corresponding first channel eg via a LAN or WLAN interface of the mobile device used.
  • the Data transmission takes place with the interposition of the corresponding mobile radio interface of the mobile device.
  • the transmission of the identification SID is encrypted to avoid manipulation, eg via the TLS protocol.
  • a connection of the application AP to the server SV via the Internet is established via the IP-based first channel. This channel is also used in the further direct communication between application AP and service SR.
  • the identification SID received by the service SR in step S2 is checked in step S3 by the service SR as to whether it is aware of the service. For this purpose, if appropriate, a database with corresponding permissible identifications can be stored in the server SV. If the identification SID in the server is known, in a next step S4 a so-called authentication token AT is generated, which contains corresponding authentication data and is used in a later stage of the method for authorizing the application AP with respect to the service SR. As part of a step S5, a status message is also sent to the application AP, with which it is informed whether the identification SID could be successfully identified or not. In the latter case, the method is stopped because the application AP has no authorization to access the service SR.
  • this token is transmitted in step S6 to an OTA server OS.
  • OTA server OS Such servers are known in the art and allow transmission of information over the air over a cellular network. Consequently, in a step S7, the OTA server OS transmits the token AT to the security element SE of the mobile radio MD based on a mobile radio transmission.
  • the second channel used for this is not IP-based and thus uses a different transmission technology than the first channel.
  • the transmission takes place by means of a text message based on an encrypted SMS, whereby preferably the standard GSM 03.48 is used.
  • the telephone number used for the transmission of the SMS is known in the service SR and linked to the session identification SID.
  • the application AP After sending the identification SID in step S2, the application AP carries out a so-called polling (i.e., a cyclical polling) via a secure element API, wherein in the course of the polling an authentication token AT which is transmitted to the security element SE is searched. As soon as the authentication token AT has been received by the security element SE, it is referred to by the application AP in step S8.
  • This authentication token is then used to authenticate the application AP in the context of the subsequent communication with the service SR via the first IP-based channel.
  • the subsequent communication takes place with the aid of so-called HTTP requests, which the application AP directs to the service SR in order to trigger corresponding actions.
  • An HTTP request which is based on the known hypertext transfer protocol, is a concrete HTTP transfer command.
  • data can be requested from an HTTP server using the "HTTP GET" command, whereas with the HTTP POST command, data can be transmitted from an HTTP server to an application, so that the server SV also has the functionality of a HTTP server.
  • step S9 is via a user input to a user interface of the mobile device MD (or automated, in particular according to user default) a corresponding action for execution by the service SV triggered.
  • an HTTP request RE is then directed to the service SR via the first channel in step S10.
  • the authentication AP is automatically inserted into the HTTP request as an attribute by the application AP.
  • the service SR then checks whether the received token corresponds to the token sent out in step S4. If so, the application AP is successfully authenticated or authorized so that the corresponding action requested via the HTTP command RE is performed in step S12. If no match of the tokens is found in step S12, the process is aborted.
  • a response to the application AP is returned by the service SR in step S13.
  • the result of the requested action eg a requested key or a requested certificate
  • an abort message is transmitted to the application AP.
  • step S9 ' the execution of a further action via corresponding steps S9 ', S10 1 , S13' is shown by way of example.
  • steps S9 to S13 correspond to the steps S9 to S13 described above. That is, it is in turn via the step S9 'by the user (or automated) triggered an action that leads to the transmission of an HTTP request RE' containing the authentication token AT as an attribute.
  • a check of the token is then carried out in step S11 'and, if authentication is successful, the action S12' is carried out, which in
  • Step S13 'results in returning a response.
  • the encrypted communication over the first channel is always based on the IP-based communication.
  • the TLS protocol known per se is used in a particularly preferred embodiment. This protocol authenticates the server and encrypts the corresponding RE and RE 'requests and the responses based on them. This ensures that the authentication token can not be read by third parties by listening to the first channel.
  • 2 shows a schematic representation of a modification of the embodiment of FIG. 1. The method of FIG. 2 largely corresponds to the method of FIG. 1. Thus, only the differences between the two methods are described. In contrast to FIG.
  • no session ID SID is transmitted as identification in step S2, but instead the telephone number or telephone number TN of the mobile radio subscriber which is stored in the security element SE.
  • the start of the application AP by the user U in step Sl takes place without the input of a session ID.
  • the telephone number TN is then automatically read out of the security element SE by the application AP and encrypted (in particular with the TLS protocol) via the first IP-based channel to the service SR of the server SV.
  • the service SR then verifies the telephone number, eg by comparing the telephone number with authorized telephone numbers from a user database. Upon successful verification, the method proceeds analogously as described in FIG.
  • the embodiments of the invention described above have a number of advantages.
  • two different transmission technologies are used via a first channel of an IP-based network and a second, different channel of a mobile network.
  • the first channel is used, and the second channel is used to transmit the authentication key.
  • attacks by unauthorized third parties are made more difficult because an attacker needs access to both networks to record and analyze corresponding log data to gain access to the service.
  • the method according to the invention also ensures that the authentication token is always transmitted in encrypted form. It also ensures that the authentication token is transmitted only to authenticated communication partners. For this purpose, an encrypted SMS and the TSL protocol can be used in special embodiments. Moreover, typical access protection mechanisms of a secure element API (for example GP SE Access Control) during the communication between application and security element can ensure that only authorized applications can read the authentication token from the security element.
  • a secure element API for example GP SE Access Control
  • Another advantage of the method according to the invention is that the authentication of the application takes place automatically, which is achieved by the automatic provision of the authentication token and the automatic authentication. Integration of the authentication token is realized in corresponding requests to the service. Consequently, in the context of authentication, it is no longer necessary for inputs to be made manually by a user, as is often the case with conventional authentication protocols.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

The invention relates to a method for accessing a service (SR) of a server (SV) using an application (AP) of a terminal (MD), wherein the terminal (MD) has an associated security element (SE) with which the terminal (MD) can communicate and the security element (SE) contains a subscriber identification (MSI) of a mobile radio subscriber in a mobile radio network. The application (AP) of the terminal (MD) uses a first channel of an IP-based nework to transmit an identification (SID, TN) to the service (SR) of the server (SV) on the basis of IP-based transmission. In the event that the service (SR) is able to successfully verify the identification (SID, TN), an authentication token (AT) is transmitted from the service (SR) to the security element (SE) in encrypted form using a second channel of the mobile radio network on the basis of transmission that differs from the first channel. Next, the application (AP) is automatically provided with the authentication token (AT) transmitted to the security element (SE). Finally, the application (AP) accesses the service (SR) by means of encrypted communication via the first channel, wherein the application (AP) automatically provides requests (RE, RE') that are transmitted from the application (AP) to the service (SR) in the course of the encrypted communication with the provided authentication token (AT), with requests (RE, RE') being processed further by the service (SR) only in the event of successful verification of the authentication token (AT).

Description

V e rf a hr e n z u m Z u gr if f a u f e i n e n D i e n s t e i ne s Se rv er s üb e r e i ne A p p l ik a ti o n e i n e s E n d ge r ä ts  G e t u c t i o n c e m e n t i o n c o n t i o n t i o n t e n t i o n t he n o t e s o u r c e v e n t i o n t e n t i o n o t e s
Die Erfindung betrifft ein Verfahren zum Zugriff auf einen Dienst eines Servers über eine Applikation eines Endgeräts. Ferner betrifft die Erfindung ein entsprechendes System zum Zugriff auf einen Dienst. Aus dem Stand der Technik sind Authentisierungs- Verfahren für Zugriffe auf Server bekannt, welche auf Authentisierungstoken beruhen. Eine Applikation, welche sich im Besitz eines solchen Authentisierungstokens befindet, kann sich über diesen Token Zugriff zu einem Dienst bzw. einer Ressource verschaffen. Bekannte Token-basierte Authentisierungs- Verfahren sind die Protokolle OAuth 1.0 bzw. OAuth 2.0. The invention relates to a method for accessing a service of a server via an application of a terminal. Furthermore, the invention relates to a corresponding system for accessing a service. Authentication methods for accessing servers based on authentication tokens are known from the prior art. An application in possession of such an authentication token can gain access to a service or a resource via this token. Well-known token-based authentication methods are the protocols OAuth 1.0 and OAuth 2.0.
In den Authentisierungs-Protokollen OAuth 1.0 bzw. OAuth 2.0 wird der Austausch der Authentisierungstoken rein über IP-basierte Übertragungstechnologie zwischen Applikation und Dienst ausgetauscht. Um dabei eine ausreichende Sicherheit gegenüber Zugriffen unautorisierter Applikationen zu gewährleisten, wird in der Regel eine Benutzerauthentisierung durchgeführt, welche jedoch Benutzerinteraktionen, z.B. die Eingabe von Benutzernamen und Passwort, erfordern. Aufgabe der Erfindung ist es, ein Verfahren zum Zugriff auf einen Dienst eines Servers über eine Applikation zu schaffen, welches gegenüber Angriffen unbefugter Dritter gut geschützt ist und dabei wenige bzw. gegebenenfalls keine Benutzerinteraktionen zur Authentisierung erfordert. Diese Aufgabe wird durch das Verfahren gemäß Patentanspruch 1 bzw. das System gemäß Patentanspruch 12 gelöst. Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen definiert. Das erfindungsgemäße Verfahren dient zum Zugriff auf einen Dienst eines Servers über eine Applikation eines Endgeräts, wobei dem Endgerät ein Sicherheitselement zugeordnet ist, mit dem das Endgerät kommunizieren kann. Das Sicherheitselement enthält dabei eine Teilnehmeridentifikation eines Mobilfunkteilnehmers in einem Mobilfunknetz. Das Endgerät hat Zu- griff auf eine Mobilfunk-Schnittstelle und kann je nach Ausgestaltung ein tragbares Mobilfunkgerät, wie z.B. ein Mobiltelefon, Smart-Phone, Tablet-PC oder ein tragbarer Computer, sein. Ebenfalls kann das Endgerät auch ein stationäres Gerät, wie z.B. ein Desktop-Computer, sein. Das Sicherheitselement ist vorzugsweise ein Hardwaresicherheitselement. Das Sicherheitselement ist je nach Anwendungsfall eine UICC-Karte bzw. SIM/USIM-Karte (UICC = Universal Integrated Circuit Card, USIM = Universal Subscriber Identity Module). Diese Karten können in das entsprechende Endgerät eingesetzt werden, ebenso könnten andere tragbare Daten- träger wie USB-Token, sichere Massenspeicherkarte oder RFID-Transponder als. Sicherheitselement dienen. Gegebenenfalls kann das Sicherheitselement auch ein fest in dem Endgerät verbautes Element sein (Sicherheitsmodul), insbesondere in der Form einer sog. embedded UICC-Karte bzw. embedded SIM/USIM-Karte, aber auch als NFC-Modul oder TPM-Modul. Die Zuord- nung des Endgeräts zu dem Sicherheitselement kann somit durch Einsetzen des Sicherheitselements in das Endgerät bzw. durch den festen Einbau des Sicherheitselements in dem Endgerät erreicht werden. Ebenso kann eine solche Zuordnung auch über eine andere Kopplung zwischen Endgerät und Sicherheitselement gewährleistet werden, z.B. indem ein Mobilfunk-Stick oder ein anderes Gerät, welches das Sicherheitselement enthält, drahtgebunden (z.B. über USB) oder drahtlos (z.B. über Bluetooth) mit dem Endgerät verbunden wird. Das im erfindungsgemäßen Verfahren verwendete Mobilfunknetz kann auf beliebigen Technologien beruhen, z.B. kann es sich um ein GSM-Netz (GSM = Global System for Mobile Communications) oder um ein 3G-Netz bzw. auch um ein LTE-Netz (LTE = Long Term Evolution) handeln. In dem erfindungsgemäßen Verfahren übermittelt die Applikation des Endgeräts in einem Schritt a) über einen ersten Kanal eines IP-basierten Netzes basierend auf einer IP-basierten Übertragung (IP = Internet Protocol) eine Identifikation an den Dienst des Servers. In einer besonders bevorzugten Variante wird die Identifikation dabei verschlüsselt über den ersten Kanal über- tragen, z.B. unter Verwendung des TLS-Protokolls (TLS = Transport Layer Security). In einem Schritt b) des erfindungsgemäßen Verfahrens wird im Falle, dass der Dienst die Identifikation erfolgreich verifizieren kann, ein Au- thentisierungstoken von dem Dienst über einen zweiten Kanal des Mobilfunknetzes basierend auf einer sich vom ersten Kanal unterscheidenden Übertragung (d.h. mittels einer anderen Art der Übertragung) verschlüsselt an das Sicherheitselement übermittelt. Der zweite Kanal beruht somit auf einer Übertragungstechnologie, welche nicht auf dem Internet-Protokoll beruht. Die Verifikation der entsprechenden Identifikation kann je nach Ausgestaltung unterschiedlich erfolgen, wobei bei nicht erfolgreicher Identifikation das Verfahren abgebrochen wird. In einer bevorzugten Variante sind eine oder mehrere vorbestimmte Identifikationen in dem Server hinterlegt, wobei im Falle, dass die über den ersten Kanal empfangene Identifikation mit einer der vorbestimmten Identifikationen übereinstimmt, die Identifikation erfolgreich verifiziert wird. Der Begriff des Authentisierungstokens ist hier und im Folgenden weit zu verstehen und kann beliebige Arten von Authentisie- rungsdaten basierend auf beliebigen Datenformaten umfassen. In the authentication protocols OAuth 1.0 and OAuth 2.0, the exchange of authentication tokens is exchanged purely via IP-based transmission technology between application and service. In order to ensure sufficient security against accesses of unauthorized applications, a user authentication is usually performed, however, which require user interaction, eg the input of user name and password. The object of the invention is to provide a method for accessing a service of a server via an application, which is well protected against attacks by unauthorized third parties and requires few or possibly no user interaction for authentication. This object is achieved by the method according to claim 1 and the system according to claim 12. Further developments of the invention are defined in the dependent claims. The inventive method is used to access a service of a server via an application of a terminal, wherein the terminal is associated with a security element with which the terminal can communicate. The security element contains a subscriber identification of a mobile subscriber in a mobile network. The terminal has access to a mobile radio interface and may be a portable mobile device, such as a mobile phone, smart phone, tablet PC or a portable computer, depending on the configuration. Also, the terminal may also be a stationary device such as a desktop computer. The security element is preferably a hardware security element. Depending on the application, the security element is a UICC card or SIM / USIM card (UICC = Universal Integrated Circuit Card). These cards can be inserted into the appropriate terminal, as could other portable data carriers such as USB tokens, secure mass storage card or RFID transponder as. Serve security element. Optionally, the security element may also be a permanently installed in the terminal element (security module), in particular in the form of a so-called. Embedded UICC card or embedded SIM / USIM card, but also as an NFC module or TPM module. The assignment of the terminal to the security element can thus be achieved by inserting the security element in the terminal or by the fixed installation of the security element in the terminal. Likewise, such an association can also be ensured via another coupling between the terminal and the security element, for example by a mobile radio stick or another device containing the security element, wired (eg via USB) or wirelessly (eg via Bluetooth) is connected to the terminal. The mobile radio network used in the method according to the invention can be based on any technologies, for example, it can be a GSM network (GSM = Global System for Mobile Communications) or a 3G network or even an LTE network (LTE = Long Term Evolution ) act. In the method according to the invention, the application of the terminal transmits an identification to the service of the server in a step a) via a first channel of an IP-based network based on an IP-based transmission (IP = Internet Protocol). In a particularly preferred variant, the identification is encrypted over the first channel, for example using the TLS protocol (TLS = Transport Layer Security). In a step b) of the method according to the invention, in the event that the service can successfully verify the identification, an authentication token from the service over a second channel of the mobile network based on a different transmission from the first channel (ie by means of another type of Transmission) encrypted transmitted to the security element. The second channel is thus based on a transmission technology which is not based on the Internet Protocol. The verification of the corresponding identification can be done differently depending on the configuration, in case of unsuccessful identification of the method is aborted. In a preferred variant, one or more predetermined identifications are stored in the server, wherein in case the identification received via the first channel matches one of the predetermined identifications, the identification is successfully verified. The concept of the authentication token is here and in the As broadly understood, it may include any type of authentication data based on any data format.
In einem Schritt c) wird der Applikation automatisch (d.h. ohne eine Benut- zerinteraktion) der an das Sicherheitselement übermittelte Authentisierungstoken bereitgestellt. Schließlich greift die Applikation in einem Schritt d) mittels einer verschlüsselten Kommunikation über den ersten (IP-basierten) Kanal auf den Dienst zu, wobei die Applikation Anfragen, welche im Rahmen der verschlüsselten Kommunikation von der Applikation an den Dienst übermittelt werden, automatisch (d.h. ohne Benutzerinteraktion) mit dem bereitgestellten Authentisierungstoken versieht. Dabei werden Anfragen durch den Dienst nur bei erfolgreicher Verifikation des Authentisierungsto- kens weiterverarbeitet. Die Verifikation des Authentisierungstokens erfolgt insbesondere derart, dass der Authentisierungstoken mit dem in Schritt b) übermittelten und noch im Server gespeicherten Authentisierungstoken verglichen wird, wobei nur bei Übereinstimmung der Token die Verifikation erfolgreich ist. Die in Schritt d) verwendete verschlüsselte Kommunikation beruht vorzugsweise auf dem bereits oben erwähnten TLS-Protokoll. Im Rahmen der verschlüsselten Kommunikation wird ferner insbesondere das HTTP-Protokoll verwendet (HTTP = Hypertext Tranfer Protocol). In a step c), the application is provided automatically (i.e., without a user interaction) with the authentication token transmitted to the security element. Finally, the application accesses the service in a step d) by means of an encrypted communication via the first (IP-based) channel, wherein the application requests (which are transmitted in the context of the encrypted communication from the application to the service, automatically (ie without user interaction) with the provided authentication token. In this case, requests are processed by the service only upon successful verification of the authentication token. The verification of the authentication token takes place in particular in such a way that the authentication token is compared with the authentication token transmitted in step b) and still stored in the server, whereby the verification is successful only if the tokens match. The encrypted communication used in step d) is preferably based on the already mentioned TLS protocol. In the context of encrypted communication, the HTTP protocol is also used in particular (HTTP = Hypertext Transfer Protocol).
Das erfindungsgemäße Verfahren weist den Vorteil auf, dass durch die Verwendung von zwei Kanälen zur Datenübertragung, nämlich einem ersten Kanal zum verschlüsselten Zugriff auf den Dienst und einem zweiten Kanal zur Übermittlung eines Authentisierungstokens, die Sicherheit gegenüber Angriffen Dritter erhöht wird. Dabei wird ferner die Anzahl der erforderlichen Benutzereingaben im Rahmen einer Authentisierung reduziert. Insbesondere wird der Authentisierungstoken automatisch von der Applikation verarbeitet, ohne dass Authentisierungsdaten manuell eingegeben werden müssen. The inventive method has the advantage that the security against attacks by third parties is increased by the use of two channels for data transmission, namely a first channel for encrypted access to the service and a second channel for transmitting an authentication token. In addition, the number of required user inputs is reduced as part of an authentication. In particular, the authentication token is automatically generated by the application processed without having to enter authentication data manually.
In einer Ausführungsform des erfindungsgemäßen Verfahrens wird die in Schritt a) übermittelte Identifikation vorab einem Benutzer des Endgeräts mitgeteilt, wobei diese Mitteilung insbesondere über den Dienst erfolgt, auf den zugegriffen werden soll. Dabei gibt der Benutzer in Schritt a) die Identifikation an dem Endgerät über eine Benutzerschnittstelle ein, woraufhin die Applikation die eingegebene Identifikation über den ersten Kanal an den Dienst übermittelt. Die Mitteilung der Identifikation an den Benutzer kann dabei z.B. durch das Aussenden einer E-Mail bzw. einer Text-SMS erfolgen. In one embodiment of the method according to the invention, the identification transmitted in step a) is communicated in advance to a user of the terminal, whereby this message takes place in particular via the service which is to be accessed. In this case, in step a) the user enters the identification at the terminal via a user interface, whereupon the application transmits the input identification to the service via the first channel. The notification of the identification to the user may e.g. by sending an e-mail or text SMS.
In einer besonders bevorzugten Ausführungsform liest die Applikation in Schritt a) eine im Sicherheitselement hinterlegte Rufnummer aus, über wel- che der Mobilfunkteilnehmer kontaktiert werden kann, wobei die in Schritt a) übermittelte Identifikation die ausgelesene Rufnummer ist. In diesem Fall muss die entsprechende Identifikation nicht mehr manuell durch einen Benutzer eingegeben werden. In einer besonders bevorzugten Variante des erfindungsgemäßen Verfahrens wird der Authentisierungstoken in Schritt b) über eine SMS (SMS = Short Message Service) verschlüsselt an das Sicherheitselement übermittelt. Zur verschlüsselten Übermittlung der SMS können an sich bekannte Technologien, wie z.B. der Standard GSM 03.48, eingesetzt werden. Vorzugsweise er- folgt die Übermittlung des Authentisierungstokens an das Sicherheitselement in Schritt b) unter Zwischenschaltung eines sog. OTA-Servers (OTA = Over The Air), mit dem in an sich bekannter Weise Informationen über ein Mobilfunknetz an entsprechende Sicherheitselemente und insbesondere eine SIM/USIM-Karte bzw. eine embedded SIM/USIM-Karte übertragen werden können. In a particularly preferred embodiment, in step a) the application reads out a call number stored in the security element, via which the mobile radio subscriber can be contacted, wherein the identification transmitted in step a) is the read out call number. In this case, the corresponding identification no longer has to be entered manually by a user. In a particularly preferred variant of the method according to the invention, the authentication token is transmitted encrypted in step b) via an SMS (SMS = Short Message Service) to the security element. For encrypted transmission of the SMS known technologies, such as the standard GSM 03.48, can be used. Preferably, the transmission of the authentication token to the security element in step b) with the interposition of a so-called. OTA server (OTA = Over The Air), with the information in a conventional manner via a mobile network to corresponding security elements and in particular one SIM / USIM card or an embedded SIM / USIM card can be transmitted.
In einer weiteren Variante des erfindungsgemäßen Verfahrens erfolgt die automatische Bereitstellung des Authentisierungstokens in Schritt c) über ein Polling der Applikation nach dem Authentisierungstoken auf dem Sicherheitselement. Unter dem an sich bekannten Begriff des Pollings wird eine zyklische Abfrage verstanden, über welche die Applikation die Information erhält, dass ein entsprechender Authentisierungstoken auf dem Sicherheit- selement verfügbar ist. In a further variant of the method according to the invention, the automatic provision of the authentication token in step c) takes place via a polling of the application for the authentication token on the security element. The term known per se for polling is understood as meaning a cyclical polling via which the application receives the information that a corresponding authentication token is available on the security element.
In einer weiteren Variante werden der Empfang des Authentisierungstokens im Sicherheitselement und das Bereitstellen dieses Authentisierungstokens für die Applikation mit Hilfe eines Programms und insbesondere eines Java- Applets auf dem Sicherheitselement durchgeführt. In einer weiteren bevorzugten Ausführungsform kommuniziert das Sicherheitselement bzw. das Programm über eine sog. Secure-Element-API (API = Application Programming Interface) mit der Applikation. Solche APIs sind an sich aus dem Stand der Technik bekannt (z.B. Open Mobile API oder JSR177). Diese APIs ermög- liehen Zugriffsschutz-Mechanismen, so dass nur eine autorisierte Applikation den Authentisierungstoken aus dem Sicherheitselement auslesen kann. In a further variant, the reception of the authentication token in the security element and the provision of this authentication token for the application are carried out with the aid of a program and in particular a Java applet on the security element. In a further preferred embodiment, the security element or the program communicates with the application via a so-called Secure Element API (API = application programming interface). Such APIs are well known in the art (e.g., Open Mobile API or JSR177). These APIs allow for access protection mechanisms so that only an authorized application can read the authentication token from the security element.
In einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens kann die Übermittlung von Anfragen in Schritt d) zumindest teilweise durch einen Benutzer über eine Benutzerschnittstelle des Endgeräts ausgelöst werden. Hierdurch kann die Ausführung der Applikation in geeigneter Weise über einen Benutzer gesteuert werden. Der Authentisierungstoken ist vorzugsweise nur für eine definierte Zeit zur Verwendung mit einem Dienst gültig. Der Authentisierungstoken wird von dem Dienst also zur Verifikation akzeptiert, wenn er innerhalb der definierten Zeitdauer verwendet wird. Nach Ablauf der Zeitdauer wird der Authen- tisierungstoken von dem Dienst jedoch nicht mehr akzeptiert. Der Server kann einen übermittelten (und zur Verifikation gespeicherten) Authentisierungstoken nach Ablauf der definierten Zeit beispielsweise löschen oder als abgelaufen markieren. In a further embodiment of the method according to the invention, the transmission of queries in step d) can be triggered at least partially by a user via a user interface of the terminal. As a result, the execution of the application can be controlled in a suitable manner by a user. The authentication token is preferably valid only for a defined time for use with a service. The authentication token is thus accepted by the service for verification if it is used within the defined period of time. However, upon expiration of the time, the authentication token is no longer accepted by the service. The server can delete a transmitted (and stored for verification) authentication token after the defined time, for example, mark or expired.
In einer bevorzugten Ausgestaltung kann der übertragene (erste) Authentisierungstoken auch als zweite Identifikation (Session-ID) für eine zweite Kommunikation mit dem Dienst oder einem anderen Dienst dienen, für welche dann - analog zum bereits beschriebenen Vorgehen - ein zweiter Authentisierungstoken übertragen wird. In a preferred embodiment, the transmitted (first) authentication token can also serve as a second identification (session ID) for a second communication with the service or another service, for which then - analogously to the procedure already described - a second authentication token is transmitted.
Das erfindungsgemäße Verfahren kann zum Zugriff auf beliebige Arten von Diensten verwendet werden. Insbesondere können im Rahmen des Zugriffs auf den Dienst in Schritt d) eine oder mehrere kryptographische Schlüssel oder ein oder mehrere Zertifikate durch den Dienst auf dem Endgerät hinterlegt bzw. erneuert werden. The method of the invention can be used to access any types of services. In particular, as part of the access to the service in step d), one or more cryptographic keys or one or more certificates can be stored or renewed by the service on the terminal.
Zudem ist eine Session-ID unabhängig von der Art des ersten Kommunikationskanals. Die Session-ID kann somit für unterschiedliche erste Kommunikationskanäle zwischen der Applikation und dem einen Dienst verwendet werden. In addition, a session ID is independent of the type of the first communication channel. The session ID can thus be used for different first communication channels between the application and the one service.
Neben dem oben beschriebenen Verfahren betrifft die Erfindung ferner ein System zum Zugriff auf einen Dienst eines Servers über eine Applikation eines Endgeräts, wobei dem Endgerät ein Sicherheitselement zugeordnet ist, mit dem das Endgerät kommunizieren kann, und das Sicherheitselement eine Teilnehmeridentifikation eines Mobilfunkteilnehmers in einem Mobilfunknetz enthält. Die Applikation, das Sicherheitselement und der Dienst sind dabei derart ausgestaltet, dass das erfindungsgemäße Verfahren bzw. ein oder mehrere bevorzugte Varianten des erfindungsgemäßen Verfahrens durchführbar sind. In addition to the method described above, the invention further relates to a system for accessing a service of a server via an application of a terminal, wherein the terminal is assigned a security element, with which the terminal can communicate, and the security element contains a subscriber identification of a mobile subscriber in a mobile network. The application, the security element and the service are designed such that the method according to the invention or one or more preferred variants of the method according to the invention can be carried out.
Die Erfindung betrifft darüber hinaus einen Server mit einem darauf hinterlegten Dienst, wobei der Dienst zur Verwendung in dem erfindungsgemäßen Verfahren bzw. einer oder mehrerer bevorzugten Varianten des erfindungsgemäßen Verfahrens eingerichtet ist. Das heißt, der Dienst ist zur Durchführung der durch ihn durchgeführten Schritte gemäß Anspruch 1 bzw. entsprechender abhängiger Ansprüche eingerichtet. Mit anderen Worten ist der Dienst derart ausgestaltet, dass er einem Dienst des oben beschriebenen er- findungsgemäßen Systems entspricht. The invention further relates to a server having a service stored thereon, wherein the service is set up for use in the method according to the invention or one or more preferred variants of the method according to the invention. That is to say, the service is set up to carry out the steps carried out by it according to claim 1 or corresponding dependent claims. In other words, the service is designed such that it corresponds to a service of the above-described system according to the invention.
Die Erfindung umf asst ferner ein Endgerät mit darauf hinterlegter Applikation und zugeordnetem Sicherheitselement, wobei die Applikation und das Sicherheitselement zur Verwendung in dem erfindungsgemäßen Verfahren bzw. einer oder mehrerer bevorzugter Varianten des erfindungsgemäßenThe invention further includes a terminal with an application and assigned security element deposited thereon, wherein the application and the security element are for use in the method according to the invention or one or more preferred variants of the invention
Verfahrens eingerichtet sind. Das heißt, die Applikation und das Sicherheitselement sind zur Durchführung der von ihnen ausgeführten Schritte gemäß Anspruch 1 bzw. entsprechender abhängiger Ansprüche eingerichtet. Mit anderen Worten entsprechen die Applikation und das Sicherheitselement der Applikation und dem Sicherheitselement in dem oben beschriebenen erfindungsgemäßen System. Procedure are set up. That is, the application and the security element are set up to carry out the steps performed by them according to claim 1 or corresponding dependent claims. In other words, the application and the security element correspond to the application and the security element in the system according to the invention described above.
Ausführungsbeispiele der Erfindung werden nachfolgend anhand der beigefügten Figuren detailliert beschrieben. Es zeigen: Embodiments of the invention are described below in detail with reference to the accompanying drawings. Show it:
Fig. 1 eine schematische Darstellung einer ersten Ausführungsform des er- f indungsgemäßen Verfahrens, und 1 is a schematic representation of a first embodiment of the inventive method, and
Fig. 2 eine schematische Darstellung einer zweiten Ausführungsform des erfindungsgemäßen Verfahrens. In der Ausführungsform der Fig. 1 ist ein Verfahren zum Zugriff einer Applikation AP, bei der es sich um eine beliebige Consumer- Applikation handelt, auf einen Dienst SR eines Servers SV gezeigt. Die Applikation AP ist dabei auf einem Mobilfunkgerät MD eines Benutzers U hinterlegt. Dieses Mobilfunkgerät ermöglicht eine Kommunikation in einem Mobilfunknetz. Hierfür ist im Mobilfunkgerät ein Sicherheitselement SE in der Form einer SIM/USIM-Karte mit entsprechender IMSI-Teilnehmeridentifikation MSI eines Mobilfunkteilnehmers (IMSI = International Mobile Subscribe Identity) und zugeordneter Rufnummer vorgesehen. Die Applikation AP kann über eine geeignete Schnittstelle mittels einer IP- basierten Datenübertragung auf den Dienst SR zugreifen. Bei diesem Dienst handelt es sich um eine sog. Service-Provider- Applikation, über welche die Applikation AP auf dem Mobilfunkgerät MD Daten beziehen kann oder Aktionen ausführen kann. Der Dienst SR wird somit durch einen Service- Provider angeboten, wobei dieser Anbieter nicht zwangsläufig mit dem Betreiber des Servers SV übereinstimmen muss. Die Applikation AP kann beispielsweise auf einen Dienst zur Bereitstellung von Schlüsseln zugreifen, wobei die Schlüssel im Server SV hinterlegt sind. Ebenso kann mit einem entsprechenden Dienst des Servers SV ein Zertifikat für die Applikation AP ausgestellt werden. Wurde z.B. ein neuer Schlüssel durch die Applikation AP generiert, kann diese durch den Zugriff auf den Dienst ein Zertifikat für den neuen Schlüssel anfordern. Ein weiteres Beispiel eines Diensts ist die Erneuerung eines bestehenden Zertifikats für eine Applikation. Fig. 2 is a schematic representation of a second embodiment of the method according to the invention. In the embodiment of FIG. 1, a method for accessing an application AP, which is an arbitrary consumer application, is shown on a service SR of a server SV. The application AP is stored on a mobile device MD of a user U. This mobile device allows communication in a mobile network. For this purpose, a security element SE in the form of a SIM / USIM card with a corresponding IMSI subscriber identification MSI of a mobile radio subscriber (IMSI = International Mobile Subscribe Identity) and associated call number is provided in the mobile radio. The application AP can access the service SR via a suitable interface by means of an IP-based data transmission. This service is a so-called service provider application, via which the application AP can obtain data on the mobile device MD or perform actions. The service SR is thus offered by a service provider, this provider does not necessarily have to match the operator of the server SV. The application AP can, for example, access a service for providing keys, the keys being stored in the server SV. Likewise, with a corresponding service of the server SV, a certificate for the application AP to be issued. If, for example, a new key was generated by the application AP, it can request a certificate for the new key by accessing the service. Another example of a service is the renewal of an existing certificate for an application.
Der in Fig. 1 schematisch angedeutete Benutzer U ist eine menschliche Person, die die Applikation AP auf dem Mobilfunkgerät MD bedient, um hierdurch auf den Dienst SR des Servers SV zuzugreifen. In der Regel ist diese Person auch gleichzeitig der Besitzer des Mobilfunkgeräts. Das Mobilfunkgerät kann ein Mobiltelefon oder ein Smartphone sein. Das Mobilfunkgerät kann gegebenenfalls auch ein Tablet-Computer, tragbarer Computer bzw. Laptop mit darin eingesetztem bzw. integriertem Sicherheitselement sein. Ebenso kann das Mobilfunkgerät ein stationärer Desktop-Computer bzw. PC sein. The user U indicated schematically in FIG. 1 is a human person who operates the application AP on the mobile radio MD in order to access the service SR of the server SV. As a rule, this person is also the owner of the mobile device at the same time. The mobile device may be a mobile phone or a smartphone. Optionally, the mobile device may also be a tablet computer, portable computer or laptop with security element inserted or integrated therein. Likewise, the mobile device may be a stationary desktop computer or PC.
Das Sicherheitselement SE kann je nach Ausführungsform unterschiedlich realisiert sein. Insbesondere kann es sich um eine austauschbare SIM/USIM- Karte handeln, die reversibel in das Mobilfunkgerät eingesetzt ist (tragbarer Datenträger). Ebenso kann das Sicherheitselement eine sog. embedded SIM/USIM-Karte sein, welche fest in dem Mobilfunkgerät integriert ist (Sicherheitsmodul). Zur Zuordnung eines Sicherheitselements zu einem entsprechenden Mobilfunkgerät ist es gegebenenfalls auch nicht erforderlich, dass sich das Sicherheitselement in dem Mobilfunkgerät befindet. Insbesondere kann das Sicherheitselement auch in einem Mobilfunk-Stick zum Aufbau einer Mobilfunkverbindung eingesetzt sein, wobei der Stick wiederum mit einem Endgerät (z.B. über USB) verbunden ist. Das Endgerät zusammen mit dem Stick stellt dann das Mobilfunkgerät dar. Ebenso kann das Sicherheitselement einem Endgerät über ein weiteres Mobilfunkgerät zugeordnet sein, welches über eine entsprechende Schnittstelle und insbesondere draht- los (z.B. über Bluetooth) mit dem Endgerät kommuniziert. Das Mobilfunkgerät MD der Fig. 1 entspricht in diesem Fall der Kombination aus Endgerät und weiterem Mobilfunkgerät. Die Applikation AP kann im Rahmen des erfindungsgemäßen Verfahrens auf das Sicherheitselement SE zugreifen. Hierbei können an sich bekannte Technologien verwendet werden, z.B. kann der Zugriff über eine sog. The security element SE can be realized differently depending on the embodiment. In particular, it can be a replaceable SIM / USIM card, which is reversibly inserted into the mobile device (portable data carrier). Likewise, the security element may be a so-called. Embedded SIM / USIM card, which is firmly integrated in the mobile device (security module). For the assignment of a security element to a corresponding mobile device, it may also not be necessary for the security element to be located in the mobile radio device. In particular, the security element can also be used in a mobile radio stick to set up a mobile radio connection, wherein the stick is in turn connected to a terminal (eg via USB). The terminal together with the stick then represents the mobile device. Likewise, the security element can be assigned to a terminal via another mobile device, which is connected via a corresponding interface and, in particular, to a wireless device. los (eg via Bluetooth) communicates with the terminal. The mobile device MD of FIG. 1 corresponds in this case to the combination of terminal and further mobile device. The application AP can access the security element SE in the context of the method according to the invention. In this case, known technologies can be used, for example, access via a so-called.
Secure-Element-API (API = Application Programming Interface) erfolgen. Beispiele für solche Secure-Element-APIs sind Open Mobile API unter dem Betriebssystem Android oder JSR177 für Blackberry-Phones. Eine Secure- Element-API ermöglicht einen Transfer von sog. APDUs gemäß dem Standard ISO 7816-4 (APDU = Application Protocol Data Unit). APDUs werden typischerweise für den Datentransfer zwischen einem Sicherheitselement und einem Terminal bzw. mobilen Gerät verwendet. Die Kommunikation zwischen Applikation und Sicherheitselement sowie der weiter unten beschriebene Empfang eines Authentisierungstokens wird auf dem Sicherheitselement vorzugsweise über ein spezielles Java- Applet geregelt. Secure Element API (API = Application Programming Interface). Examples of such Secure Element APIs are Open Mobile API under the Android operating system or JSR177 for Blackberry phones. A Secure Element API enables a transfer of so-called APDUs according to the standard ISO 7816-4 (APDU = Application Protocol Data Unit). APDUs are typically used for data transfer between a security element and a terminal or mobile device. The communication between application and security element as well as the receipt of an authentication token described below is preferably controlled on the security element via a special Java applet.
Im Rahmen des Verfahrens der Fig. 1 gibt der Benutzer U in einem Schritt Sl zunächst eine Identifikation in der Form einer sog. Session-ID SID ein, wobei dem Benutzer diese Identifikation vorab über einen geeigneten Übertragungsweg (z.B. per Text-SMS oder E-Mail) mitgeteilt wurde. Die entsprechende Mitteilung mit der darin enthaltenen Indentifikation wird in der hier beschriebenen Ausführungsform von dem Server SV an das Mobilfunkgerät MD übermittelt und kann dort dem Benutzer U angezeigt werden. Nach Eingabe der Identifikation SID wird diese von der Applikation AP in einem Schritt S2 an den Dienst SR übermittelt. Hierfür wird einer IP-basierte Datenübertragung über einen entsprechenden ersten Kanal, z.B. über eine LAN- bzw. WLAN-Schnittstelle des Mobilfunkgeräts, genutzt. Ebenso kann die Datenübertragung unter Zwischenschaltung der entsprechenden Mobilfunkschnittstelle des Mobilfunkgeräts erfolgen. Die Übertragung der Identifikation SID erfolgt zur Vermeidung von Manipulationen verschlüsselt, z.B. über das TLS-Protokoll. Über den IP-basierten ersten Kanal wird somit eine Ver- bindung der Applikation AP zu dem Server SV über das Internet hergestellt. Dieser Kanal wird auch bei der weiteren direkten Kommunikation zwischen Applikation AP und Dienst SR verwendet. In the context of the method of FIG. 1, in a step S1, the user U initially enters an identification in the form of a so-called session ID SID, whereby the user is provided with this identification in advance via a suitable transmission path (eg via text SMS or e-mail). Mail) was communicated. The corresponding message with the identification contained therein is transmitted in the embodiment described here by the server SV to the mobile device MD and can be displayed to the user U there. After entering the identification SID, this is transmitted by the application AP in a step S2 to the service SR. For this purpose, an IP-based data transmission over a corresponding first channel, eg via a LAN or WLAN interface of the mobile device used. Likewise, the Data transmission takes place with the interposition of the corresponding mobile radio interface of the mobile device. The transmission of the identification SID is encrypted to avoid manipulation, eg via the TLS protocol. Thus, a connection of the application AP to the server SV via the Internet is established via the IP-based first channel. This channel is also used in the further direct communication between application AP and service SR.
Die in Schritt S2 von dem Dienst SR empfangene Identifikation SID wird in Schritt S3 von dem Dienst SR dahingehend überprüft, ob sie dem Dienst bekannt ist. Hierzu kann gegebenenfalls eine Datenbank mit entsprechenden zulässigen Identifikationen in dem Server SV hinterlegt sein. Ist die Identifikation SID im Server bekannt, wird in einem nächsten Schritt S4 ein sog. Au- thentisierungstoken AT generiert, der entsprechende Authentisierungsdaten enthält und in einem späteren Stadium des Verfahrens zur Autorisierung der Applikation AP gegenüber dem Dienst SR genutzt wird. Im Rahmen eines Schritts S5 wird ferner eine Statusmeldung an die Applikation AP gegeben, mit der dieser mitgeteilt wird, ob die Identifikation SID erfolgreich identifiziert werden konnte oder nicht. Im letzteren Fall wird das Verfahren gestoppt, da die Applikation AP keine Berechtigung zum Zugriff auf den Dienst SR hat. The identification SID received by the service SR in step S2 is checked in step S3 by the service SR as to whether it is aware of the service. For this purpose, if appropriate, a database with corresponding permissible identifications can be stored in the server SV. If the identification SID in the server is known, in a next step S4 a so-called authentication token AT is generated, which contains corresponding authentication data and is used in a later stage of the method for authorizing the application AP with respect to the service SR. As part of a step S5, a status message is also sent to the application AP, with which it is informed whether the identification SID could be successfully identified or not. In the latter case, the method is stopped because the application AP has no authorization to access the service SR.
Nach der Generierung des Authentisierungstokens AT in Schritt S4 wird dieser Token in Schritt S6 an einen OTA-Server OS übermittelt. Solche Server sind aus dem Stand der Technik bekannt und ermöglichen eine Übertragung von Informationen Over-The-Air über ein Mobilfunknetz. Demzufolge überträgt der OTA-Server OS in einem Schritt S7 basierend auf einer Mobilfunkübertragung den Token AT an das Sicherheitselement SE des Mobilfunkgeräts MD. Der hierfür verwendete zweite Kanal ist dabei nicht IP-basiert und verwendet somit eine andere Übertragungstechnologie als der erste Kanal. In der hier beschriebenen Ausführungsform erfolgt die Übertragung mittels einer Textnachricht basierend auf einer verschlüsselten SMS, wobei vorzugsweise der Standard GSM 03.48 verwendet wird. Dabei ist die zur Über- mittlung der SMS verwendete Telefonnummer im Dienst SR bekannt und mit der Session-Identifikation SID verknüpft. After the generation of the authentication token AT in step S4, this token is transmitted in step S6 to an OTA server OS. Such servers are known in the art and allow transmission of information over the air over a cellular network. Consequently, in a step S7, the OTA server OS transmits the token AT to the security element SE of the mobile radio MD based on a mobile radio transmission. The second channel used for this is not IP-based and thus uses a different transmission technology than the first channel. In the embodiment described here, the transmission takes place by means of a text message based on an encrypted SMS, whereby preferably the standard GSM 03.48 is used. In this case, the telephone number used for the transmission of the SMS is known in the service SR and linked to the session identification SID.
Nach dem Versenden der Identifikation SID in Schritt S2 führt die Applikation AP ein sog. Polling (d.h. eine zyklische Abfrage) über eine Secure- Element- API durch, wobei im Rahmen des Pollings nach einem an das Sicherheitselement SE übermittelten Authentisierungstoken AT gesucht wird. Sobald der Authentisierungstoken AT von dem Sicherheitselement SE empfangen wurde, wird dieser in Schritt S8 von der Applikation AP bezogen. Dieser Authentisierungstoken wird dann zur Authentisierung der Applika- tion AP im Rahmen der nachfolgenden Kommunikation mit dem Dienst SR über den ersten IP-basierten Kanal genutzt. In der hier beschriebenen Ausführungsform erfolgt die darauffolgende Kommunikation mit Hilfe von sog. HTTP- Anfragen, welche die Applikation AP an den Dienst SR richtet, um hierdurch entsprechende Aktionen auszulösen. Eine HTTP- Anfrage, welche auf dem an sich bekannten Hypertext-Transfer-Protokoll beruht, ist dabei ein konkreter HTTP-Übertragungsbefehl. Insbesondere können mit dem Befehl „HTTP GET" Daten von einem HTTP-Server angefordert werden. Demgegenüber können mit dem Befehl HTTP POST Daten von einem HTTP-Server an eine Applikation übermittelt werden. Der Server SV hat somit unter ande- rem auch die Funktionalität eines HTTP-Servers. After sending the identification SID in step S2, the application AP carries out a so-called polling (i.e., a cyclical polling) via a secure element API, wherein in the course of the polling an authentication token AT which is transmitted to the security element SE is searched. As soon as the authentication token AT has been received by the security element SE, it is referred to by the application AP in step S8. This authentication token is then used to authenticate the application AP in the context of the subsequent communication with the service SR via the first IP-based channel. In the embodiment described here, the subsequent communication takes place with the aid of so-called HTTP requests, which the application AP directs to the service SR in order to trigger corresponding actions. An HTTP request, which is based on the known hypertext transfer protocol, is a concrete HTTP transfer command. In particular, data can be requested from an HTTP server using the "HTTP GET" command, whereas with the HTTP POST command, data can be transmitted from an HTTP server to an application, so that the server SV also has the functionality of a HTTP server.
In Schritt S9 wird über eine Benutzereingabe an einer Benutzerschnittstelle des Mobilfunkgeräts MD (oder automatisiert, insbesondere nach Benutzervorgabe) eine entsprechende Aktion zur Durchführung durch den Dienst SV ausgelöst. Basierend auf der Benutzereingabe wird dann in Schritt S10 eine HTTP- Anfrage RE über den ersten Kanal an den Dienst SR gerichtet. Dabei wird automatisiert durch die Applikation AP der Authentisierungstoken AT in die HTTP- Anfrage als Attribut eingefügt. In Schritt Sil wird dann von dem Dienst SR überprüft, ob der empfangene Token dem in Schritt S4 ausgesendeten Token entspricht. Ist dies der Fall, ist die Applikation AP erfolgreich authentisiert bzw. autorisiert, so dass die entsprechende Aktion, die über den HTTP-Befehl RE angefordert wurde, in Schritt S12 ausgeführt wird. Sollte in Schritt S12 keine Übereinstimmung der Tokens festgestellt werden, wird das Verfahren abgebrochen. In beiden Fällen wird in Schritt S13 eine Antwort an die Applikation AP von dem Dienst SR zurückgegeben. Bei erfolgreicher Authentisierung in Schritt Sil wird als Antwort das Ergebnis der angeforderten Aktion, z.B. ein angeforderter Schlüssel bzw. ein angefordertes Zertifikat, an die Applikation AP gegeben. Bei nicht erfolgreicher Authen- tisierung wird demgegenüber eine Abbruchmeldung an die Applikation AP übermittelt. In step S9 is via a user input to a user interface of the mobile device MD (or automated, in particular according to user default) a corresponding action for execution by the service SV triggered. Based on the user input, an HTTP request RE is then directed to the service SR via the first channel in step S10. In this case, the authentication AP is automatically inserted into the HTTP request as an attribute by the application AP. In step S11, the service SR then checks whether the received token corresponds to the token sent out in step S4. If so, the application AP is successfully authenticated or authorized so that the corresponding action requested via the HTTP command RE is performed in step S12. If no match of the tokens is found in step S12, the process is aborted. In both cases, a response to the application AP is returned by the service SR in step S13. Upon successful authentication in step Sil, the result of the requested action, eg a requested key or a requested certificate, is given as an answer to the application AP. In the case of unsuccessful authentication, on the other hand, an abort message is transmitted to the application AP.
In der Ausführungsform der Fig. 1 ist beispielhaft die Ausführung einer weiteren Aktion über entsprechende Schritte S9', S101, S13' dargestellt. Diese Schritte entsprechen den Schritten S9 bis S13, die oben beschrieben wurden. Das heißt, es wird wiederum über den Schritt S9' durch den Benutzer (oder automatisiert) eine Aktion ausgelöst, welche zum Aussenden einer HTTP- Anfrage RE' führt, die den Authentisierungstoken AT als Attribut enthält. Es wird dann eine Überprüfung des Tokens in Schritt Sil' durchgeführt sowie bei erfolgreicher Authentisierung die Aktion S12' ausgeführt, welche inIn the embodiment of FIG. 1, the execution of a further action via corresponding steps S9 ', S10 1 , S13' is shown by way of example. These steps correspond to the steps S9 to S13 described above. That is, it is in turn via the step S9 'by the user (or automated) triggered an action that leads to the transmission of an HTTP request RE' containing the authentication token AT as an attribute. A check of the token is then carried out in step S11 'and, if authentication is successful, the action S12' is carried out, which in
Schritt S13' zum Zurücksenden einer Antwort führt. Je nach Ausgestaltung der Applikation können auch weitere Aktionen zum Zugriff auf den Dienst ausgelöst werden. In dem soeben beschriebenen Zugriff auf den Dienst SR wird basierend auf der IP-basierten Kommunikation über den ersten Kanal immer verschlüsselt kommuniziert. Zur Verschlüsselung wird in einer besonders bevorzugten Ausführungsform das an sich bekannte TLS-Protokoll eingesetzt. Mit diesem Protokoll wird der Server authentisiert und werden die entsprechenden Anfragen RE bzw. RE' und die darauf basierenden Antworten verschlüsselt. Hierdurch wird sichergestellt, dass der Authentisierungstoken nicht von Dritten durch Abhören des ersten Kanals ausgelesen werden kann. Fig. 2 zeigt eine schematische Darstellung einer Abwandlung der Ausführungsform der Fig. 1. Das Verfahren der Fig. 2 entspricht größtenteils dem Verfahren der Fig. 1. Es werden somit nur noch die Unterschiede zwischen den beiden Verfahren beschrieben. Im Unterschied zu Fig. 1 wird im Verfahren der Fig. 2 als Identifikation in Schritt S2 keine Session-ID SID übertragen, sondern stattdessen die Rufnummer bzw. Telefonnummer TN des Mobilfunkteilnehmers, die in dem Sicherheitselement SE hinterlegt ist. Der Start der Applikation AP durch den Benutzer U in Schritt Sl erfolgt dabei ohne die Eingabe einer Session-ID. Anschließend wird dann automatisiert durch die Applikation AP die Telefonnummer TN aus dem Sicherheitselement SE ausgelesen und verschlüsselt (insbesondere mit dem TLS-Protokoll) über den ersten IP-basierten Kanal an den Dienst SR des Servers SV übertragen. Der Dienst SR verifiziert anschließend die Telefonnummer, z.B. indem er die Telefonnummer mit zulässigen Telefonnummern aus einer Benutzerdatenbank vergleicht. Bei erfolgreicher Verifikation läuft das Verfahren analog wie in Fig. 1 beschrieben ab, d.h. ein Authentisierungstoken AT wird über einen zweiten Kanal mittels SMS verschlüsselt an das Sicherheitselement SE übermittelt und anschließend zur Autorisierung entsprechender Anfragen im Rahmen des Zugriffs auf den Dienst genutzt. Zwecks Vermeidung von Wiederholungen werden die entsprechenden Verfahrensschritte nicht nochmals im Detail beschrieben. Diesbezüglich wird vielmehr auf die obigen Ausführungen zu Fig. 1 verwiesen. Step S13 'results in returning a response. Depending on the design of the application, other actions for accessing the service can also be triggered. In the just described access to the SR service, the encrypted communication over the first channel is always based on the IP-based communication. For encryption, the TLS protocol known per se is used in a particularly preferred embodiment. This protocol authenticates the server and encrypts the corresponding RE and RE 'requests and the responses based on them. This ensures that the authentication token can not be read by third parties by listening to the first channel. 2 shows a schematic representation of a modification of the embodiment of FIG. 1. The method of FIG. 2 largely corresponds to the method of FIG. 1. Thus, only the differences between the two methods are described. In contrast to FIG. 1, in the method of FIG. 2, no session ID SID is transmitted as identification in step S2, but instead the telephone number or telephone number TN of the mobile radio subscriber which is stored in the security element SE. The start of the application AP by the user U in step Sl takes place without the input of a session ID. Subsequently, the telephone number TN is then automatically read out of the security element SE by the application AP and encrypted (in particular with the TLS protocol) via the first IP-based channel to the service SR of the server SV. The service SR then verifies the telephone number, eg by comparing the telephone number with authorized telephone numbers from a user database. Upon successful verification, the method proceeds analogously as described in FIG. 1, ie an authentication token AT is encrypted via a second channel using SMS transmitted to the security element SE and then used to authorize corresponding requests in the context of access to the service. In order to avoid repetition, the corresponding method steps are not repeated described in detail. In this regard, reference is made to the above statements to FIG. 1.
Die im Vorangegangenen beschriebenen Ausführungsformen der Erfindung weisen eine Reihe von Vorteilen auf. Insbesondere werden im Rahmen des Zugriffs auf einen Dienst durch eine Applikation zwei verschiedene Übertragungstechnologien über einen ersten Kanal eines IP-basierten Netzes sowie einen zweiten, davon unterschiedlichen Kanal eines Mobilfunknetzes genutzt. Für die direkte Kommunikation der Applikation mit dem Dienst wird dabei der erste Kanal und zur Übermittlung des Authentisierungsto- kens der zweite Kanal verwendet. Demzufolge werden Angriffe unbefugter Dritter erschwert, denn ein Angreifer benötigt Zugriff zu beiden Netzwerken, um entsprechende Protokoll-Daten aufzuzeichnen und zu analysieren, um sich hierdurch Zugriff auf den Dienst zu verschaffen. The embodiments of the invention described above have a number of advantages. In particular, in the context of access to a service by an application, two different transmission technologies are used via a first channel of an IP-based network and a second, different channel of a mobile network. For the direct communication of the application with the service, the first channel is used, and the second channel is used to transmit the authentication key. As a result, attacks by unauthorized third parties are made more difficult because an attacker needs access to both networks to record and analyze corresponding log data to gain access to the service.
Mit dem erfindungsgemäßen Verfahren wird ferner sichergestellt, dass der Authentisierungstoken stets verschlüsselt übertragen wird. Zudem wird sichergestellt, dass der Authentisierungstoken nur zu authentisierten Kommunikationspartnern übertragen wird. Hierfür kann in speziellen Ausfüh- rungsformen eine verschlüsselte SMS und das TSL-Protokoll genutzt werden. Darüber hinaus kann durch typische Zugriffsschutz-Mechanismen einer Secure-Element-API (z.B. GP SE Access Control) bei der Kommunikation zwischen Applikation und Sicherheitselement sichergestellt werden, dass nur autorisierte Applikationen den Authentisierungstoken aus dem Sicher- heitselement auslesen können. The method according to the invention also ensures that the authentication token is always transmitted in encrypted form. It also ensures that the authentication token is transmitted only to authenticated communication partners. For this purpose, an encrypted SMS and the TSL protocol can be used in special embodiments. Moreover, typical access protection mechanisms of a secure element API (for example GP SE Access Control) during the communication between application and security element can ensure that only authorized applications can read the authentication token from the security element.
Ein weiterer Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass die Authentisierung der Applikation automatisch abläuft, was durch das automatische Bereitstellen des Authentisierungstokens sowie die automati- sehe Einbindung des Authentisierungstokens in entsprechende Anfragen an den Dienst realisiert wird. Demzufolge ist es im Rahmen der Authentisie- rung nicht mehr erforderlich, dass manuell durch einen Benutzer Eingaben vorgenommen werden müssen, wie dies oftmals bei herkömmlichen Authen- tisierungs-Protokollen der Fall ist. Another advantage of the method according to the invention is that the authentication of the application takes place automatically, which is achieved by the automatic provision of the authentication token and the automatic authentication. integration of the authentication token is realized in corresponding requests to the service. Consequently, in the context of authentication, it is no longer necessary for inputs to be made manually by a user, as is often the case with conventional authentication protocols.

Claims

P a t e n t a n s p r ü c h e P a n t a n s p r e c h e
Verfahren zum Zugriff auf einen Dienst (SR) eines Servers (SV) über eine Applikation (AP) eines Endgeräts (MD), wobei dem Endgerät (MD) ein Sicherheitselement (SE) zugeordnet ist, mit dem das Endgerät (MD) kommunizieren kann, und das Sicherheitselement (SE) eine Teilnehmeridentifikation (MSI) eines Mobilfunkteilnehmers in einem Mobilfunknetz enthält, wobei Method for accessing a service (SR) of a server (SV) via an application (AP) of a terminal (MD), wherein the terminal (MD) is assigned a security element (SE) with which the terminal (MD) can communicate, and the security element (SE) contains a subscriber identification (MSI) of a mobile radio subscriber in a mobile radio network, wherein
a) die Applikation (AP) des Endgeräts (MD) über einen ersten Kanal eines IP-basierten Netzes basierend auf einer IP-basierten Übertragung eine Identifikation (SID, TN) an den Dienst (SR) des Servers (SV) übermittelt; a) the application (AP) of the terminal (MD) transmits an identification (SID, TN) to the service (SR) of the server (SV) via a first channel of an IP-based network based on an IP-based transmission;
b) im Falle, dass der Dienst (SR) die Identifikation (SID, TN) erfolgreich verifizieren kann, ein Authentisierungstoken (AT) von dem Dienst (SR) über einen zweiten Kanal des Mobilfunknetzes basierend auf einer sich vom ersten Kanal unterscheidenden Übertragung verschlüsselt an das Sicherheitselement (SE) übermittelt wird; b) in the event that the service (SR) can successfully verify the identification (SID, TN), an authentication token (AT) from the service (SR) encrypted over a second channel of the mobile network based on a different from the first channel transmission the security element (SE) is transmitted;
c) der Applikation (AP) automatisch der an das Sicherheitselement (SE) übermittelte Authentisierungstoken (AT) bereitgestellt wird; d) die Applikation (AP) auf den Dienst (SR) mittels einer verschlüsselten Kommunikation über den ersten Kanal zugreift, wobei die Applikation (AP) Anfragen (RE, RE'), welche im Rahmen der verschlüsselten Kommunikation von der Applikation (AP) an den Dienst (SR) übermittelt werden, automatisch mit dem bereitgestellten Authentisierungstoken (AT) versieht, wobei Anfragen (RE, RE') durch den Dienst (SR) nur bei erfolgreicher Verifikation des Authentisierungstokens (AT) weiterverarbeitet werden. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die in Schritt a) übermittelte Identifikation (SID) vorab einem Benutzer (U) des Endgeräts (MD) durch den Dienst (SR) mitgeteilt wird, wobei in Schritt a) nach einer Eingabe der mitgeteilten Identifikation (SID) durch den Benutzer mittels einer Benutzerschnittstelle des Endgeräts (MD) die Applikation (AP) die Identifikation (SID) über den ersten Kanal an den Dienst (SR) übermittelt. c) the application (AP) is automatically provided with the authentication token (AT) transmitted to the security element (SE); d) the application (AP) accesses the service (SR) by means of an encrypted communication via the first channel, wherein the application (AP) queries (RE, RE '), which in the context of the encrypted communication from the application (AP) the service (SR) is automatically provided with the provided authentication token (AT), whereby requests (RE, RE ') are further processed by the service (SR) only upon successful verification of the authentication token (AT). Method according to claim 1, characterized in that the identification (SID) transmitted in step a) is notified in advance to a user (U) of the terminal (MD) by the service (SR), wherein in step a) after an input of the notified identification (SID) by the user via a user interface of the terminal (MD) the application (AP) the identification (SID) via the first channel to the service (SR).
Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Applikation (AP) in Schritt a) eine im Sicherheitselement (SE) hinterlegte Rufnummer (TN) ausliest, über welche der Mobilfunkteilnehmer im Mobilfunknetz kontaktiert werden kann, wobei die in Schritt a) übermittelte Identifikation die ausgelesene Rufnummer (TN) ist. A method according to claim 1 or 2, characterized in that the application (AP) in step a) a stored in the security element (SE) phone number (TN), via which the mobile subscriber can be contacted in the mobile network, wherein in step a) transmitted Identification is the read out telephone number (TN).
Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Authentisierungstoken (AT) in Schritt b) über eine SMS an das Sicherheitselement (SE) übermittelt wird. Method according to one of the preceding claims, characterized in that the authentication token (AT) in step b) is transmitted via an SMS to the security element (SE).
Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Authentisierungstoken (AT) in Schritt b) unter Zwischenschaltung eines OTA-Servers (OS) an das Sicherheitselement (SE) übermittelt wird. Method according to one of the preceding claims, characterized in that the authentication token (AT) in step b) with the interposition of an OTA server (OS) to the security element (SE) is transmitted.
Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die automatische Bereitstellung des Authentisie- rungstokens (AT) in Schritt c) über ein Polling der Applikation (AP) nach dem Authentisierungstoken (AT) auf dem Sicherheitselement (SE) erfolgt. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Empfang des Authentisierungstokens (AT) im Sicherheitselement (SE) und das Bereitstellen des Authentisierungstokens (AT) für die Applikation (AP) mit Hilfe eines Programms und insbesondere eines Java- Applets auf dem Sicherheitselement (SE) durchgeführt wird und/ oder dass das Sicherheitselement (SE) über eine Secure-Element-API mit der Applikation (AP) kommuniziert. Method according to one of the preceding claims, characterized in that the automatic provision of the authentication token (AT) in step c) takes place via a polling of the application (AP) for the authentication token (AT) on the security element (SE). Method according to one of the preceding claims, characterized in that the reception of the authentication token (AT) in the security element (SE) and the provision of the authentication token (AT) for the application (AP) by means of a program and in particular a Java applet on the security element (SE) and / or that the security element (SE) communicates with the application (AP) via a secure element API.
Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Verschlüsselung der Kommunikation über den ersten Kanal in Schritt d) basierend auf dem TLS-Protokoll erfolgt. Method according to one of the preceding claims, characterized in that the encryption of the communication over the first channel in step d) takes place based on the TLS protocol.
Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Übermittlung von Anfragen (RE, RE') in Schritt d) zumindest teilweise durch einen Benutzer (U) über eine Benutzerschnittstelle des Endgeräts (MD) ausgelöst werden kann. Method according to one of the preceding claims, characterized in that the transmission of requests (RE, RE ') in step d) can be triggered at least partially by a user (U) via a user interface of the terminal (MD).
Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im Rahmen des Zugriffs auf den Dienst in Schritt d) eine oder mehrere kryptographische Schlüssel und/ oder eine oder mehrere Zertifikate durch den Dienst (SR) auf dem Endgerät hinterlegt und/ oder erneuert werden. Method according to one of the preceding claims, characterized in that as part of the access to the service in step d) one or more cryptographic keys and / or one or more certificates are deposited and / or renewed by the service (SR) on the terminal.
Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Verfahren mittels eines Sicherheitselements (SE) durchgeführt wird, der als tragbarer Datenträger in dem Endgerät (MD) eingesetzt oder als Sicherheitsmodul in dem Endgerät (MD) fest integriert ist. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Authentisierungstoken (AT) nur für eine definierte Zeit zur Verwendung in dem Schritt d gültig ist. Method according to one of the preceding claims, characterized in that the method by means of a security element (SE) is performed, which is used as a portable data carrier in the terminal (MD) or as a security module in the terminal (MD) is firmly integrated. Method according to one of the preceding claims, characterized in that the authentication token (AT) is valid only for a defined time for use in the step d.
Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Identifikation (SID, TN) für unterschiedliche erste Kanäle zwischen der Applikation (AP) und dem Dienst (SR) einsetzbar ist. Method according to one of the preceding claims, characterized in that the identification (SID, TN) can be used for different first channels between the application (AP) and the service (SR).
System zum Zugriff auf einen Dienst (SR) eines Servers (SV) über eine Applikation (AP) eines Endgeräts (MD), wobei dem Endgerät (MD) ein Sicherheitselement (SE) zugeordnet ist, mit dem das Endgerät (MD) kommunizieren kann, und das Sicherheitselement (SE) eine Teilnehmeridentifikation (MSI) eines Mobilfunkteilnehmers in einem Mobilfunknetz enthält, wobei die Applikation (AP), das Sicherheitselement (SE) und der Dienst (SR) derart ausgestaltet sind, dass ein Verfahren durchführbar ist, bei dem System for accessing a service (SR) of a server (SV) via an application (AP) of a terminal (MD), wherein the terminal (MD) is assigned a security element (SE) with which the terminal (MD) can communicate, and the security element (SE) contains a subscriber identification (MSI) of a mobile radio subscriber in a mobile radio network, wherein the application (AP), the security element (SE) and the service (SR) are configured such that a method can be carried out in which
a) die Applikation (AP) des Endgeräts (MD) über einen ersten Kanal eines IP-basierten Netzes basierend auf einer IP-basierten Übertragung eine Identifikation (SID, TN) an den Dienst (SR) des Servers (SV) übermittelt; a) the application (AP) of the terminal (MD) transmits an identification (SID, TN) to the service (SR) of the server (SV) via a first channel of an IP-based network based on an IP-based transmission;
b) im Falle, dass der Dienst (SR) die Identifikation (SID, TN) erfolgreich verifizieren kann, ein Authentisierungstoken (AT) von dem Dienst (SR) über einen zweiten Kanal des Mobilfunknetzes basierend auf einer sich vom ersten Kanal unterscheidenden Übertragung verschlüsselt an das Sicherheitselement (SE) übermittelt wird; b) in the event that the service (SR) can successfully verify the identification (SID, TN), an authentication token (AT) from the service (SR) encrypted over a second channel of the mobile network based on a different from the first channel transmission the security element (SE) is transmitted;
c) der Applikation (AP) automatisch der an das Sicherheitselement (SE) übermittelte Authentisierungstoken (AT) bereitgestellt wird; d) die Applikation (AP) auf den Dienst (SR) mittels einer verschlüsselten Kommunikation über den ersten Kanal zugreift, wobei die Applikation (AP) Anfragen (RE, RE'), welche im Rahmen der verschlüsselten Kommunikation von der Applikation (AP) an den Dienst (SR) übermittelt werden, automatisch mit dem bereitgestellten Authentisierungstoken (AT) versieht, wobei Anfragen (RE, RE') durch den Dienst (SR) nur bei erfolgreicher Verifikation des Authentisierungstokens (AT) weiterverarbeitet werden. c) the application (AP) is automatically provided with the authentication token (AT) transmitted to the security element (SE); d) the application (AP) accesses the service (SR) by means of an encrypted communication via the first channel, wherein the application (AP) queries (RE, RE '), which in the context of the encrypted communication from the application (AP) the service (SR) is automatically provided with the provided authentication token (AT), whereby requests (RE, RE ') are further processed by the service (SR) only upon successful verification of the authentication token (AT).
System nach Anspruch 14, dadurch gekennzeichnet, dass das System zur Durchführung eines Verfahrens nach einem der Ansprüche 2 bis 13 eingerichtet ist. System according to claim 14, characterized in that the system is arranged to carry out a method according to one of claims 2 to 13.
Server (SV) mit einem darauf hinterlegtem Dienst (SR), dadurch gekennzeichnet, dass der Dienst (SR) zur Verwendung in einem Verfahren nach einem der Ansprüche 1 bis 13 eingerichtet ist. Server (SV) with a service (SR) stored thereon, characterized in that the service (SR) is set up for use in a method according to one of the claims 1 to 13.
Endgerät mit einer darauf hinterlegten Applikation (AP) und einem zugeordneten Sicherheitselement (SE), dadurch gekennzeichnet, dass die Applikation (AP) und das Sicherheitselement (SE) zur Verwendung in einem Verfahren nach einem der Ansprüche 1 bis 13 eingerichtet sind. Terminal with an application (AP) deposited thereon and an associated security element (SE), characterized in that the application (AP) and the security element (SE) are set up for use in a method according to one of claims 1 to 13.
PCT/EP2014/000246 2013-01-31 2014-01-29 Method for accessing a service of a server using an application of a terminal WO2014117939A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP14701919.4A EP2952029A1 (en) 2013-01-31 2014-01-29 Method for accessing a service of a server using an application of a terminal

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102013001733.5A DE102013001733A1 (en) 2013-01-31 2013-01-31 Method for accessing a service of a server via an application of a terminal
DE102013001733.5 2013-01-31

Publications (1)

Publication Number Publication Date
WO2014117939A1 true WO2014117939A1 (en) 2014-08-07

Family

ID=50030243

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2014/000246 WO2014117939A1 (en) 2013-01-31 2014-01-29 Method for accessing a service of a server using an application of a terminal

Country Status (3)

Country Link
EP (1) EP2952029A1 (en)
DE (1) DE102013001733A1 (en)
WO (1) WO2014117939A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110249330A (en) * 2017-02-07 2019-09-17 德国邮政股份公司 The method of the unauthorized copy of security token for identification

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013111498A1 (en) * 2013-10-18 2015-04-23 Deutsche Telekom Ag A method for automatically authenticating a user to an electronic network service
CN108347784B (en) * 2017-01-23 2023-10-13 华为技术有限公司 Resource scheduling method, wireless access network equipment and terminal equipment

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1422960A1 (en) * 2002-11-19 2004-05-26 Microsoft Corporation Method and computer program product for verifying the authenticity of a telephone number reported in a request from a wireless device
EP1624360A1 (en) * 2004-06-30 2006-02-08 Microsoft Corporation Secure certificate enrollment of device over a cellular network
EP2651097A1 (en) * 2012-04-11 2013-10-16 Vodafone Holding GmbH Method of authenticating a user at a service on a service server, application and system

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19722424C5 (en) * 1997-05-28 2006-09-14 Telefonaktiebolaget Lm Ericsson (Publ) Method of securing access to a remote system
DE10152572A1 (en) * 2001-10-24 2003-05-15 Siemens Ag Authenticated access method for data network has identification information provided by station requiring access to data network authenticated in external network for provision of access password
US6880079B2 (en) * 2002-04-25 2005-04-12 Vasco Data Security, Inc. Methods and systems for secure transmission of information using a mobile device
DE102009040419A1 (en) * 2009-09-07 2011-04-28 Giesecke & Devrient Gmbh Method for producing data communication connection between e.g. mobile telephone and subscriber identity module card, involves executing coordination application in runtime environment
US8200854B2 (en) * 2010-08-05 2012-06-12 Verizon Patent And Licensing Inc. Smart card driven device configuration changes
TR201103175A2 (en) * 2011-04-01 2012-10-22 Turkcell �Let���M H�Zmetler� Anon�M ��Rket� A system and method for secure message transmission

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1422960A1 (en) * 2002-11-19 2004-05-26 Microsoft Corporation Method and computer program product for verifying the authenticity of a telephone number reported in a request from a wireless device
EP1624360A1 (en) * 2004-06-30 2006-02-08 Microsoft Corporation Secure certificate enrollment of device over a cellular network
EP2651097A1 (en) * 2012-04-11 2013-10-16 Vodafone Holding GmbH Method of authenticating a user at a service on a service server, application and system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110249330A (en) * 2017-02-07 2019-09-17 德国邮政股份公司 The method of the unauthorized copy of security token for identification

Also Published As

Publication number Publication date
EP2952029A1 (en) 2015-12-09
DE102013001733A1 (en) 2014-07-31

Similar Documents

Publication Publication Date Title
EP2865198B1 (en) Method for entering identification data of a vehicle into a user database of an internet server device
EP2856437B1 (en) Method and device for control of a lock mechanism using a mobile terminal
EP2443853B1 (en) Method for registration of a mobile device in a mobile network
DE102012103106A1 (en) A method of authenticating a user to a service on a service server, application and system
DE102011075257B4 (en) Answering inquiries by means of the communication terminal of a user
EP2528363A2 (en) Change of subscription in an identification module
EP2952029A1 (en) Method for accessing a service of a server using an application of a terminal
EP2677791B1 (en) Method and device for transferring a test request to an identification module
EP2688327B1 (en) Activation of subscriber identity data
EP2697989A1 (en) Method and system for data communication to an identification module in a mobile radio terminal
WO2021228537A1 (en) Method for coupling an authentication means to a vehicle
WO2018019999A1 (en) Profile authorisation server for downloading sim profiles
EP2528364B1 (en) Method and device for providing an identification signal of an electronic end device
EP2456157B1 (en) Protecting privacy when a user logs into a secure web service using a mobile device
DE102005045887A1 (en) Unlock mobile phone cards
EP2933769B1 (en) Transaction method
EP2613491B1 (en) Execution of cryptographic operations with data from a user terminal
EP2650818A1 (en) System and method for secure communication
EP3435697B1 (en) Method for authenticating a user against a service provider and authentication system
WO2015124317A1 (en) Method for remotely managing a data element stored on a security element
EP2611221B1 (en) Management of license information for a communication terminal
EP4138435A1 (en) Method for granting access to a control unit in a building control system

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14701919

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2014701919

Country of ref document: EP