AT504633A1 - Verfahren zur authentifizierung eines mobilfunkendgerätes - Google Patents

Verfahren zur authentifizierung eines mobilfunkendgerätes Download PDF

Info

Publication number
AT504633A1
AT504633A1 AT0206006A AT20602006A AT504633A1 AT 504633 A1 AT504633 A1 AT 504633A1 AT 0206006 A AT0206006 A AT 0206006A AT 20602006 A AT20602006 A AT 20602006A AT 504633 A1 AT504633 A1 AT 504633A1
Authority
AT
Austria
Prior art keywords
avo
authentication device
identification means
idm
mfe
Prior art date
Application number
AT0206006A
Other languages
English (en)
Other versions
AT504633B1 (de
Inventor
Christian Csank
Original Assignee
Christian Csank
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Christian Csank filed Critical Christian Csank
Priority to AT0206006A priority Critical patent/AT504633B1/de
Priority to PCT/AT2007/000554 priority patent/WO2008070886A2/de
Priority to EP07845283A priority patent/EP2137704A2/de
Publication of AT504633A1 publication Critical patent/AT504633A1/de
Application granted granted Critical
Publication of AT504633B1 publication Critical patent/AT504633B1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Lock And Its Accessories (AREA)

Description

·· ··· ·· « ·· ··· PI0469
VERFAHREN ZUR AUTHENTIFIZIERUNG EINES MOBILFUNKENDGERÄTES
Die Erfindung betrifft ein Verfahren zur Authentifizierung eines Mobilfunkendgerätes, das durch Identifikationsmittel eindeutig charakterisierbar ist, durch eine Authentifizierungs-vorrichtung, die in zumindest einer Speichereinheit die Identifikationsmittel des zumindest einen Mobilfunkendgeräts speichern kann und die einen bestimmten Sende- und Empfangsbereich abdeckt.
Weiters betrifft die Erfindung eine Authentifizierungsvorrichtung zur Authentifizierung von zumindest einem Mobilfunkendgerät, das mittels Identifikationsmitteln eindeutig charakterisierbar ist.
Es gibt unterschiedliche Verfahren zur Authentifizierung von Personen, beispielsweise um ein Fahrzeug in Betrieb zu nehmen, einen Computer zu verwenden oder Zutritt zu einem gesicherten Bereich zu gewähren, der mit einer Türe verschlossen ist. Häufig werden im letzten Fall Schlüssel verwendet, die den Nachteil haben, dass zum Öffnen unterschiedlicher Türen eine Vielzahl von Schlüsseln mitgeführt werden muss. Neben dem Nachteil, dass solche Türen durch geschicktes Hantieren auch ohne Schlüssel geöffnet werden können, kann der Schlüssel auch von Unbefugten verwendet werden, die so Zutritt zu gesicherten Bereichen erlangen. Ähnliche Probleme stellen sich bei der Verwendung von Schlössern, die mittels der Eingabe eines Codes über ein Tastenfeld geöffnet werden können.
In den letzten Jahren wurden zur Authentifizierung zunehmend beispielsweise Lesegeräte für Chip- oder Magnetkarten verwendet, mit denen nach Prüfung einer Zugangsberechtigung eine entsprechende Tür geöffnet wird. Das Problem dabei ist, dass bei häufiger Verwendung dieser Art von Authentifizierung eine Person beispielsweise Unmengen von Chipkarten bei sich tragen muss, um verschiedene Bereiche betreten zu können. Durch die Empfindlichkeit der Karten auf mechanische Einwirkung, aber auch elektrische oder magnetische Felder ist die Störanfälligkeit sehr hoch. Außerdem kann bei Verlust einer Karte auch unbefugten Personen der Zugang zu gesicherten Bereichen ermöglicht werden.
Durch die weltweite Verbreitung von Mobilfunkendgeräten in den letzten Jahren wurde auch die Verwendung dieser Geräte zur Authentifizierung in Erwägung gezogen. Unter einem Mobilfunkendgerät wird in diesem Dokument jedes Endgerät verstanden, welches über Funk mit einem anderen Endgerät Daten austauschen kann, beispielsweise Mobilfunktelefone und Personal Digital Assitants (PDAs).
Die große Anzahl an möglichen Funkstandards von GSM, WAP, UMTS über GPRS und Bluetooth bis hin zu W-LAN lässt eine Vielzahl von Anwendungen zu.
Vielen derartigen Anwendungen ist gemeinsam, dass dabei auf den verwendeten Mobilfunkendgeräten zusätzliche Software installiert werden muss. Zusätzlich haben gängige derartige Verfahren eine Vielzahl von weiteren Nachteilen.
Es ist daher eine Aufgabe der Erfindung, ein einfaches und sicheres Verfahren für die Au-thentifizierung von Mobilfunkendgeräten, bzw. eine entsprechende Vorrichtung, zu ermöglichen.
Diese Aufgabe wird mit einem Verfahren der eingangs genannten Art erfindungsgemäß dadurch gelöst, dass die Authentifizierungsvorrichtung mit dem zumindest einen Mobilfunkendgerät einen Verbindungsaufbau initiiert, sobald das zumindest eine Mobilfunkendgerät sich im Sende- und Empfangsbereich der Authentifizierungsvorrichtung befindet, und die Authentifizierungsvorrichtung weiters über Funk die Identifikationsmittel des zumindest einen Mobilfunkendgeräts abfragt und überprüft, ob sie mit den in der Speichervorrichtung mit zumindest einer Speichereinheit gespeicherten Identifikationsmitteln identisch sind, wobei im Fall, dass sie identisch sind, die Authentifizierungsvorrichtung den Verbindungsaufbau abbricht und eine Aktion ausführt.
Im Falle einer nicht Übereinstimmung des Identifikationsmittel des zumindest einen Mobilfunkendgeräts mit der in der Speichervorrichtung mit zumindest einer Speichereinheit gespeicherten Identifikationsmitteln, wird kein Verbindungsaufbau initialisiert.
Die Identifikationsmittel umfassen dabei eine Identifikationsnummer, die eine herstellerseitig einmalig vergebene Gerätenummer ist. Diese Nummer ist eine gerätespezifische Nummer, die ein hohes Maß an Sicherheit gewährt, da sie weltweit nur ein einziges Mal vergeben wird.
In der Erfindung wird zur sicheren Authentifizieiung der Mobilfunkeinheit der Paarbildungsprozeß des Bluetooth™-Funkstandards verwendet. Bluetooth™ ist ein in den 1990er Jahren entwickelter Industriestandard gemäß IEEE 802.15.1 für die drahtlose Funk-Vernetzung von Geräten über kurze Distanzen. Bluetooth™ benutzt eine drahtlose Schnittstelle, die im Großteil der heute verwendeten Mobilfunkendgeräte vorhanden ist und so die Verwendung des erfindungsgemäßen Verfahrens erleichtert. Außerdem umfasst Bluetooth™ unterschiedliche Sicherungsmechanismen, die ein hohes Maß an Sicherheit erlauben.
Bei Verwendung des BluetoothTM-Funkstandards beinhalten die Identifikationsmittel zusätzlich nach erfolgtem bluetoothTM-spezifischen „Paarbildungsprozess", der zwischen dem Mobilfunkendgerät und der Authentifizierungseinrichtung erfolgt, einen bei diesem „Paarbildungsprozess" erzeugten bluetoothTM-spezifischen Verbindungsschlüssel (auch: ,link Key'). Dieser Verbindungsschlüssel stellt üblicherweise einen 128 Bit-Schlüssel dar. Er bietet ein hohes Maß an Sicherheit, da er charakteristisch für die Verbindung zwischen zwei bestimmten Endgeräten ist. Außerdem erfolgt der Paarbildungsprozess und damit die Erzeugung des Verbindungsschlüssels erst dann, wenn die Verbindung von demjenigen Verbindungsteilnehmer, dem eine Verbindungsaufnahme angeboten wird, durch Eingabe eines PIN-Codes bestätigt wird, der zwischen 4 und 16 Byte lang sein kann. Um die Sicherheit zu erhöhen kann der PIN-Code optional auch nur einmalig gültig sein (One-Time-Code). Bei Verlust des Mobilfunkendgerätes muss auf Seiten der Authentifizie-rungsvomchtung ein neuer PIN eingetragen werden, welcher dann ebenfalls nur einmal verwendet werden kann. So kann gewährleistet werden, daß die hohe Sicherheit des Link-Keys nicht mit der niedrigeren Sicherheit des PINs umgangen wird.
Die oben genannte Aufgabe lässt sich auch mit einer Authentifizierungsvorrichtung der eingangs erwähnten Art erfindungsgemäß dadurch lösen, dass zumindest ein Such-Modul für die Suche nach Mobilfunkendgeräten im Sende- und Empfangsbereich der Authentifizierungsvorrichtung vorhanden ist sowie weiters zumindest ein Verbindungs-Modul für den Verbindungsaufbau mit gefundenen Mobilfunkendgeräten, außerdem ist eine Speichervorrichtung mit zumindest einer Speichereinheit vorgesehen, in der die Identifikationsmittel der authentifizierten Mobilfunkendgeräte gespeichert sind.
Eine vorteilhafte Variante des erfindungsgemäßen Systems lässt sich erzielen, indem die zumindest eine Speichereinheit direkt in dem zumindest einen Such-Modul angeordnet ist. Ein solches System lässt sich besonders platzsparend herstellen. Allerdings sind üblicherweise verwendete Speichereinheiten in ihrer Speicherfähigkeit begrenzt.
Besser ist es daher, wenn die Speichervorrichtung zumindest eine interne Datenbank umfasst, welche in der Authentifizierungsvorrichtung angeordnet ist. Dadurch kann die Anzahl der authentifizierbaren Mobilfunkendgeräte drastisch erhöht werden, da die interne Datenbank mit einem größeren Speicher ausgestattet werden kann. P104$9 \ ·· · ···· ·♦·♦ ·· • • · m ·· • · · • • · · ♦ ·· ··· ·· • ·« *«* -4-
In einer weiteren Ausführungsform kann die Speichervorrichtung zumindest eine externe Datenbank umfassen, welche außerhalb der Authentifizierungsvorrichtung angeordnet ist. Durch die Anordnung außerhalb der Authentifizierungsvorrichtung kann die externe Datenbank auch von ihren physischen Abmessungen größer ausgestaltet werden, wodurch natürlich auch ein größerer Speicherplatz realisiert werden kann. Weiters kann die externe Datenbank von der Authentifizierungsvorrichtung entfernt angeordnet werden, beispielsweise auf einem zentralen Server.
Es ist weiters von Vorteil, wenn die Identifikationsmittel von Mobilfunkendgeräten in der zumindest einen internen Datenbank bzw. der zumindest einen externen Datenbank ableg-bar und aus der zumindest einen Speichereinheit löschbar sind. Dadurch kann verhindert werden, dass ein Verbindungsaufbau nicht möglich ist, weil der Speicherplatz der Speichereinheit auf gebraucht ist und keine weitere Verbindung mehr aufgebaut werden kann.
Wenn die Authentifizierungsvorrichtung die Identifikationsmittel eines Mobilfunkendgeräts abfragt, das sich im Sende- und Empfangsbereich der Authentifizierungsvorrichtung befindet, wird vorteilhafterweise überprüft, ob die Identifikationsmittel in der internen Datenbank bzw. in der externen Datenbank abgelegt sind, und bei einem Auffinden der Identifikationsmittel werden die Identifikationsmittel aus der internen Datenbank bzw. aus der externen Datenbank in die zumindest eine Speichereiriheit übertragen und ein Verbindungsaufbau wird initiiert. Dadurch wird zwar ein Zwischenschritt in die Authentifizierung eingeführt, allerdings ist es dadurch möglich, die Authentifizierung erfindungsgemäß durchzuführen und gleichzeitig den sehr viel größeren Speicherplatz einer internen bzw. externen Datenbank auszunutzen.
Bei dem zumindest einen Such-Modul sowie dem zumindest einen Verbindungs-Modul handelt es sich um Bluetooth™-Module. Es ist dadurch möglich, den Bluetooth™-Funkstandard zu verwenden, der weltweit als etabliert bezeichnet werden kann, da sehr viele heute in Gebrauch befindliche Mobilfunkendgeräte bereits bluetooth™-fähig sind.
Dabei können auch mehrere Such-Module vorgesehen sein. Es ist weiters von Vorteil, wenn diese mehreren Such-Module den Suchbetrieb zeitversetzt starten. Dadurch können Mobilfunkendgeräte, die sich im Sende- und Empfangsbereich der Autheritifizieningsvorrichtimg befinden, sehr viel schneller gefunden werden. Dies wird ermöglicht durch das so genannte ,asynchrone Suchen', das weiter unten noch genauer beschrieben ist. P104$9 #· · *··· ·· · • · ·· · · · · ·· • · · « »··· ·· · · · · · · 2 ·· ··· f« · ·· ψψ9 -5-
Vorteilhafterweise kann die Reichweite des zumindest einen Such-Moduls und des zumindest einen Verbindungs-Moduls durch geräteinteme Dämpftmg des Funksignals vermindert werden oder dadurch, dass man die Teile der Module, die das Funk-Signal abgeben und empfangen, mit einem dämpfenden Material umgibt. Ersteres kann beispielsweise mit einem Widerstand realisiert werden, zweiteres lässt sich durch Abschirmen der Antenne bzw. durch Einsatz von Richtfunkantennen erreichen. Wenn man die Reichweite der Module vermindert, kann man dadurch verhindern, dass man unbeabsichtigt mit der Authentifizie-rungsvorrichtung kommuniziert und ungewollt eine Aktion, z.B. das öffnen einer Türe, auslöst.
Die Erfindung samt weiteren Vorteilen wird im Folgenden anhand einiger nicht einschränkender Ausführungsbeispiele näher erläutert, welche in der Zeichnung dargestellt sind. In dieser zeigen schematisch:
Fig. 1 eine schematische Darstellung der erfindungsgemäßen Vorrichtung,
Fig. 2 ein Mobilfunkendgerät,
Fig. 3a-b verschiedene Ausführungen einer erfindungsgemäßen Authentifizierungsvorrich-tung und
Fig. 4 ein Blockdiagramm eines erfindungsgemäßen Verfahrens.
In Figur 1 ist beispielhaft eine Türe ENT dargestellt. Um diese Türe ENT öffnen zu können, muss ein Benutzer USR dafür authentifiziert werden. Bei erfolgter Authentifizierung öffnet sich die Tür. Zur Authentifizierung dient in diesem Fall ein Mobilfunkendgerät MFE, das mit der Authentifizierungsvorrichtung AVO über den Bluetooth™-Funkstandard kommuniziert. Der Vorteil an der Verwendung von Bluetooth™ liegt in seinen immanenten Sicherheitsmerkmalen und seiner begrenzten Reichweite. Je nach Sendeleistung kann Bluetooth™ über Strecken von bis zu 100 m verwendet werden. Im Beispiel von Figur 1 wird aber eine sehr viel geringere Leistung verwendet, sodass der Sende- und Empfangsbereich SEB sehr begrenzt ist. Neben verminderter Sendeleistung kann die Reichweite auch begrenzt werden, indem das Signal gedämpft wird. Dabei ist es möglich, das Signal geräteintem, beispielsweise durch den Einbau eines Widerstandes, zu dämpfen, oder man verringert die Reichweite, indem man die Antenne mit dämpfenden Materialien abschirmt. Durch die geringe Reichweite wird imbeabsichtigte Kommunikation mit der Authentifizierungsvorrichtung AVO über große Distanzen verhindert.
Das Mobilfunkendgerät MFE weist entsprechend Figur 2 Identifikationsmittel IDM auf, die zumindest eine Identifikationsnummer IDN umfassen, die eine herstellerseitig einmalig vergebene Gerätenummer ist. Diese Nummer besteht aus 6 Byte und wird weltweit nur ein einziges Mal vergeben. Bei der Produktion des Bluetooth™-Chips, der im vorliegenden Beispiel in dem Mobilfunkendgerät verwendet wird, wird diese Nummer bei der Produktion des Chips auf diesem hinterlegt. Die Darstellung der Nummer erfolgt in einer sechsstelligen Hexadezimalzahl. Die ersten drei Blöcke bilden sich aus dem Herstellercode, die restlichen werden zu einer internen Kodierung verwendet.
Ein weiteres Identifikationsmittel IDM des Mobilfunkendgeräts MFE ist laut Figur 2 der bluetooth™-spezifische Verbindungsschlüssel VBS (auch: ,Link Key7). Dieser Verbindungsschlüssel VBS wird bei der ersten Kontaktaufnahme zwischen zwei bluetooth™-fähigen Geräten generiert. Dabei erfolgt von Seiten des Geräts, das den Verbindungsaufbau intiiert, eine PIN-Abfrage an das andere Gerät. Der PIN-Code, der daraufhin eingegeben werden muss, kann zwischen 6 und 16 Bytes lang sein. Wird der PIN korrekt eingegeben, kommt es zu einem Verbindungsaufbau und es erfolgt eine so genannte,Paarbildung' (auch:,Patting') zwischen den beiden Geräten. Dabei wird die Identifikationsnummer des jeweils anderen Geräts direkt in den Bluetooth™-Chips gespeichert. Zudem wird der Verbindungsschlüssel VBS berechnet und generiert. Es handelt sich dabei um einen 128 Bit-Schlüssel, der zur Erhöhung der Sicherheit ebenfalls in den BIuetooth™-Chips gespeichert wird. Bei jedem weiteren Verbindungsaufbau zwischen den beiden Geräten wird dann überprüft, ob dieser Verbindungsschlüssel korrekt ist. Ist der Verbindungsschlüssel VBS korrekt, muss dann in weiterer Folge kein PIN-Code mehr eingegeben werden.
Betreffend das beschriebene Beispiel der erfindungsgemäßen Vorrichtung bedeutet das, dass Mobilfunkendgeräte durch ihre Identifikationsnummer IDN, bei erstmaliger Kontaktaufnahme durch den PIN-Code und weiters durch den bei der ersten Kontaktaufnahme und dann bei jeder weiteren Kontaktaufnahme überprüften Verbindungsschlüssel VBS authentifiziert werden. Diese Nummern stellen die Identifikationsmittel IDM eines Mobilfunkendgeräts MFE dar.
Wenn diese Identifikationsmittel IDM vollständig in der Speichervorrichtung SPV der Authentifizienmgsvorrichtung AVO gespeichert sind, erfolgt jede weitere Authentifizierung automatisch. Im vorliegenden Fall bedeutet das: Der Benutzer USR nähert sich mit einem authentifizierten Mobilfunkendgerät MFE, mit dem bereits eine erste Kontaktaufnahme mit der Authentifizienmgsvorrichtung erfolgt ist, einer Tür ENT. Sobald er den Sende- und Empfangsbereich SEB der Authentifizienmgsvorrichtung AVO betreten hat, nimmt die Authentifizierungsvorrichtung AVO Kontakt mit dem Mobilfunkendgerät MFE auf und überprüft, ob dessen Identifikationsmittel IDM in der Speichervorrichtung SPV gespeichert sind. Ist das der Fall, öffnet sich die Türe ENT. Sollte das Mobilfunkendgerät MFE nicht authentifziert und daher seine Identifikationsmittel nicht in der Speichervorrichtung SPV der Authentifizierungsvorrichtung AVO gespeichert sein, erfolgt ein Abbruch der Kontaktaufnahme und die Türe ENT bleibt geschlossen.
In den Figuren 3a bis 3c sind verschiedene Ausführungen einer Authentifizierungsvorrichtung AVO dargestellt. Grundsätzlich umfasst sie zumindest ein Such-Modul SM1, SM2 oder SM3, ein Verbindungsmodul VBM und eine Speichervorrichtung SPV mit zumindest einer Speichereinheit SPEI, SPE2 und SPE3, wie in Figur 3a dargestellt ist. Weiters umfasst die Authentifizierungsvorrichtung AVO einen oder mehrere Eingänge ENG und einen oder mehrer Ausgänge AUG1 und AUG2.
Der Eingang ENG dient dazu, die Vorrichtung nicht nur mit dem Mobilfunkendgerät MFE, sondern auch mit anderen Mitteln zu bedienen, beispielsweise mit einem herkömmlichen Wechselschalter. Im vorliegenden Fall würde das bedeuten, dass die Türe ENT aus Figur 1 nicht nur geöffnet werden kann, indem ein berechtigtes Mobilfunkendgerät MFE authentifiziert wird, sondern auch, indem einfach ein herkömmlicher Wechselschalter bedient wird, der über den Eingang ENG angeschlossen ist. Die Ausgänge AUG1 und AUG2 dienen dazu, dass die erforderliche Aktion, im vorliegenden Fall das Öffnen der Türe ENT, angesteuert werden kann, also beispielsweise ein elektrisches Schloss bedient wird. Weiters ist es durch Vorsehen von einem oder mehreren zusätzlichen Ausgängen auch möglich, über eine Authentifizierungsvorrichtung AVO verschiedene Tätigkeiten anzusteuem. Im vorliegenden Fall wäre denkbar, einerseits bei Authentifizienmg die Türe ENT zu öffnen, andererseits aber beispielsweise einen Signalton abzugeben oder eine Warnmeldung zu versenden (beispielsweise, wenn sich ein Mobilfunkendgerät MFE nähert, dessen Identifikationsmittel IDM nicht in der Speichervorrichtung SPV der Authentifizierungsvorrichtung AVO gespeichert sind). Mobilfunkendgeräte könnten dann je nach Wunsch für die entsprechende Tätigkeit authentifiziert werden.
In der zumindest einen Speichereinheit SPEI, SPE2 oder SPE3 der Speichervorrichtung SPV wird eine Liste der Identifikationsmittel IDM der authentifizierten Mobilfunkendgeräte gespeichert. Diese Liste wird auch ,Access Liste' genannt. Es ist jederzeit möglich, durch Hinzufügen oder Entfernen von Identifikationsmitteln Authentifizierungen zu vergeben oder zu entziehen. Dies kann von einem Server aus erfolgen. Maßgeblich sind hier die Zeitabstände, in denen sich der Server mit der Speichereinheit synchronisiert: Sie definieren die Intervalle, in denen die »Access Liste' aktualisiert wird. P10469 ·· • · • · • · • ·« • • ··»· • • • • • • ·· • · • · • « *· ·· ·· • ·· ·· -8-
Das Verbindungsmodul VBM ist für den Verbindungsaufbau zu gefundenen authentifizierten Mobilfunkendgeräten zuständig. Der Verbindungsaufbau erfolgt dabei auf einer tiefen Protokollschicht, um die Interoperabilität zu allen bluetooth™-fähigen Geräten sicherzustellen.
Die Such-Module SM1, SM2 und SM3 sind im beschriebenen Ausführungsbeispiel Blue-tooth™-Module. Beispielhaft werden hier drei Suchmodule verwendet, es ist aber auch möglich, nur eines oder sehr viel mehr als drei zu verwenden. Das zumindest eine Suchmodul sucht permanent nach Mobilfunkendgeräten MFE innerhalb des Sende- und Empfangsbereichs SEB. Werden mehrere Suchmodule verwendet, kann durch die Methode des ^synchronen Suchens' die Zeit zum Auffinden eines Mobilfunkendgeräts MFE, das sich innerhalb des Sende- und Empfangsbereichs SEB befindet, stark verringert werden.
Beim asynchronen Suchen werden die Suchmodule zeitversetzt mit Spannung versorgt. Dadurch werden zu jedem Zeitpunkt unterschiedliche Frequenzbereiche des Bluetooth™-Frequenzbandes abgesucht, was die Dauer der Suche nach einem Mobilfunkendgerät drastisch verkürzen kann.
Sobald die Suchmodule ein Mobilfunkendgerät MFE gefunden haben, wird überprüft, ob die vom Mobilfunkendgerät MFE übermittelten Identifikationsmittel IDM ident sind mit denen, die in der zumindest einen Speichereinheit SPEI, SPE2 oder SPE3 der Speichervorrichtung SPV der Authentifizierungsvorrichtung AVO gespeichert sind. Ist dies der Fall, erfolgt ein Verbindungsaufbau.
Um nun eine Person USR für den Zutritt zu einem gesicherten Bereich zu authentifizieren, müssen die Identifikationsmittel IDM des Mobilfunkendgerätes MFE der betreffenden Person USR in der zumindest einen Speichereinheit SPEI, SPE2 oder SPE3 der Speichervorrichtung SPV hinterlegt werden. Weiters muss der Person USR ein PIN-Code mitgeteilt werden, der bei der ersten Kontaktaufnahme der Such-Module mit dem Mobilfunkendgerät MFE eingegeben werden muss. Dieser PIN-Code wird ebenfalls in der zumindest einen Speichereinheit der Authentifizierungsvorrichtung hinterlegt.
Es ist auch denkbar, dass die Eingabe des PIN-Codes automatisch durch eine Software erfolgt, die auf dem Mobilfunkendgerät MFE installiert werden muss. In diesem Fall ist keinerlei Handlung vom Benutzer des Mobilfunkendgeräts erforderlich, um sich zu authentifizieren. Nachteilig daran ist aber, dass eben auf allen Mobilfunkendgeräten, die authentifiziert werden sollen, eine entsprechende Software installiert werden muss. Denkbar ist aber ·· • · • · • · • ·· • • « • • •444 • • • ·♦ • · • · • · • 4 ··♦ «· • ·· 44 PI0469 , .9. auch, dass der PIN-Code sowohl automatisch und unbemerkt vom Benutzer über Software als auch vom Benutzer selber eingegeben werden kann.
Da handelsübliche Bluetooth™-Chips nur begrenzte Speicherfähigkeit für Identifikationsmittel IDM haben, kann die Speichervorrichtung SPV neben der zumindest einen Speichereinheit SPEI, SPE2 und SPE3 durch eine Datenbank erweitert werden. Dadurch können sehr viel mehr Mobilfunkendgeräte authentifiziert werden, die einzige Begrenzung liegt hier in der Größe der Datenbank. Es kann entweder eine interne Datenbank IDB wie in Figur 3b oder eine externe Datenbank EDB wie in Figur 3c verwendet werden.
Wird nun bei Verwendung einer Datenbank von der Authentifizierungsvorrichtung AVO ein Mobilfunkendgerät MFE gefunden, wird überprüft, ob dessen Identifikationsmittel IDM sich in der Datenbank befinden. Wenn dem so ist, werden die Identifikationsmittel aus der Datenbank in die zumindest eine Speichereinheit SPEI, SPE2 oder SPE3 kopiert, und es erfolgt ein Verbindungsaufbau wie oben beschrieben.
In Figur 4 ist ein Blockdiagramm dargestellt, dass einen beispielhaften, nicht einschränkenden Ablauf des erfindungsgemäßen Verfahrens zeigt, beispielsweise bei der Verwendung des Bluetooth™-Funkstandards. Ziel des Verfahrens ist es hier, eine Tür zu öffnen.
Mit dem Start beginnt ein Suchvorgang, ab der Verwendung von zwei oder mehr Suchmodulen ist es möglich, asynchrones Suchen durchzuführen. Es wird dabei ein spezielles Verfahren verwendet, tun sicherzustellen, dass wirklich alle Mobilfunkendgeräte MFE im Sende- und Empfangsbereich SEB der Authentifizierungsvorrichtung AVO gefunden werden. Dieser Suchvorgang erfolgt in einer Endlosschleife.
Wird nun ein Mobilfunkendgerät MFE gefunden, wird überprüft, ob sich die Identifikationsnummer IDN, in diesem Fall als MAC-Adresse (Media Access Control) bezeichnet, die das Mobilfunkgerät in weiterer Folge überträgt, in der Liste der authentifizierten Nummern, der ,Access-Liste', befindet. Wenn dem nicht so ist, wird der Vorgang abgebrochen. Befindet sich die Nummer in der ,Access-Liste', wird überprüft, ob die entsprechende Anwendung, die durch den Authentifizierungsprozess ausgelöst wird (Türe öffnen) aktiviert ist. Wenn dem nicht so ist, wird der Vorgang abgebrochen. Ist die Anwendung aktiviert, werden die Verbindungsschlüssel (auch: ,Link Key') aus der zumindest einen Speichereinheit SPEI, SPE2 oder SPE3 der Speichervorrichtung SPV der Authentifizierungsvorrichtung AVO ausgelesen. * PI0469 ·· · 9999 Mit ·* • t ·· • • ♦ · ·· • # · 9 ♦ • · ·· ··· 99 • ·· ·· -10-
Handelt es sich um die erste Verbindungsaufnahme (hier: 1. Connect) zwischen Authentifi-zierungsvorrichtung AVO und Mobilfunkendgerät MFE, wird im Rahmen des Paarbildungsprozesses (hier: Pairing) die Eingabe eines PIN-Codes verlangt. Wird ein falscher PIN-Code eingegeben, wird der Vorgang abgebrochen. Bei der korrekten Eingabe wird der Paarbildungsprozess fortgesetzt, im Zuge dessen ein Verbindungsschlüssel VBS (hier: ,Link Key') generiert wird, der dann in der Speichervorrichtung SPV der Authentifizierungsvor-richtung AVO gespeichert wird. Der Verbindungsschlüssel VBS kann dabei je nach verwendeter Variante direkt in die zumindest eine Speichereinheit SPEI, SPE2 oder SP3 oder in der internen Datenbank IDB oder der externen Datenbank EDB gespeichert werden. Danach wird die Tür geöffnet.
Ist die erste Verbindungsaufnahme schon in der Vergangenheit erfolgt, wird der Verbindungsschlüssel VBS (hier: ,Link Key'), der in der ,Access-Liste' gespeichert ist, die je nach verwendeter Variante auf der internen Datenbank IDB oder der externen Datenbank EDB gespeichert ist, in die zumindest eine Speichereinheit SPEI, SPE2 oder SPE3 eingetragen. Wenn die Variante verwendet wird, in der die Identifikationsmittel IDM direkt in der zumindest einen Speichereinheit SPEI, SPE2 oder SPE3 gespeichert sind, kann dieser Schritt entfallen.
Weiters wird dann überprüft, ob der Verbindungsschlüssel VBS (hier: ,Link Key'), der in der Speichervorrichtung SPV der Authentifizierungsvorrichtung AVO unter der, von dem Mobilfunkendgerät MFE übertragenen Identifikationsnummer IDN gespeichert ist, mit dem von dem Mobilfunkendgerät MFE übertragenen Verbindungsschlüssel VBS übereinstimmt. Ist das nicht der Fall, wird der Vorgang abgebrochen. Stimmen gespeicherte und übertragene Identifikationsmittel IDM überein, ist das gefundene Mobilfunkendgerät MFE authentifiziert, und die Türe wird geöffnet.
Wien, den 13. Dezember 2006

Claims (15)

  1. PI0469 ·· • ···· ·· • « ·· • • * • • · • • • • • · • • • • • ··· ·· • ·· ·· -11- Ansprüche 1. Verfahren zur Authentifizierung eines Mobilfunkendgerätes (MFE), das durch Identifikationsmittel (IDM) eindeutig charakterisierbar ist, durch eine Authentifizieningsvorrichtung (AVO), die in einer eine Speichervorrichtung (SPV) mit zumindest einer Speichereinheit (SPEI, SPE2, SPE3) die Identifikationsmittel (IDM) des zumindest einen Mobilfunkendgeräts (MFE) speichern kann und die einen bestimmten Sende- und Empfangsbereich (SEB) abdeckt, dadurch gekennzeichnet, dass *) die Authentifizierungsvorrichtung (AVO) mit dem zumindest einen Mobilfunkendgerät (MFE) einen Verbindungsaufbau initiiert, sobald das zumindest eine Mobilfunkendgerät (MFE) sich im Sende- und Empfangsbereich (SEB) der Authentifizierungsvorrichtung (AVO) befindet, und *) die Authentifizierungsvorrichtung (AVO) über Funk die Identifikationsmittel (IDM) des zumindest einen Mobilfunkendgeräts (MFE) abfragt und überprüft, ob sie mit den in der Speichervorrichtung (SPV) mit zumindest einer Speichereinheit (SPEI, SPE2, SPE3) gespeicherten Identifikationsmitteln (IDM) identisch sind, wobei im Fall, dass sie identisch sind, die Authentifizierungsvorrichtung (AVO) den Verbindungsaufbau abbricht und eine Aktion ausführt, während *) im Fall, dass die Identifikationsmittel (IDM) des zumindest einen Mobilfunkendgeräts (MFE) nicht mit den in der eine Speichervorrichtung (SPV) mit zumindest einer Speichereinheit (SPEI, SPE2, SPE3) gespeicherten Identifikationsmitteln (IDM) identisch sind, die Authentifizierungsvorrichtung den Verbindungsaufbau abbricht und keine Aktion ausführt.
  2. 2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Identifikationsmittel eine Identifikationsnummer (IDN) umfassen, die eine herstellerseitig einmalig vergebene Gerätenummer ist.
  3. 3. Verfahren nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass zur Durchführung des Verfahrens der Bhietooth™-Funkstandard verwendet wird. ·· • ·»·· ···· ·· · • · ·· • • · 1 ·· P10469 • · • · • • • • • · t · • ♦ ♦ # ·· ··· ·· • ·♦ ·· -12- P10469
  4. 4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass die Identifikationsmittel (IDM) zusätzlich nach erfolgtem bhietooth™-spezifischen „Paarbildungsprozess", der zwischen Mobilfunkendgerät (MFE) xmd Authentifizierungseinrichtung (AVO) erfolgt, einen, bei diesem „Paarbildungsprozess" erzeugten, bluetooth™-spezifischen Verbindungs-schlüssel (VBS) beinhalten.
  5. 5. Authentifizierungsvorrichtung (AVO) zur Authentifizierung von zumindest einem Mobilfunkendgerät (MFE), das mittels Identifikationsmitteln (IDM) eindeutig charakterisierbar ist, dadurch gekennzeichnet, dass *) zumindest ein Such-Modul (SM1, SM2, SM3) für die Suche nach Mobilfunkendgeräten (MFE) im Sende- und Empfangsbereich (SEB) der Authentifizierungsvorrichtung (AVO) sowie zumindest ein Verbindungs-Modul (VBM) für den Verbindungsaufbau mit gefundenen Mobilfunkendgeräten (MFE) vorhanden sind und weiters *) eine Speichervorrichtung (SPV) mit zumindest einer Speichereinheit (SPEI, SPE2, SPE3) vorgesehen ist, in der die Identifikationsmittel (IDM) der authentifizierten Mobilfunkendgeräte gespeichert sind.
  6. 6. Authentifizierungsvorrichtung (AVO) nach Anspruch 5, dadurch gekennzeichnet, dass die zumindest eine Speichereinheit (SPEI, SPE2, SPE3) direkt in dem zumindest einen Such-Modul (SM1, SM2, SM3) angeordnet ist.
  7. 7. Authentifizierungsvorrichtung (AVO) nach Anspruch 5 oder Anspruch 6, dadurch gekennzeichnet, dass die Speichervorrichtung (SPV) zumindest eine interne Datenbank (IDB) umfasst, welche in der Authentifizierungsvorrichtung (AVO) angeordnet ist.
  8. 8. Authentifizierungsvorrichtung (AVO) nach einem der Ansprüchen 5 bis 7, dadurch gekennzeichnet, dass die Speichervorrichtung (SPV) zumindest eine externe Datenbank (EDB) umfasst, welche außerhalb der Authentifizierungsvorrichtung (AVO) angeordnet ist.
  9. 9. Authentifizierungsvorrichtung (AVO) nach einem der Ansprüche 7 oder 8, dadurch gekennzeichnet, dass die Identifikationsmittel (IDM) von Mobilfunkendgeräten in der zumindest einen internen Datenbank (IDB) bzw. der zumindest einen externen Datenbank (EDB) ablegbar xmd aus der zumindest einen Speichereinheit (SPEI, SPE2, SPE3) löschbar sind. P104$9 P104$9 ·· • · • · • · • · ·· • Μ·· ···· ·· ·· · M | • · · · f • · · · · • · · ♦ · · ··· ·· · ·· -13-
  10. 10. Authentifizierungsvorrichtung (AVO) nach Anspruch 9, dadurch gekennzeichnet, dass wenn die Authentifizierungsvorrichtung (AVO) die Identifikationsmittel (IDM) eines Mobilfunkendgeräts (MFE) abfragt, das sich im Sende- und Empfangsbereich (SEB) der Authentifizierungsvorrichtung (AVO) befindet, überprüft wird, ob die Identifikationsmittel (IDM) in der internen Datenbank (IDB) bzw. in der externen Datenbank (EDB) abgelegt sind, und bei einem Auffinden der Identifikationsmittel (IDM) die Identifikationsmittel (IDM) aus der internen Datenbank (IDB) bzw. aus der externen Datenbank (EDB) in die zumindest eine Speichereinheit (SPEI, SPE2, SPE3) übertragen werden und ein Verbindungsaufbau initiiert wird.
  11. 11. Authentifizierungsvorrichtung (AVO) nach einem der Ansprüche 5 bis 10, dadurch gekennzeichnet, dass es sich bei dem zumindest einen Such-Modul (SM1, SM2, SMS) sowie dem zumindest einen Verbindungs-Modul (VBM) um Bluetooth™-Module handelt.
  12. 12. Authentifizierungsvorrichtung (AVO) nach Anspruch 11, dadurch gekennzeichnet, dass mehrere Such-Bluetooth™-Module (SM1, SM2, SM3) vorgesehen sind.
  13. 13. Authentifizierungsvorrichtung (AVO) nach Anspruch 12, dadurch gekennzeichnet, dass die Such-Bluetooth™-Module (SM1, SM2, SM3) den Suchbetrieb zeitversetzt starten.
  14. 14. Authentifizierungsvorrichtung (AVO) nach einem der Ansprüche 5 bis 13, dadurch gekennzeichnet, dass die Reichweite des zumindest einen Such-Moduls (SM1, SM2, SM3) und des zumindest einen Verbindungs-Moduls (VBM) durch geräteinteme Dämpfung des Funksignals vermindert wird.
  15. 15. Authentifizierungsvorrichtung (AVO) nach einem der Ansprüche 5 bis 14, dadurch gekennzeichnet, dass die Reichweite des zumindest einen Such-Moduls (SM1, SM2, SM3) und des zumindest einen Verbindungsmoduls (VBM) vermindert wird, indem die Teile, die das Funk-Signal abgeben und empfangen, mit einem dämpfenden Material umgeben werden. Wien, den 13. Dezember 2006
AT0206006A 2006-12-13 2006-12-13 Verfahren zur authentifizierung eines mobilfunkendgerätes AT504633B1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
AT0206006A AT504633B1 (de) 2006-12-13 2006-12-13 Verfahren zur authentifizierung eines mobilfunkendgerätes
PCT/AT2007/000554 WO2008070886A2 (de) 2006-12-13 2007-12-07 Verfahren zur authentifizierung eines mobilfunkendgerätes
EP07845283A EP2137704A2 (de) 2006-12-13 2007-12-07 Verfahren zur authentifizierung eines mobilfunkendgerätes

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
AT0206006A AT504633B1 (de) 2006-12-13 2006-12-13 Verfahren zur authentifizierung eines mobilfunkendgerätes

Publications (2)

Publication Number Publication Date
AT504633A1 true AT504633A1 (de) 2008-06-15
AT504633B1 AT504633B1 (de) 2009-05-15

Family

ID=39494755

Family Applications (1)

Application Number Title Priority Date Filing Date
AT0206006A AT504633B1 (de) 2006-12-13 2006-12-13 Verfahren zur authentifizierung eines mobilfunkendgerätes

Country Status (3)

Country Link
EP (1) EP2137704A2 (de)
AT (1) AT504633B1 (de)
WO (1) WO2008070886A2 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NZ571374A (en) 2006-04-03 2012-03-30 Resonance Holdings Ltd Methods for determining proximity between radio frequency devices and controlling switches
US8706083B2 (en) 2009-01-07 2014-04-22 Eckey Corporation Bluetooth authentication system and method
FR3010571B1 (fr) * 2013-09-09 2016-12-30 Valeo Securite Habitacle Authentification d'un utilisateur muni d'un appareil mobile aupres d'un vehicule
DE102021211579A1 (de) 2021-10-14 2023-04-20 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Betreiben eines Zutrittskontrollsystems

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001023694A1 (en) * 1999-09-27 2001-04-05 Tactel Ab Automatic locking system
FI20002255A (fi) * 2000-10-13 2002-04-14 Nokia Corp Menetelmä lukkojen hallintaan ja kontrollointiin
AU2002212911A1 (en) * 2000-11-08 2002-05-21 Telefonaktiebolaget Lm Ericsson (Publ) Network access point with auxiliary transceiver
DE10316307A1 (de) * 2003-04-08 2004-10-21 Brose Schließsysteme GmbH & Co.KG Kraftfahrzeug-Türschließsystem
JP2005240492A (ja) * 2004-02-27 2005-09-08 Oki Electric Ind Co Ltd 鍵システム
GB2416964A (en) * 2004-08-07 2006-02-08 Richard Hoptroff Bluetooth Proximity Detector
US7446644B2 (en) * 2005-01-14 2008-11-04 Secureall Corporation Universal hands free key and lock system
SE530279C8 (sv) * 2005-03-18 2008-06-03 Phoniro Ab Metod för upplåsning av ett lås med en låsanordning kapabel till trådlös kortdistansdatakommunikation i enlighet med en kommunikationsstandard, samt en tillhörande låsanordning

Also Published As

Publication number Publication date
WO2008070886A3 (de) 2009-03-26
AT504633B1 (de) 2009-05-15
WO2008070886A2 (de) 2008-06-19
EP2137704A2 (de) 2009-12-30

Similar Documents

Publication Publication Date Title
DE102006042358B4 (de) Verfahren und Servicezentrale zum Aktualisieren von Berechtigungsdaten in einer Zugangsanordnung
DE69637053T2 (de) Personalisierung von Teilnehmeridentifikationsmodulen für Mobiltelefone über Funk
EP1336937A1 (de) Zutrittskontrollsystem, Zutrittskontrollverfahren und dafur geeignete Vorrichtungen
DE102005057101A1 (de) Verfahren und zentrale Einrichtung für Zugangskontrollen zu gesicherten Bereichen oder Einrichtungen
WO2009095048A1 (de) Verfahren zur verwaltung der autorisierung von mobiltelefonen ohne sim-karte
EP2936469B1 (de) Mobilfunktelefon zur fernsteuerung einer funktion einer sicherheitsvorrichtung eines kraftfahrzeugs
EP2779722B1 (de) Verfahren zum Personalisieren eines Sicherheitsmuduls eines Tele-kommunikations-Endgerätes
DE102011008500A1 (de) Verfahren zum Durchführen einer Transaktion zwischen einem tragbaren Datenträger und einem Terminal
DE102007023728A1 (de) Verfahren und Vorrichtung zur elektronischen Kommunikation zwischen wenigstens zwei Kommunikationsgeräten
AT504633B1 (de) Verfahren zur authentifizierung eines mobilfunkendgerätes
WO2002021860A2 (de) Verfahren und system zur zugangskontrolle
EP1075161B1 (de) Verfahren und Vorrichtungen zur Zugangskontrolle eines Benutzers eines Benutzerrechners zu einem Zugangsrechner
DE102015214303A1 (de) Elektrischer Energiespeicher mit fernbetätigbarer Sperrvorrichtung
EP2103080B1 (de) Überprüfung von authentisierungsfunktionen
DE112019007512T5 (de) Konfigurierbare zugriffssteuerung und zugehörige systeme, verfahren und vorrichtungen
DE102008008108A1 (de) Verfahren zum Freischalten von zumindest einer Funktion in zumindest einem elektronischen Steuergerät eines Kraftfahrzeugs
DE102017122021A1 (de) Verfahren zur Zugangangsgewährung zu einem Fahrzeug sowie Fahrzeugzugangssystem
DE19604206A1 (de) Transponder zum Übertragen insbesondere sicherheitstechnisch relevanter Daten zu einem Basisgerät
DE102010019467A1 (de) Kontaktlos arbeitendes Zugangssystem
EP2952029A1 (de) Verfahren zum zugriff auf einen dienst eines servers über eine applikation eines endgeräts
EP1768316B1 (de) Entsperren einer mobilfunkkarte
WO2003023722A2 (de) Verfahren zur prüfung der zugangsberechtigung
EP1895791A1 (de) Individualisierung von Mobilfunkteilnehmer-Identifikations-Modulen
WO2007036341A1 (de) Entsperren von mobilfunkkarten
WO2018219922A1 (de) Verfahren und vorrichtung zum erkennen eines relais-angriffs