WO2016066253A1 - Method for contactlessly carrying out a transaction - Google Patents

Method for contactlessly carrying out a transaction Download PDF

Info

Publication number
WO2016066253A1
WO2016066253A1 PCT/EP2015/002096 EP2015002096W WO2016066253A1 WO 2016066253 A1 WO2016066253 A1 WO 2016066253A1 EP 2015002096 W EP2015002096 W EP 2015002096W WO 2016066253 A1 WO2016066253 A1 WO 2016066253A1
Authority
WO
WIPO (PCT)
Prior art keywords
eap
transaction
terminal
sim
security element
Prior art date
Application number
PCT/EP2015/002096
Other languages
German (de)
French (fr)
Inventor
Ullrich Martini
Frank Schäfer
Original Assignee
Giesecke & Devrient Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke & Devrient Gmbh filed Critical Giesecke & Devrient Gmbh
Publication of WO2016066253A1 publication Critical patent/WO2016066253A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3229Use of the SIM of a M-device as secure element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • G06Q20/3278RFID or NFC payments by means of M-devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Definitions

  • the present invention relates to a method for contactlessly performing a transaction between a mobile terminal and a terminal.
  • a payment transaction or a transaction can be carried out, which provides access to a user of the terminal, for example, to a building or a room in a building.
  • tickets, tickets or the like can be purchased by means of such transactions.
  • the non-contact implementation of a transaction is understood to be the implementation of the transaction via a radio interface, for example NFC ("Near Field Communication"), via a radio network, for example a WLAN, or via a telecommunications network.
  • NFC interfaces for short-range communication
  • a security element of the terminal such as a SIM / UICC mobile card
  • the security element can then be For example, data and / or keys for authenticating and / or saving the transaction be stored.
  • a transaction application for securely performing the transaction by the terminal may be stored and executed on the security element of the terminal.
  • the present invention is based on the idea of embedding the transaction-defining commands, for example in the form of APDU commands, in data packets of an EAP-SIM or EAP-AKA protocol and via a wireless network, in particular a WLAN, via which the terminal with a Terminal via a base station can be connected to tunnel.
  • EAP-SIM protocol and the EAP-AKA protocol each form specific embodiments of the E AP (Extensible Authentication Protocol) protocol, which has been generally designed as an authentication protocol basis (see RFC 3748)
  • EAP has been developed to support a dial-up of a mobile terminal into a foreign network, without it being necessary to know exactly the respective exact infrastructure with each authentication.
  • EAP supports different authentication methods, among others also by means of a SIM / UICC mobile card which has been quasi specified in RFC 4186 or RFC 4187 as EAP-SIM protocol (for GSM) or EAP-AKA protocol (for UMTS) are.
  • a corresponding security element that is to say a SIM / UICC mobile communication card, is used to authenticate a mobile terminal in a wireless network.
  • a corresponding EAP request command is sent from the terminal to the terminal via a base station which provides the network.
  • An operating system of the terminal e.g. Android or iOS, can recognize from the specific embodiment of the EAP request command in the form of an EAP-SIM or EAP-AKA request command that this command to the
  • This mechanism is used herein to transport such commands defining the transaction to be performed between the terminal and a transactional application on the security element of the terminal.
  • the data packets of the EAP-SIM or EAP-AKA protocol are thus not used for authentication of the mobile terminal in the wireless network provided by the base station, but rather as a transport frame for the commands defining the actual transaction, which basically do not belong to any prescribed protocol are bound.
  • these commands are in the form of APDU commands between the terminal and the transactional application on the security element of the terminal transmitted.
  • a terminal that does not have an NFC module can easily and securely perform a transaction without contact with the terminal.
  • An adaptation of an existing infrastructure is not necessary, just as a change of existing and used communication protocols. All necessary functionalities can be implemented in the terminal and the security element, in particular in the transaction application of the security element.
  • the process remains transparent. There is no need for user interaction, preserving all the benefits of contactless transaction execution.
  • the transaction can also be carried out safely, since the security element of the mobile terminal stores all data and applications necessary for performing and / or authenticating the transaction, in particular the transaction application according to the invention, in a secure manner.
  • the EAP-SIM or EAP-AKA data packets are forwarded unchanged according to the EAP-SIM or EAP-AKA protocol from the base station, which provides the network via which the mobile terminal can be connected to the terminal .
  • Such forwarding of EAP commands by a base station is also provided according to the EAP specification.
  • the base station can also be designed as a component of the terminal. Then such a transfer can be practically omitted.
  • the terminal will be connected to the base station via a suitable communications network, such as the Internet.
  • the security element on the terminal recognizes such EAP-SIM or EAP-AKA data packets received via the base station and the mobile terminal from the terminal, which comprise transaction commands defining request commands, i. such EAP data packets used to tunnel transaction commands.
  • the security element is arranged to distinguish such EAP-SIM or EAP-AKA data packets from conventional EAP-SIM or EAP-AKA data packets which do not have embedded, i. tunneled transaction commands.
  • the security element can analyze the corresponding data packets and, on the basis of an analysis, in particular of the data portion of such a data packet, infer whether the data packet comprises embedded commands defining the transaction or not.
  • EAP-SIM or EAP-AKA data packets have a predefined structure and contain defined attributes that enable unambiguous recognition.
  • the security element recognizes, on the basis of an identification code of the terminal, whether data communication via the EAP-SIM or EAP-AKA protocol is used for carrying out the transaction, ie whether the corresponding EAP-SIM or EAP-AKA data packets are embedded , transaction-defining com- Mandos include.
  • a corresponding identifier of the terminal is provided according to the EAP protocol and can be easily checked quickly.
  • the terminal can the terminal, ie so inform the security element of the terminal / easily that the e AP data packets are used for tunneling transaction commands.
  • the security element for example, a list of terminal identifiers is stored, which specify such terminals that are set up for tunneling transaction commands in EAP data packets.
  • the security element can recognize on the basis of an identification code of the base station, which provides the network, via which the mobile terminal is connected to the terminal, or an identification code of the network, whether a data communication via the EAP-SIM or EAP-AKA Protocol to be used to perform the transaction.
  • an identification code of the base station which provides the network, via which the mobile terminal is connected to the terminal
  • an identification code of the network whether a data communication via the EAP-SIM or EAP-AKA Protocol to be used to perform the transaction.
  • a list of corresponding base station and / or network identifiers may be stored in the security element. If the security element has detected that the received E AP data packets comprise embedded, transaction-defining commands, the security element forwards the corresponding EAP data packets to the transaction application. The transaction application then extracts from an EAP-SIM or EAP-AKA data packet received by the security element the corresponding request commands defining the transaction and interprets them in a predefined manner.
  • the transaction application then embeds the response commands defining the transaction in an EAP SIM card. or EAP-AKA data packet and forwards this EAP data packet as an EAP-SIM or EAP-AKA response command to the security element of the mobile terminal.
  • the security element in turn sends this EAP-SIM or EAP-AKA response command to the terminal via the terminal and the base station.
  • the terminal is set up transaction requesting commands, i. e.g. Inquiry APDUs to embed in EAP-SIM or EAP-AKA data packets and as EAP-SIM or EAP-AKA
  • the terminal is set up to extract the transaction-defining response commands from EAP-SIM or EAP-AKA response commands received from the security element, via the terminal and the base station, and to interpret them appropriately.
  • a payment transaction or an access transaction can be carried out by means of the transaction.
  • the terminal can specifically address a so-called "Card Manager” on the security element as part of the transaction.
  • the "Card Manager” is a special application of the security element, with the aid of which applications can be selected on the security element if it is installed there and are selectable.
  • a concrete example of such a status request to the terminal can be made with a specific application called PPSE ("Proximity Payment System Environment"). ment ”) in order to obtain the status of the payment applications installed on a security element of the terminal.
  • PPSE Proximity Payment System Environment
  • a security element according to the invention for a mobile terminal in particular in the form of a SIM-UICC mobile communication card, therefore comprises a transaction application which is set up to carry out a transaction with a terminal via a contactless data communication channel.
  • the security element is further set up if the transaction-defining commands embedded in data packets of an EAP-SIM or EAP-AKA protocol between the transactional application on the security element and the terminal are tunneled over a wireless network, such EAP-SIM received by the terminal. or recognize EAP-AKA data packets that comprise request commands defining the transaction.
  • the security element is set up to forward the recognized EAP-SIM or EAP-AKA data packets to the transaction application.
  • the security element is set up to forward the EAP-SIM or EAP-AKA data packets received from the transaction application into which corresponding response commands defining the transaction are forwarded to the terminal.
  • the transaction application is set up on the security element to extract the transaction-defining request commands from E AP-SIM or EAP-AKA data packets received from the security element and to interpret them appropriately. Furthermore, the transaction application is set up, the transaction-defining response commands in EAP-SIM or EAP-AKA data packets. and forward to the security element for forwarding to the terminal.
  • a mobile terminal according to the invention comprises a security element described above.
  • An inventive terminal is configured to perform a transaction with a transaction application of a security element for a mobile terminal, in particular in the form of a SIM / UICC mobile card.
  • the terminal is set up to tunnel commands defining the transaction to the transactional application via a wireless network, to request requests defining the transaction in EAP-SIM or EAP-AKA data packets and to send them to the security element via the base station and the terminal.
  • the terminal is set up to extract appropriate response commands defining the transaction from EAP-SIM or EAP-AKA data packets received from the security element via the terminal and the base station and to interpret them appropriately for carrying out the transaction.
  • a system according to the invention comprises a terminal as described above, at least one terminal described above having a security element according to the invention and at least one base station connected to the terminal, which is set up to provide a wireless network via which the mobile terminal can be connected to the terminal.
  • the terminal, the base station and the security element of the terminal are each configured to execute a method described above.
  • the base station can also be designed as a part of the terminal.
  • FIG. 1 shows components of a preferred embodiment of a system according to the invention
  • the system 1000 which is schematically indicated in FIG. 1, comprises at least one mobile terminal 100.
  • the terminal 100 may be for example a smartphone, a mobile radio terminal, a tablet computer or the like.
  • the terminal 100 is controlled by an operating system (OS).
  • OS operating system
  • a security element 10 is integrated.
  • the security element 10 can be firmly connected to the terminal 100 or removably integrated therein.
  • SIM / UICC mobile cards are particularly suitable.
  • Other security elements of known type can also be used, for example in the form of hardware and / or software means, specially secured areas in the terminal (eg TEE, trusted execution environment, vSIM)
  • the security element 10 comprises a transaction application 12, which is configured to perform a transaction with a terminal 300 in the manner described below with reference to FIG.
  • the terminal 300 is usually assigned to a provider of a transaction and can be provided, for example, by a server of a bank, via which an EMV payment transaction by means of the terminal 100 of the user is to be performed as a transaction.
  • the terminal 300 is connected to a base station 200 for this purpose.
  • the base station 200 is configured to provide a wireless network (WLAN) via which the terminal 100 can contact the terminal 300.
  • WLAN wireless network
  • FIG. 2 illustrates steps of a preferred embodiment of a method for performing a contactless transaction between the terminal 300 and the transactional application 12 on the security element 10 of the terminal 100.
  • the base station 200 provides a wireless network.
  • step S2 To perform the transaction (step S2), the following sub-steps can be performed in detail.
  • the transaction-specific descriptive parameters such as a purchase item or a purchase price, may be previously entered in a suitable manner, for example by keyboard input or voice input, by the user via a suitable input device connected to the terminal.
  • the terminal 300 embeds a request command defining the transaction, preferably in the form of an APDU request command, in an EAP-AKA data packet.
  • the data portion of such a data packet is suitable for embedding any data, thus also for embedding of APDU commands.
  • the EAP-AKA protocol refer to RFC 4187.
  • step S2.2 the terminal 300 sends the EAP-AKA data packet to the base station 200 in accordance with the EAP-AKA protocol as an EAP-AKA request command.
  • the base station 200 forwards the EAP-AKA request unchanged to the mobile terminal 100 (step S2.3).
  • EAP request command - in the form of an EAP-AKA request command - the operating system of the terminal 100 recognizes that the corresponding data communication is to be forwarded to the security element 10 of the terminal 100.
  • the security element 10 of the terminal 100 receives the EAP-AKA request command in step S2.4 and recognizes that the EAP-AKA request command is used for tunneling a request command defining the transaction, for example in the form of an APDU request.
  • recognition can be made visible to the terminal 100, for example, by means of an identifier of the terminal 300 which is part of the EAP data packet or by means of an identification of the base station or the network (SSID) provided by the base station is done.
  • step S2.5 the security element 10 forwards the recognized EAP-AKA data packet to the transaction application 12.
  • the transaction application in step S2.6, extracts the request APDU from the EAP-AKA data packet and interprets this command accordingly.
  • the transactional application 12 embeds a response command, ie a response APDU, in an EAP-AKA data packet and forwards the EAP-AKA data packet to the security element 10 as an EAP-AKA response command.
  • step S2.7 the security element 10 in turn forwards the EAP-AKA response command to the base station 200.
  • the base station 200 forwards the EAP-AKA response command unchanged to the terminal 300, which extracts the response APDU from the EAP-AKA data packet in step S2.9 and interprets it accordingly. It is possible that steps S2.1 to S2.9 have to be repeated several times in order to carry out the transaction. In principle, however, it may also be sufficient for performing the transaction that each of the steps 2.1 to S2.9 is performed only once. Deviating from the method described above, the terminal 300, before the step S2.1, try to address the terminal 100 via a suitable interface of the base station, via an NFC protocol. Only when it is detected by means of a missing response that the terminal 100 does not support an NFC protocol or, due to the lack of an NFC module, can not receive a corresponding request, a method according to FIG. 2 is initiated.
  • the security element 10 is set up, firstly a method as described above, as illustrated with reference to FIG and secondly, to securely support a corresponding transaction via an NFC module of a terminal.
  • a security element can then be used both in a terminal 100, as shown in Figure 1, which has no NFC module, as well as in a terminal equipped with an NFC module to perform a transaction.

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Strategic Management (AREA)
  • Signal Processing (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)

Abstract

The invention relates to a method for contactlessly carrying out a transaction between a mobile terminal (100) and a terminal (300), in which the commands defining the transaction, in particular in the form of APDU commands, are embedded into data packets of a EAP-SIM or a EAP-AKA protocol and are tunneled between a transaction application (12) on a security element (10) of the mobile terminal (100), in particular a SIM/UICC mobile radio card, and the terminal (300) via a wireless network (S2.1-S2.9).

Description

Verfahren zum kontaktlosen Durchführen  Method for contactless performance
einer Transaktion Die vorliegende Erfindung betrifft ein Verfahren zum kontaktlosen Durchführen einer Transaktion zwischen einem mobilen Endgerät und einem Terminal.  OF A TRANSACTION The present invention relates to a method for contactlessly performing a transaction between a mobile terminal and a terminal.
Als Transaktion kann dabei beispielsweise eine Bezahltransaktion oder eine Transaktion durchgeführt werden, die einem Nutzer des Endgeräts Zutritt, beispielsweise zu einem Gebäude oder einem Raum in einem Gebäude, verschafft. Auch Eintrittskarten, Fahrscheine oder dergleichen können mittels solcher Transaktionen erworben werden. Unter einem kontaktlosen Durchführen einer Transaktion wird im Rahmen der vorliegenden Erfindung das Durchführen der Transaktion über eine Funkschnittstelle, beispielsweise NFC („Near Field Communication"), über ein Funknetzwerk, beispielsweise ein WLAN, oder über ein Telekommunikationsnetzwerk, verstanden. As a transaction, for example, a payment transaction or a transaction can be carried out, which provides access to a user of the terminal, for example, to a building or a room in a building. Also, tickets, tickets or the like can be purchased by means of such transactions. In the context of the present invention, the non-contact implementation of a transaction is understood to be the implementation of the transaction via a radio interface, for example NFC ("Near Field Communication"), via a radio network, for example a WLAN, or via a telecommunications network.
Zunehmend sind mobile Endgeräte, wie z.B. Smartphones oder Tablet- Computer, mit Kontaktlosschnittstellen für eine Nahbereichskommunikation, insbesondere NCF-Schnittstellen, versehen. Über solche Schnittstellen können oben beschriebene Transaktionen auf einfache Weise durchgeführt werden. In der Regel ist die NFC-Schnittstelle des Endgeräts dazu mit einem Sicherheitselement des Endgeräts, beispielsweise einer SIM/UICC- Mobilfunkkarte, koppelbar. Auf dem Sicherheitselement können dann bei- spielsweise Daten und/ oder Schlüssel zum Authentisieren und/ oder Sichern der Transaktion gespeichert sein. Auch eine Transaktionsapplikation zum sicheren Durchführen der Transaktion seitens des Endgeräts kann auf dem Sicherheitselement des Endgeräts gespeichert und ausgeführt werden. Increasingly, mobile terminals, such as smartphones or tablet computers, are provided with contactless interfaces for short-range communication, in particular NCF interfaces. Through such interfaces, transactions described above can be easily performed. In general, the NFC interface of the terminal for this purpose with a security element of the terminal, such as a SIM / UICC mobile card, coupled. The security element can then be For example, data and / or keys for authenticating and / or saving the transaction be stored. Also, a transaction application for securely performing the transaction by the terminal may be stored and executed on the security element of the terminal.
Da jedoch noch ein beträchtlicher Anteil derzeit verwendeter mobiler Endgeräte über keine geeigneten Nahbereichskontaktlosschnittstelle, insbesondere über keine NFC-Schnittstelle, verfügen, ist es die Aufgabe der vorliegenden Erfindung, ein Verfahren vorzuschlagen, welches trotzdem, d.h. auch bei fehlender Nahbereichskontaktlosschnittstelle, ein kontaktloses Durchführen einer solchen Transaktion mittels eines mobilen Endgeräts erlaubt. However, since a significant proportion of mobile terminals currently in use do not have a suitable short-range contactless interface, in particular via no NFC interface, it is the object of the present invention to propose a method which nevertheless, i. even in the absence of short-range contactless interface, a contactless performing such a transaction by means of a mobile terminal allowed.
Diese Aufgabe wird durch ein Verfahren, ein Sicherheitselement für ein mobiles Endgerät, ein mobiles Endgerät mit einem solchen Sicherheitselement sowie ein System mit den Merkmalen der unabhängigen Ansprüche gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen sind in den abhängigen Ansprüchen angegeben. This object is achieved by a method, a security element for a mobile terminal, a mobile terminal with such a security element and a system having the features of the independent claims. Advantageous embodiments and further developments are specified in the dependent claims.
Die vorliegende Erfindung basiert auf dem Grundgedanken, die Transaktion definierende Kommandos, beispielsweise in Form APDU-Kommandos, in Datenpakete eines EAP-SIM- oder EAP-AKA-Protokolls einzubetten und über ein drahtloses Netzwerk, insbesondere ein WLAN, über welches das Endgerät mit einem Terminal über eine Basisstation verbunden werden kann, zu tunneln. The present invention is based on the idea of embedding the transaction-defining commands, for example in the form of APDU commands, in data packets of an EAP-SIM or EAP-AKA protocol and via a wireless network, in particular a WLAN, via which the terminal with a Terminal via a base station can be connected to tunnel.
Das EAP-SIM-Protokoll und das EAP-AKA-Protokoll bilden jeweils spezifische Ausführungsformen des E AP-Protokolls („Extensible Authentication Protocol"), welches in allgemeiner Weise als Authentifizierungsprotokoll- grundlage entworfen worden ist (vgl. RFC 3748). Ursprünglich ist EAP ent- wickelt worden, um eine Einwahl eines mobilen Endgerätes in ein fremdes Netzwerk zu unterstützen, ohne dass es notwendig ist, bei jeder Authentisie- rung die jeweils vorliegende genaue Infrastruktur genau zu kennen. EAP unterstützt dazu unterschiedliche Authentisierungsverfahren, unter anderem auch mittels einer SIM/UICC-Mobilf unkkarte, welche in RFC 4186 bzw. RFC 4187 als EAP-SIM-Protokoll (für GSM) bzw. EAP-AKA-Protokoll (für UMTS) quasi spezifiziert worden sind. The EAP-SIM protocol and the EAP-AKA protocol each form specific embodiments of the E AP (Extensible Authentication Protocol) protocol, which has been generally designed as an authentication protocol basis (see RFC 3748) EAP has been developed to support a dial-up of a mobile terminal into a foreign network, without it being necessary to know exactly the respective exact infrastructure with each authentication. For this purpose, EAP supports different authentication methods, among others also by means of a SIM / UICC mobile card which has been quasi specified in RFC 4186 or RFC 4187 as EAP-SIM protocol (for GSM) or EAP-AKA protocol (for UMTS) are.
Im Rahmen eines EAP-SIM- oder EAP-AKA-Protokolls wird grundsätzlich ein entsprechendes Sicherheitselement, das heißt eine SIM/UICC- Mobilfunkkarte zum Authentifizieren eines mobilen Endgeräts in einem drahtlosen Netzwerk verwendet. Dazu wird ein entsprechendes EAP- Anfragekommando von dem Terminal über eine Basisstation, welche das Netzwerk bereitstellt, an das Endgerät gesendet. Ein Betriebssystem des Endgeräts, z.B. Android oder iOS, kann anhand der spezifischen Ausführungsform des EAP- Anfragekommandos in Form eines EAP-SIM- oder EAP- AKA- Anfragekommandos erkennen, dass dieses Kommando an die As part of an EAP-SIM or EAP-AKA protocol, a corresponding security element, that is to say a SIM / UICC mobile communication card, is used to authenticate a mobile terminal in a wireless network. For this purpose, a corresponding EAP request command is sent from the terminal to the terminal via a base station which provides the network. An operating system of the terminal, e.g. Android or iOS, can recognize from the specific embodiment of the EAP request command in the form of an EAP-SIM or EAP-AKA request command that this command to the
SIM/UICC-Mobilf unkkarte des Endgeräts weiter zuleiten ist. Forward SIM / UICC mobile card of the terminal.
Dieser Mechanismus wird vorliegend verwendet, um solche Kommandos, die die durchzuführende Transaktion definieren, zwischen dem Terminal und einer Transaktionsapplikation auf dem Sicherheitselement des Endgeräts transportieren. Die Datenpakete des EAP-SIM- oder EAP-AKA- Protokolls dienen erfindungsgemäß somit nicht einer Authentifizierung des mobilen Endgeräts in dem drahtlosen Netzwerk, welches von der Basisstation bereitgestellt wird, sondern vielmehr als Transportrahmen für die die eigentliche Transaktion definierenden Kommandos, welche grundsätzlich an kein vorgegebenes Protokoll gebunden sind. In der Regel werden diese Kommandos in Form von APDU-Kommandos zwischen dem Terminal und der Transaktionsapplikation auf dem Sicherheitselement des Endgeräts übertragen. This mechanism is used herein to transport such commands defining the transaction to be performed between the terminal and a transactional application on the security element of the terminal. According to the invention, the data packets of the EAP-SIM or EAP-AKA protocol are thus not used for authentication of the mobile terminal in the wireless network provided by the base station, but rather as a transport frame for the commands defining the actual transaction, which basically do not belong to any prescribed protocol are bound. Usually these commands are in the form of APDU commands between the terminal and the transactional application on the security element of the terminal transmitted.
Auf diese Weise kann auch ein Endgerät, welches über kein NFC-Modul ver- fügt, auf einfache und sichere Weise eine Transaktion kontaktlos mit dem Terminal durchführen. Eine Anpassung einer existierenden Infrastruktur ist nicht notwendig, genauso wenig wie eine Veränderung existierender und verwendeter Kommunikationsprotokolle. Sämtliche notwendigen Funktionalitäten können in dem Terminal und dem Sicherheitselement, insbesonde- re in der Transaktionsapplikation des Sicherheitselements implementiert werden. Für den Nutzer des Endgeräts bleibt das Verfahren transparent. Eine Nutzerinteraktion ist nicht notwendig, sodass sämtliche Vorteile einer kontaktlosen Transaktionsausführung erhalten bleiben. Die Transaktion kann ebenso sicher durchgeführt werden, da das Sicherheitselement des mo- bilen Endgeräts sämtlich zum Durchführen und/ oder Authentisieren der Transaktion notwendigen Daten und Applikationen, insbesondere die erfindungsgemäße Transaktionsapplikation, in gesicherter Weise speichert. In this way, a terminal that does not have an NFC module can easily and securely perform a transaction without contact with the terminal. An adaptation of an existing infrastructure is not necessary, just as a change of existing and used communication protocols. All necessary functionalities can be implemented in the terminal and the security element, in particular in the transaction application of the security element. For the user of the terminal, the process remains transparent. There is no need for user interaction, preserving all the benefits of contactless transaction execution. The transaction can also be carried out safely, since the security element of the mobile terminal stores all data and applications necessary for performing and / or authenticating the transaction, in particular the transaction application according to the invention, in a secure manner.
In der Regel werden die EAP-SIM- oder EAP-AKA-Datenpakete gemäß dem EAP-SIM- oder EAP-AKA-Protokoll von der Basisstation, welche das Netzwerk bereitstellt, über welches das mobile Endgerät mit dem Terminal verbunden werden kann, unverändert weitergeleitet. Dies gilt sowohl für E AP- Anfragekommandos, die von dem Terminal an das Endgerät gesendet werden, als auch für EAP- Antwortkommandos, die von dem Endgerät an das Terminal gesendet werden. Ein solches Weiterleiten von EAP-Kommandos durch eine Basisstation ist auch gemäß der EAP-Spezifikation vorgesehen. Die Basisstation kann aber auch als ein Bestandteil des Terminals ausgebildet sein. Dann kann ein solches Weiterleiten praktisch unterbleiben. In der Regel aber wird das Terminal mit der Basisstation über ein geeignetes Kommunikationsnetzwerk, beispielsweise das Internet, verbunden sein. As a rule, the EAP-SIM or EAP-AKA data packets are forwarded unchanged according to the EAP-SIM or EAP-AKA protocol from the base station, which provides the network via which the mobile terminal can be connected to the terminal , This applies both to E AP request commands sent from the terminal to the terminal and to EAP response commands sent from the terminal to the terminal. Such forwarding of EAP commands by a base station is also provided according to the EAP specification. However, the base station can also be designed as a component of the terminal. Then such a transfer can be practically omitted. Usually but the terminal will be connected to the base station via a suitable communications network, such as the Internet.
Das Sicherheitselement auf dem Endgerät erkennt solche über die Basisstati- on und das mobile Endgerät von dem Terminal empfangenen EAP-SIM- oder EAP-AKA-Datenpakete, die die Transaktion definierende Anfragekommandos umfassen, d.h. solche EAP-Datenpakete, die zum Tunneln von Transaktionskommandos verwendet werden. Insbesondere ist das Sicherheitselement eingerichtet, solche EAP-SIM- oder EAP-AKA-Datenpakete von herkömmlichen EAP-SIM- oder EAP-AKA-Datenpaketen zu unterscheiden, welche keine eingebetteten, d.h. getunnelten Transaktionskommandos umfassen. The security element on the terminal recognizes such EAP-SIM or EAP-AKA data packets received via the base station and the mobile terminal from the terminal, which comprise transaction commands defining request commands, i. such EAP data packets used to tunnel transaction commands. In particular, the security element is arranged to distinguish such EAP-SIM or EAP-AKA data packets from conventional EAP-SIM or EAP-AKA data packets which do not have embedded, i. tunneled transaction commands.
Das Erkennen von EAP-SIM- oder EAP-AKA-Datenpaketen, welche einge- bettete, die Transaktion definierende Kommandos umfassen, kann dabei auf verschiedene Arten erfolgen. Recognition of EAP-SIM or EAP-AKA data packets, which include embedded, transaction-defining commands, can take place in various ways.
Grundsätzlich kann das Sicherheitselement die entsprechenden Datenpakete analysieren und aufgrund einer Analyse, insbesondere des Datenanteils ei- nes solchen Datenpaket, ableiten, ob das Datenpaket eingebettete, die Transaktion definierende Kommandos umfasst oder nicht. EAP-SIM- oder EAP- AKA-Datenpakete besitzen eine vorgegebene Struktur und umfassen definierte Attribute, die ein zweifelsfreies Erkennen ermöglichen. GemäJß einer bevorzugten Ausführungsform erkennt das Sicherheitselement anhand einer Identifikationskennung des Terminals, ob eine Datenkommunikation über das EAP-SIM- oder EAP- AKA-Protokoll zum Durchführen der Transaktion verwendet werden, d.h. ob die entsprechenden EAP-SIM- oder EAP-AKA-Datenpakete eingebettete, die Transaktion definierende Kom- mandos umfassen. Eine entsprechende Identifikationskennung des Terminals ist gemäß dem EAP-Protokoll vorgesehen und kann auf einfache Weise schnell geprüft werden. Durch Verwenden einer transaktionsspezifischen Kennung kann das Terminal dem Endgerät, d.h. dem Sicherheitselement des Endgerätes/damit auf einfache Weise mitteilen, dass die E AP-Datenpakete zum Tunneln von Transaktionskommandos verwendet werden. Dazu ist in dem Sicherheitselement beispielsweise eine Liste von Terminalkennungen gespeichert, die solche Terminals angeben, die zum Tunneln von Transaktionskommandos in EAP-Datenpaketen eingerichtet sind. In principle, the security element can analyze the corresponding data packets and, on the basis of an analysis, in particular of the data portion of such a data packet, infer whether the data packet comprises embedded commands defining the transaction or not. EAP-SIM or EAP-AKA data packets have a predefined structure and contain defined attributes that enable unambiguous recognition. According to a preferred embodiment, the security element recognizes, on the basis of an identification code of the terminal, whether data communication via the EAP-SIM or EAP-AKA protocol is used for carrying out the transaction, ie whether the corresponding EAP-SIM or EAP-AKA data packets are embedded , transaction-defining com- Mandos include. A corresponding identifier of the terminal is provided according to the EAP protocol and can be easily checked quickly. By using a transaction-specific identifier, the terminal can the terminal, ie so inform the security element of the terminal / easily that the e AP data packets are used for tunneling transaction commands. For this purpose, in the security element, for example, a list of terminal identifiers is stored, which specify such terminals that are set up for tunneling transaction commands in EAP data packets.
Alternativ oder zusätzlich kann das Sicherheitselement anhand einer Identifikationskennung der Basisstation, welche das Netzwerk bereitstellt, über welches das mobile Endgerät mit dem Terminal verbunden ist, oder einer Identifikationskennung des Netzwerks erkennen, ob eine Datenkommunika- tion über das EAP-SIM- oder EAP-AKA-Protokoll zum Durchführen der Transaktion verwendet werden soll. Auch hier kann in dem Sicherheitselement beispielsweise eine Liste entsprechender Basisstations- und/ oder Netzwerkkennungen gespeichert sein. Hat das Sicherheitselement erkannt, dass die empfangenen E AP- Datenpakete eingebettete, die Transaktion definierende Kommandos umfassen, so leitet das Sicherheitselement die entsprechenden EAP-Datenpakete an die Transaktionsapplikation weiter. Die Transaktionsapplikation extrahiert dann aus einem von dem Sicherheitselement empfangenen EAP-SIM- oder EAP-AKA-Datenpaket die entsprechenden, die Transaktion definierenden Anfragekommandos und interpretiert diese in vorgegebener Weise. Anschließend bettet die Transaktionsapplikation die Transaktion definierende Antwortkommandos in ein EAP-SIM- oder EAP-AKA-Datenpaket ein und leitet dieses EAP-Datenpaket als EAP- SIM- oder EAP- AKA- Antwortkommando an das Sicherheitselement des mobilen Endgerätes. Das Sicherheitselement seinerseits sendet dieses EAP-SIM- oder EAP-AKA- Antwortkommando über das Endgerät und die Basisstation an das Terminal. Alternatively or additionally, the security element can recognize on the basis of an identification code of the base station, which provides the network, via which the mobile terminal is connected to the terminal, or an identification code of the network, whether a data communication via the EAP-SIM or EAP-AKA Protocol to be used to perform the transaction. Again, for example, a list of corresponding base station and / or network identifiers may be stored in the security element. If the security element has detected that the received E AP data packets comprise embedded, transaction-defining commands, the security element forwards the corresponding EAP data packets to the transaction application. The transaction application then extracts from an EAP-SIM or EAP-AKA data packet received by the security element the corresponding request commands defining the transaction and interprets them in a predefined manner. The transaction application then embeds the response commands defining the transaction in an EAP SIM card. or EAP-AKA data packet and forwards this EAP data packet as an EAP-SIM or EAP-AKA response command to the security element of the mobile terminal. The security element in turn sends this EAP-SIM or EAP-AKA response command to the terminal via the terminal and the base station.
In analoger Weise ist das Terminal eingerichtet, die Transaktion definierende Anfragekommandos, d.h. z.B. Anfrage-APDUs, in EAP-SIM- oder EAP- AKA-Datenpakete einzubetten und als EAP-SIM- oder EAP-AKA-In an analogous manner, the terminal is set up transaction requesting commands, i. e.g. Inquiry APDUs to embed in EAP-SIM or EAP-AKA data packets and as EAP-SIM or EAP-AKA
Anfragekommando über die Basisstation und das mobile Endgerät an das Sicherheitselement zu senden. Weiterhin ist das Terminal eingerichtet, die Transaktion definierende Antwortkommandos aus von dem Sicherheitselement, über das Endgerät und die Basisstation, empfangenen EAP-SIM- oder EAP- AKA- Antwortkommandos zu extrahieren und geeignet zu interpretieren. Request command to send via the base station and the mobile terminal to the security element. Furthermore, the terminal is set up to extract the transaction-defining response commands from EAP-SIM or EAP-AKA response commands received from the security element, via the terminal and the base station, and to interpret them appropriately.
Wie bereits erwähnt, kann mittels der Transaktion beispielsweise eine Bezahltransaktion oder eine Zutrittstransaktion durchgeführt werden. As already mentioned, for example, a payment transaction or an access transaction can be carried out by means of the transaction.
Weiterhin ist es auch möglich, mittels der Transaktion seitens des Terminals einen Status von auf dem Sicherheitselement auswählbaren Applikationen zu überprüfen. Dazu kann das Terminal im Rahmen der Transaktion gezielt einen so genannten„Card Manager" auf dem Sicherheitselement anspre- chen. Der„Card Manager" ist eine spezielle Applikation des Sicherheitselements, mit dessen Hilfe Applikationen auf dem Sicherheitselement selektiert werden können, falls diese dort installiert und auswählbar sind. Ein konkretes Beispiel einer solchen Statusanfrage an das Endgerät kann mit einer spezifischen Applikation namens PPSE („Proximity Payment System Environ- ment") erfolgen, um den Status der auf einem Sicherheitselement des Endgeräts installierten Bezahl- Applikationen zu erfragen. Furthermore, it is also possible to use the transaction on the part of the terminal to check a status of applications that can be selected on the security element. For this purpose, the terminal can specifically address a so-called "Card Manager" on the security element as part of the transaction.The "Card Manager" is a special application of the security element, with the aid of which applications can be selected on the security element if it is installed there and are selectable. A concrete example of such a status request to the terminal can be made with a specific application called PPSE ("Proximity Payment System Environment"). ment ") in order to obtain the status of the payment applications installed on a security element of the terminal.
Ein erfindungsgemäßes Sicherheitselement für ein mobiles Endgerät, insbe- sondere in Form einer SIM-UICC-Mobilfunkkarte, umfasst daher eine Transaktionsapplikation, die eingerichtet ist, über einen kontaktlosen Datenkommunikationskanal eine Transaktion mit einem Terminal durchzuführen. Das Sicherheitselement ist weiter eingerichtet, wenn die Transaktion definierende Kommandos eingebettet in Datenpakete eines EAP-SIM- oder EAP-AKA- Protokolls zwischen der Transaktionsapplikation auf dem Sicherheitselement und dem Terminal über ein drahtloses Netzwerk getunnelt werden, solche von dem Terminal empfangenen EAP-SIM- oder EAP-AKA-Datenpakete zu erkennen, welche die Transaktion definierende Anfragekommandos umfassen. A security element according to the invention for a mobile terminal, in particular in the form of a SIM-UICC mobile communication card, therefore comprises a transaction application which is set up to carry out a transaction with a terminal via a contactless data communication channel. The security element is further set up if the transaction-defining commands embedded in data packets of an EAP-SIM or EAP-AKA protocol between the transactional application on the security element and the terminal are tunneled over a wireless network, such EAP-SIM received by the terminal. or recognize EAP-AKA data packets that comprise request commands defining the transaction.
Weiterhin ist das Sicherheitselement eingerichtet, die erkannten EAP-SIM- oder EAP-AKA-Datenpakete an die Transaktionsapplikation weiterzuleiten. Furthermore, the security element is set up to forward the recognized EAP-SIM or EAP-AKA data packets to the transaction application.
Schließlich ist das Sicherheitselement eingerichtet, von der Transaktionsap- plikation empfangene EAP-SIM- oder EAP-AKA-Datenpakete, in die entsprechende, die Transaktion definierende Antwortkommandos eingebettet sind, an das Terminal weiterzuleiten. Finally, the security element is set up to forward the EAP-SIM or EAP-AKA data packets received from the transaction application into which corresponding response commands defining the transaction are forwarded to the terminal.
Gemäß einer bevorzugten Ausführungsform ist die Transaktionsapplikation auf dem Sicherheitselement eingerichtet, die Transaktion definierende Anfragekommandos aus von dem Sicherheitselement empfangenen E AP-SIM- oder EAP- AKA-Datenpaketen zu extrahieren und geeignet zu interpretieren. Weiter ist die Transaktionsapplikation eingerichtet, die Transaktion definierende Antwortkommandos in EAP-SIM- oder EAP-AKA-Datenpakete ein- zubetten und an das Sicherheitselement, zum Weiterleiten an das Terminal, weiterzuleiten. According to a preferred embodiment, the transaction application is set up on the security element to extract the transaction-defining request commands from E AP-SIM or EAP-AKA data packets received from the security element and to interpret them appropriately. Furthermore, the transaction application is set up, the transaction-defining response commands in EAP-SIM or EAP-AKA data packets. and forward to the security element for forwarding to the terminal.
Ein erfindungsgemäßes mobiles Endgerät umfasst ein vorstehend beschriebenes Sicherheitselement. A mobile terminal according to the invention comprises a security element described above.
Ein erfindungsgemäßes Terminal ist eingerichtet zum Durchführen einer Transaktion mit einer Transaktionsapplikation eines Sicherheitselements für ein mobiles Endgerät, insbesondere in Form einer SIM/UICC- Mobilfunkkarte. Das Terminal ist insbesondere eingerichtet, zum Tunneln von die Transaktion definierende Kommandos an die Transaktionsapplikation über ein Drahtlosnetzwerk, die Transaktion definierende Anfragekommandos in EAP-SIM- oder EAP-AKA-Datenpakete einzubetten und über die Basisstation und das Endgerät an das Sicherheitselement zu senden. Weiter ist das Terminal eingerichtet, entsprechende, die Transaktion definierende Antwortkommandos aus von dem Sicherheitselement über das Endgerät und die Basisstation empfangenen EAP-SIM- oder EAP-AKA-Datenpaketen zu extrahieren und zum Durchführen der Transaktion geeignet zu interpretieren. An inventive terminal is configured to perform a transaction with a transaction application of a security element for a mobile terminal, in particular in the form of a SIM / UICC mobile card. In particular, the terminal is set up to tunnel commands defining the transaction to the transactional application via a wireless network, to request requests defining the transaction in EAP-SIM or EAP-AKA data packets and to send them to the security element via the base station and the terminal. Furthermore, the terminal is set up to extract appropriate response commands defining the transaction from EAP-SIM or EAP-AKA data packets received from the security element via the terminal and the base station and to interpret them appropriately for carrying out the transaction.
Ein erfindungsgemäßes System schließlich umfasst ein vorstehend beschriebenes Terminal, zumindest ein vorstehend beschriebenes Endgerät mit einem erfindungsgemäßen Sicherheitselement sowie zumindest eine mit dem Terminal verbundene Basisstation, welche eingerichtet ist, ein drahtloses Netzwerk bereitzustellen, über welches das mobile Endgerät mit dem Terminal verbunden werden kann. Das Terminal, die Basisstation und das Sicherheitselement des Endgeräts sind dabei jeweils eingerichtet, ein vorstehend beschriebenes Verfahren auszuführen. Die Basisstation kann dabei auch als ein Teil des Terminals ausgebildet sein. Die vorliegende Erfindung wird im Folgenden mit Bezug auf die beiliegenden Zeichnungen beispielhaft beschrieben. Darin zeigen: Finally, a system according to the invention comprises a terminal as described above, at least one terminal described above having a security element according to the invention and at least one base station connected to the terminal, which is set up to provide a wireless network via which the mobile terminal can be connected to the terminal. The terminal, the base station and the security element of the terminal are each configured to execute a method described above. The base station can also be designed as a part of the terminal. The present invention will be described by way of example with reference to the accompanying drawings. Show:
Figur 1 Komponenten einer bevorzugten Ausführungsform eines er- f indungsgemäßen Systems und FIG. 1 shows components of a preferred embodiment of a system according to the invention and
Figur 2 Schritte einer bevorzugten Ausführungsform eines erfindungsgemäßen Verfahrens. Das System 1000, welches schematisch in Figur 1 angedeutet ist, umfasst zumindest ein mobiles Endgerät 100. Das Endgerät 100 kann beispielsweise ein Smartphone, ein Mobilfunkendgerät, ein Tablet-Computer oder dergleichen sein. Das Endgerät 100 wird von einem Betriebssystem (OS) gesteuert. In dem Endgerät 100 ist ein Sicherheitselement 10 integriert. Das Sicherheitselement 10 kann dabei fest mit dem Endgerät 100 verbunden sein oder entfernbar darin integriert sein. Figure 2 steps of a preferred embodiment of a method according to the invention. The system 1000, which is schematically indicated in FIG. 1, comprises at least one mobile terminal 100. The terminal 100 may be for example a smartphone, a mobile radio terminal, a tablet computer or the like. The terminal 100 is controlled by an operating system (OS). In the terminal 100, a security element 10 is integrated. The security element 10 can be firmly connected to the terminal 100 or removably integrated therein.
Als Sicherheitselement 10 des Endgeräts 100 eignen sich insbesondere SIM/UICC-Mobilf unkkarten. Andere Sicherheitselemente bekannter Art sind ebenfalls verwendbar, beispielsweise in Form mittels Hard- und/ oder Software-Mitteln ausgebildete, speziell gesicherte Bereiche in dem Endgerät (z.B. TEE,„trusted execution environment"; vSIM). Das Sicherheitselement 10 umfasst eine Transaktionsapplikation 12, die in nachstehend mit Bezug auf Figur 2 beschriebener Weise eingerichtet ist, eine Transaktion mit einem Terminal 300 durchzuführen. Das Terminal 300 ist in der Regel einem Anbieter einer Transaktion zugeordnet und kann dabei beispielsweise durch einen Server einer Bank bereitgestellt werden, über welchen als Transaktion eine EMV-Bezahltransaktion mittels des Endgeräts 100 des Nutzers durchgeführt werden soll. As security element 10 of the terminal 100, SIM / UICC mobile cards are particularly suitable. Other security elements of known type can also be used, for example in the form of hardware and / or software means, specially secured areas in the terminal (eg TEE, trusted execution environment, vSIM) The security element 10 comprises a transaction application 12, which is configured to perform a transaction with a terminal 300 in the manner described below with reference to FIG. The terminal 300 is usually assigned to a provider of a transaction and can be provided, for example, by a server of a bank, via which an EMV payment transaction by means of the terminal 100 of the user is to be performed as a transaction.
Das Terminal 300 ist dazu mit einer Basisstation 200 verbunden. Die Basisstation 200 ist eingerichtet, ein drahtloses Netzwerk (WLAN) bereitzustellen, über welches das Endgerät 100 mit dem Terminal 300 in Kontakt treten kann. In Figur 2 sind Schritte einer bevorzugten Ausführungsform eines Verfahrens zum Durchführen einer kontaktlosen Transaktion zwischen dem Terminal 300 und der Transaktionsapplikation 12 auf dem Sicherheitselement 10 des Endgeräts 100 dargestellt. In einem Schritt Sl stellt die Basisstation 200 ein drahtloses Netzwerk bereit. The terminal 300 is connected to a base station 200 for this purpose. The base station 200 is configured to provide a wireless network (WLAN) via which the terminal 100 can contact the terminal 300. FIG. 2 illustrates steps of a preferred embodiment of a method for performing a contactless transaction between the terminal 300 and the transactional application 12 on the security element 10 of the terminal 100. In a step Sl, the base station 200 provides a wireless network.
Zum Durchführen der Transaktion (Schritt S2) können im Einzelnen die folgenden Teilschritte durchgeführt werden. Die Transaktion spezifisch beschreibende Parameter, beispielsweise ein Kauf gegenständ oder ein Kauf- preis, können zuvor auf geeignete Weise, beispielsweise durch Eingabe über eine Tastatur oder durch Spracheingabe, seitens des Nutzers über eine geeignete Eingabevorrichtung, die mit dem Terminal verbunden ist, eingegeben werden. In Schritt S2.1 bettet das Terminal 300 ein die Transaktion definierendes Anfragekommando, vorzugsweise in Form eines APDU- Anfragekommandos, in ein EAP-AKA-Datenpaket ein. Der Datenanteil eines solchen Datenpaketes eignet sich zum Einbetten beliebiger Daten, somit auch zum Einbetten von APDU-Kommandos. Für Details des EAP-AKA-Protokolls wird auf die RFC 4187 verwiesen. To perform the transaction (step S2), the following sub-steps can be performed in detail. The transaction-specific descriptive parameters, such as a purchase item or a purchase price, may be previously entered in a suitable manner, for example by keyboard input or voice input, by the user via a suitable input device connected to the terminal. In step S2.1, the terminal 300 embeds a request command defining the transaction, preferably in the form of an APDU request command, in an EAP-AKA data packet. The data portion of such a data packet is suitable for embedding any data, thus also for embedding of APDU commands. For details of the EAP-AKA protocol refer to RFC 4187.
In Schritt S2.2 sendet das Terminal 300 das EAP-AKA-Datenpaket gemäß dem EAP-AKA-Protokoll als EAP- AKA- Anfragekommando an die Basisstation 200. In step S2.2, the terminal 300 sends the EAP-AKA data packet to the base station 200 in accordance with the EAP-AKA protocol as an EAP-AKA request command.
Die Basisstation 200 leitet die EAP- AKA- Anfrage unverändert an das mobile Endgerät 100 weiter (Schritt S2.3). The base station 200 forwards the EAP-AKA request unchanged to the mobile terminal 100 (step S2.3).
Anhand des spezifischen Typs des EAP- Anfragekommandos - in Form eines EAP- AKA- Anfragekommandos - erkennt das Betriebssystem des Endgeräts 100, dass die entsprechende Datenkommunikation an das Sicherheitselement 10 des Endgeräts 100 weiter zuleiten ist. On the basis of the specific type of EAP request command - in the form of an EAP-AKA request command - the operating system of the terminal 100 recognizes that the corresponding data communication is to be forwarded to the security element 10 of the terminal 100.
Folglich empfängt das Sicherheitselement 10 des Endgerätes 100 in Schritt S2.4 das EAP- AKA- Anfragekommando und erkennt, dass das EAP-AKA- Anfragekommando zum Tunneln eines die Transaktion definierenden Anfragekommandos, beispielsweise in Form einer APDU- Anfrage, verwendet wird. Ein solches Erkennen kann, wie vorstehend bereits beschrieben, beispielsweise anhand einer Kennung des Terminals 300, die Teil des EAP- Datenpakets ist, oder anhand einer Kennung der Basisstation bzw. des durch die Basisstation bereitgestellten Netzwerks (SSID), das für das Endgerät 100 sichtbar ist, erfolgen. Consequently, the security element 10 of the terminal 100 receives the EAP-AKA request command in step S2.4 and recognizes that the EAP-AKA request command is used for tunneling a request command defining the transaction, for example in the form of an APDU request. As already described above, such recognition can be made visible to the terminal 100, for example, by means of an identifier of the terminal 300 which is part of the EAP data packet or by means of an identification of the base station or the network (SSID) provided by the base station is done.
In Schritt S2.5 leitet das Sicherheitselement 10 das erkannte EAP-AKA- Datenpaket an die Transaktionsapplikation 12 weiter. Die Transaktionsapplikation, in Schritt S2.6, extrahiert der Anfrage- APDU aus dem EAP-AKA-Datenpaket und interpretiert dieses Kommando entsprechen. Anschließend bettet die Transaktionsapplikation 12 ein Antwortkommando, d.h. eine Antwort- APDU, in ein EAP-AKA-Datenpaket ein und leitet das EAP-AKA-Datenpaket als EAP-AKA-Antwortkommando an das Sicherheitselement 10 weiter. In step S2.5, the security element 10 forwards the recognized EAP-AKA data packet to the transaction application 12. The transaction application, in step S2.6, extracts the request APDU from the EAP-AKA data packet and interprets this command accordingly. Subsequently, the transactional application 12 embeds a response command, ie a response APDU, in an EAP-AKA data packet and forwards the EAP-AKA data packet to the security element 10 as an EAP-AKA response command.
In Schritt S2.7 leitet das Sicherheitselement 10 seinerseits das EAP-AKA- Antwortkommando an die Basisstation 200 weiter. In step S2.7, the security element 10 in turn forwards the EAP-AKA response command to the base station 200.
Die Basisstation 200 leitet das EAP-AKA-Antwortkommando unverändert an das Terminal 300 weiter, welches in Schritt S2.9 die Antwort- APDU aus dem EAP-AKA-Datenpaket extrahiert und entsprechend interpretiert. Es ist möglich, dass zum Durchführen der Transaktion die Schritte S2.1 bis S2.9 mehrfach wiederholt werden müssen. Grundsätzlich kann es aber zum Durchführen der Transaktion auch ausreichend sein, dass jeder der Schritte 2.1 bis S2.9 nur einmal durchgeführt wird. Abweichend von dem vorstehend beschriebenen Verfahren kann das Terminal 300, vor dem Schritt S2.1, versuchen, das Endgerät 100 über eine geeignete Schnittstelle der Basisstation, über ein NFC-Protokoll anzusprechen. Erst wenn anhand einer ausbleibenden Antwort erkannt wird, dass das Endgerät 100 ein NFC Protokoll nicht unterstützt oder, aufgrund des Fehlens eines NFC-Moduls, eine entsprechende Anfrage nicht empfangen kann, wird ein Verfahren gemäß Figur 2 eingeleitet. The base station 200 forwards the EAP-AKA response command unchanged to the terminal 300, which extracts the response APDU from the EAP-AKA data packet in step S2.9 and interprets it accordingly. It is possible that steps S2.1 to S2.9 have to be repeated several times in order to carry out the transaction. In principle, however, it may also be sufficient for performing the transaction that each of the steps 2.1 to S2.9 is performed only once. Deviating from the method described above, the terminal 300, before the step S2.1, try to address the terminal 100 via a suitable interface of the base station, via an NFC protocol. Only when it is detected by means of a missing response that the terminal 100 does not support an NFC protocol or, due to the lack of an NFC module, can not receive a corresponding request, a method according to FIG. 2 is initiated.
Vorzugsweise ist das Sicherheitselement 10 eingerichtet, zum einen ein vorstehend beschriebenes Verfahren, wie es mit Bezug auf Figur 2 dargestellt worden ist, zu unterstützen, und zum anderen eingerichtet, auf gesicherte Weise eine entsprechende Transaktion über ein NFC-Modul eines Endgerätes zu unterstützen. Ein solches Sicherheitselement kann dann sowohl in einem Endgerät 100, wie in Figur 1 gezeigt, welches kein NFC-Modul besitzt, als auch in einem mit einem NFC-Modul ausgestatteten Endgerät zum Durchführen einer Transaktion verwendet werden. Preferably, the security element 10 is set up, firstly a method as described above, as illustrated with reference to FIG and secondly, to securely support a corresponding transaction via an NFC module of a terminal. Such a security element can then be used both in a terminal 100, as shown in Figure 1, which has no NFC module, as well as in a terminal equipped with an NFC module to perform a transaction.

Claims

P a t e n t a n s p r ü c h e 1. Verfahren zum kontaktlosen Durchführen einer Transaktion zwischen einem mobilen Endgerät (100) und einem Terminal (300), dadurch gekennzeichnet, dass die die Transaktion definierenden Kommandos, insbesondere in Form von APDU-Kommandos, eingebettet in Datenpakete eines EAP-SIM- oder EAP-AKA-Protokolls zwischen einer Transaktionsapplikation (12) auf einem Sicherheitselement (10) des mobilen Endgeräts (100), insbesondere einer SIM/UICC-Mobilfunkkarte, und dem Terminal (300) über ein drahtloses Netzwerk getunnelt werden (S2.1-S2.9). 1. A method for contactless performance of a transaction between a mobile terminal (100) and a terminal (300), characterized in that the commands defining the transaction, in particular in the form of APDU commands, embedded in data packets of an EAP SIM or EAP-AKA protocol between a transaction application (12) on a security element (10) of the mobile terminal (100), in particular a SIM / UICC mobile card, and the terminal (300) are tunneled via a wireless network (S2. 1-S2.9).
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass EAP-SIM- oder EAP-AKA-Datenpakete von einer Basisstation (200), welche das Netzwerk bereitstellt, und über welches das mobile Endgerät (100) mit dem Terminal (300) verbunden ist, unverändert weitergeleitet werden (S2.3; S2.8). 2. The method according to claim 1, characterized in that EAP-SIM or EAP-AKA data packets from a base station (200), which provides the network, and via which the mobile terminal (100) is connected to the terminal (300) , are forwarded unchanged (S2.3, S2.8).
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Sicherheitselement (10) solche vom Terminal (300) empfangenen EAP-SIM- oder EAP-AKA-Datenpakete, welche die Transaktion definierende Anfragekommandos umfassen, erkennt (S2.4), und insbesondere von herkömmlichen EAP-SIM- oder E AP-AKA-Datenpaketen unterscheiden kann. 3. The method according to claim 1 or 2, characterized in that the security element (10) from the terminal (300) received EAP-SIM or EAP-AKA data packets, which include the transaction defining request commands, recognizes (S2.4), and in particular from conventional EAP-SIM or E AP-AKA data packets.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass das Sicherheitselement (10) solche vom Terminal (300) empfangenen EAP-SIM- oder EAP-AKA-Datenpakete, welche die Transaktion definierende Anfragekommandos umfassen, an die Transaktionsapplikation (12) weiterleitet (S2.5), und von der Transaktionsapplikation (12) empfangene EAP-SIM- oder EAP-AKA-Datenpakete, in die entsprechende, die Transaktion definierende Antwortkommandos eingebettet sind, an das Terminal (300) weiterleitet (S2.7). 4. The method according to any one of claims 1 to 3, characterized in that the security element (10) from the terminal (300) received EAP-SIM or EAP-AKA data packets, which include the transaction defining request commands, to the transaction application (12 ) (S2.5), and received by the transactional application (12) EAP-SIM or EAP-AKA data packets in which corresponding transaction commands defining response commands are embedded are forwarded to the terminal (300) (S2.7).
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass das Sicherheitselement (10) anhand einer Identifikationskennung des Terminals (300) erkennt (S2.4), ob eine Datenkommunikation über das EAP-SIM- oder E AP-AKA-Protokoll zum Durchführen der Transaktion verwendet werden soll. 5. The method according to any one of claims 1 to 4, characterized in that the security element (10) based on an identification identifier of the terminal (300) detects (S2.4), whether a data communication via the EAP-SIM or E AP-AKA Protocol to be used to perform the transaction.
6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass das Sicherheitselement (10) anhand einer Identifikationskennung einer Basisstation (200), welche das Netzwerk bereitstellt, und über welches das mobile Endgerät (100) mit dem Terminal (300) verbunden ist, oder einer Identifikationskennung des Netzwerks erkennt (S2.4), ob eine Datenkommunikation über das EAP-SIM- oder EAP-AKA-Protokoll zum Durchführen der Transaktion verwendet werden soll. 6. The method according to any one of claims 1 to 5, characterized in that the security element (10) based on an identification identifier of a base station (200), which provides the network, and via which the mobile terminal (100) to the terminal (300) is, or an identification identifier of the network recognizes (S2.4), whether a data communication via the EAP-SIM or EAP-AKA protocol is to be used to perform the transaction.
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeich- net, dass die Transaktionsapplikation (12) die Transaktion definierende Anfragekommandos aus empfangenen EAP-SIM oder EAP-AKA-Datenpaketen extrahiert und die Transaktion definierende entsprechende Antwortkommandos in EAP-SIM- oder EAP-AKA-Datenpakete einbettet (S2.6). 7. The method according to any one of claims 1 to 6, characterized marked, that the transaction application (12) the transaction defining request commands extracted from received EAP-SIM or EAP-AKA data packets and the transaction defining corresponding response commands in EAP-SIM or Embeds EAP-AKA data packets (S2.6).
8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass das Terminal (300) die Transaktion definierende Anfragekommandos in EAP-SIM- oder EAP-AKA-Datenpakete einbettet (S2.1) und die Transaktion definierende Antwortkommandos aus empfangenen EAP-SIM- oder EAP-AKA-Datenpakete extrahiert (S2.9). 8. The method according to any one of claims 1 to 7, characterized in that the terminal (300) embedding the transaction definition request commands in EAP-SIM or EAP-AKA data packets (S2.1) and the transaction defining response commands from received EAP- SIM or EAP-AKA data packets extracted (S2.9).
9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass mittels der Transaktion eine Bezahltransaktion oder eine Zutrittstransaktion durchgeführt wird, oder dass mittels der Transaktion ein Status von in dem Sicherheitselement (10) auswählbaren Applikationen (12) über- prüft wird. 9. The method according to any one of claims 1 to 8, characterized in that by means of the transaction, a payment transaction or an access transaction is performed, or that by means of the transaction, a status of in the security element (10) selectable applications (12) is checked.
10. Sicherheitselement (10) für ein mobiles Endgerät (100), insbesondere in Form einer SIM/UICC-Mobilf unkkarte, wobei das Sicherheitselement (10) eine Transaktionsapplikation (12) umfasst, die eingerichtet ist, eine Transak- tion mit einem Terminal (300) durchzuführen, dadurch gekennzeichnet, dass, wenn die Transaktion definierende Kommandos, insbesondere in Form von APDU-Kommandos, eingebettet in Datenpakete eines EAP-SIM- oder EAP-AKA-Protokolls zwischen der Transaktionsapplikation (12) auf dem Sicherheitselement (10) und dem Terminal (300) über ein drahtloses Netz- werk getunnelt werden, das Sicherheitselement (10) eingerichtet ist, solche vom Terminal (300) empfangene EAP-SIM- oder EAP-AKA-Datenpakete, welche die Transaktion definierende Anfragekommandos umfassen, zu erkennen, und insbesondere von herkömmlichen EAP-SIM/ AKA- Datenpaketen zu unterscheiden. 10. Security element (10) for a mobile terminal (100), in particular in the form of a SIM / UICC mobile card, wherein the security element (10) comprises a transaction application (12) which is set up to handle a transaction with a terminal (10). 300), characterized in that, when the transaction-defining commands, in particular in the form of APDU commands embedded in data packets of an EAP-SIM or EAP-AKA protocol between the transaction application (12) on the security element (10) and tunneled to the terminal (300) via a wireless network, the security element (10) is set up to recognize such EAP-SIM or EAP-AKA data packets received by the terminal (300), which comprise request commands defining the transaction, and in particular from conventional EAP-SIM / AKA data packets.
11. Sicherheitselement (10) nach Anspruch 10, dadurch gekennzeichnet, dass das Sicherheitselement (10) eingerichtet ist, solche vom Terminal (300) empfangene EAP-SIM- oder EAP-AKA-Datenpakete, welche die Transaktion definierende Anfragekommandos umfassen, an die Transaktionsapplikation (12) weiterzuleiten, sowie eingerichtet ist, von der Transaktionsapplikation (12) empfangene EAP-SIM- oder EAP-AKA-Datenpakete, in die entsprechende, die Transaktion definierende Antwortkommandos eingebettet sind, an das Terminal (300) weiterzuleiten. 11. The security element (10) according to claim 10, characterized in that the security element (10) is set up, such from the terminal (300) received EAP-SIM or EAP-AKA data packets, which include transaction-defining request commands to the transaction application (12) and is arranged to forward to the terminal (300) EAP-SIM or EAP-AKA data packets received from the transactional application (12) into which corresponding response commands defining the transaction are embedded.
12. Sicherheitselement (10) nach Anspruch 10 oder 11, dadurch gekennzeichnet, dass die Transaktionsapplikation (12) eingerichtet ist, die Transaktion definierende Anfragekommandos aus empfangenen EAP-SIM oder EAP-AKA-Datenpaketen zu extrahieren und eingerichtet ist, die Transaktion definierende, entsprechende Antwortkommandos in EAP-SIM- oder EAP- AKA-Datenpakete einzubetten. 12. Security element (10) according to claim 10 or 11, characterized in that the transaction application (12) is arranged to extract the transaction defining request commands from received EAP-SIM or EAP-AKA data packets and is set, the transaction defining corresponding To embed response commands in EAP-SIM or EAP-AKA data packets.
13. Mobiles Endgerät (100) mit einem Sicherheitselement (10) nach einem der Ansprüche 10 bis 12. 13. Mobile terminal (100) with a security element (10) according to one of claims 10 to 12.
14. Terminal (300), eingerichtet zum Durchführen einer Transaktion mit einer Transaktionsapplikation (12) eines Sicherheitselements (10) für ein mobiles Endgerät (100), insbesondere in Form einer SIM/UICC-Mobilf unkkarte, dadurch gekennzeichnet, dass das Terminal (300) weiter eingerichtet ist, die Transaktion definierende Anfragekommandos in EAP-SIM- oder EAP-AKA- Datenpakete einzubetten und eingerichtet ist, entsprechenden Antwortkommandos aus empfangenen EAP-SIM oder EAP-AKA-Datenpaketen zu extrahieren. 14. Terminal (300), configured to perform a transaction with a transaction application (12) of a security element (10) for a mobile terminal (100), in particular in the form of a SIM / UICC Mobilf unkkarte, characterized in that the terminal (300 ) is further configured to embed the transaction defining request commands in EAP-SIM or EAP-AKA data packets and is adapted to extract corresponding response commands from received EAP-SIM or EAP-AKA data packets.
15. System (1000), umfassend ein Terminal (300) nach Anspruch 14, zumindest ein mobiles Endgerät (100) nach Anspruch 13 sowie zumindest eine mit dem Terminal (300) verbundene Basisstation (200) für drahtlose Netzwerke, wobei mindestens eines dieser drahtlosen Netzwerkedas mobile Endgerät (100) mit dem Terminal (300) verbindet, wobei das Terminal (300), die Basisstation (200) und das Sicherheitselement (10) des Endgeräts (100) jeweils eingerichtet sind, ein Verfahren nach einem der Ansprüche 1 bis 9 durchzuführen. 1/2 A system (1000) comprising a terminal (300) according to claim 14, at least one mobile terminal (100) according to claim 13, and at least one wireless network base station (200) connected to the terminal (300), at least one of said wireless terminals A network connecting the mobile terminal (100) to the terminal (300), wherein the terminal (300), the base station (200) and the security element (10) of the terminal (100) are respectively arranged, a method according to any one of claims 1 to 9 perform. 1.2
FIG1 FIG1
1000 1000
Figure imgf000022_0001
Figure imgf000022_0001
PCT/EP2015/002096 2014-10-27 2015-10-22 Method for contactlessly carrying out a transaction WO2016066253A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102014015847.0 2014-10-27
DE102014015847.0A DE102014015847A1 (en) 2014-10-27 2014-10-27 Method for contactless transaction execution

Publications (1)

Publication Number Publication Date
WO2016066253A1 true WO2016066253A1 (en) 2016-05-06

Family

ID=54364243

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2015/002096 WO2016066253A1 (en) 2014-10-27 2015-10-22 Method for contactlessly carrying out a transaction

Country Status (2)

Country Link
DE (1) DE102014015847A1 (en)
WO (1) WO2016066253A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180165667A1 (en) * 2016-12-09 2018-06-14 Mastercard International Incorporated Control of permissions for making transactions

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9137621B2 (en) * 2012-07-13 2015-09-15 Blackberry Limited Wireless network service transaction protocol

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
DO VAN THANH ET AL: "Offering SIM Strong Authentication to Internet Services", INTERNET CITATION, 1 October 2006 (2006-10-01), XP002427454, Retrieved from the Internet <URL:http://www.strongsim.org/docs/MKT_SIM_StrongAuthWhitePaper.pdf> [retrieved on 20070330] *
HAVERINEN H ET AL: "Extensible Authentication Protocol Method for Global System for Mobile Communications (GSM) Subscriber Identity Modules (EAP-SIM); rfc4186.txt", 5. JCT-VC MEETING; 96. MPEG MEETING; 16-3-2011 - 23-3-2011; GENEVA; (JOINT COLLABORATIVE TEAM ON VIDEO CODING OF ISO/IEC JTC1/SC29/WG11 AND ITU-T SG.16 ); URL: HTTP://WFTP3.ITU.INT/AV-ARCH/JCTVC-SITE/, INTERNET ENGINEERING TASK FORCE, IETF, CH, 1 January 2006 (2006-01-01), XP015054875, ISSN: 0000-0003 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180165667A1 (en) * 2016-12-09 2018-06-14 Mastercard International Incorporated Control of permissions for making transactions

Also Published As

Publication number Publication date
DE102014015847A1 (en) 2016-04-28

Similar Documents

Publication Publication Date Title
EP2393032B1 (en) Method for running an application with the help of a portable data storage device
EP3198903B1 (en) Method and devices for providing a subscription profile on a mobile terminal
EP2779722B1 (en) Method for personalisation of a security module of a telecommunication end device
DE102017122799A1 (en) Method and arrangement for the transmission of transaction data using a public data network
EP2764479B1 (en) Transaction system
EP2575385B1 (en) Method for initializing and/or activation of at least one user account, for carrying out a transaction, and terminal
WO2016066253A1 (en) Method for contactlessly carrying out a transaction
WO2006045665A1 (en) Method for registering a mobile communication terminal in a local area network
EP2764480A1 (en) Transaction system
EP3271855B1 (en) Method for generating a certificate for a security token
EP2952029A1 (en) Method for accessing a service of a server using an application of a terminal
EP3341882A1 (en) Transaction system
DE10262183B4 (en) Mobile telecommunication device and smart card system
DE102011112855A1 (en) Method for electronically conducting payment transaction in smart phone, involves transmitting authentication element of data connection to mobile unit, and utilizing authentication element as part of authentication data
EP3451263A1 (en) Security system for implementing an electronic application
DE102017112233A1 (en) Method and device for detecting a relay attack
EP3435697B1 (en) Method for authenticating a user against a service provider and authentication system
EP2767059B1 (en) Blocking of data exchange for protecting a near field communication
DE102012011838A1 (en) Near field communication module for exchanging data
DE102015210551A1 (en) A method for improved installation of a secure element service application in a secure element located in a communication device, system and telecommunications network for improved installation of a secure element related service application in a secure element located in a communication device, Program comprising machine-readable program code and computer program product
DE102013000967B4 (en) Procedure for authorizing an electronic transaction
EP3360099A1 (en) Management, authentication and activation of a data carrier
DE102007004337A1 (en) Data transmitting method for e.g. wireless local area network, involves verifying whether allocation certificate is present by security module, and executing step of enabling or causing transmission of data to processing unit
EP2840757B1 (en) Individual central administration of chipcards
EP2950254A1 (en) Transaction authorisation system

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15787462

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 15787462

Country of ref document: EP

Kind code of ref document: A1