CN109076337A - 用于用户与移动终端设备和另一个实例的安全交互方法 - Google Patents

用于用户与移动终端设备和另一个实例的安全交互方法 Download PDF

Info

Publication number
CN109076337A
CN109076337A CN201780026554.0A CN201780026554A CN109076337A CN 109076337 A CN109076337 A CN 109076337A CN 201780026554 A CN201780026554 A CN 201780026554A CN 109076337 A CN109076337 A CN 109076337A
Authority
CN
China
Prior art keywords
user
mobile terminal
terminal device
safety element
secure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201780026554.0A
Other languages
English (en)
Other versions
CN109076337B (zh
Inventor
B.巴特尔斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Publication of CN109076337A publication Critical patent/CN109076337A/zh
Application granted granted Critical
Publication of CN109076337B publication Critical patent/CN109076337B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/065Continuous authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Telephone Function (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明涉及一种用于用户(12)与移动终端设备(14)和另一个实例(16)进行安全交互的方法。设置了如下步骤:将用户(12)的秘密(20)或通过单向函数产生的秘密(20)的映射(26)和个人数据(22)传输到后端(18);将映射(26)和个人数据(22)从后端(18)传输到移动终端设备(14)的处理器的受保护的执行环境(28);在移动终端设备(14)的安全用户接口(30)上登记用户(12),其中,向用户(12)显示个人数据(22),并且其中,用户(12)利用秘密(20)进行认证;用户(12)通过安全用户接口(30)和受保护的执行环境(28),与和受保护的执行环境(28)具有安全连接的移动终端设备(14)的安全元件(32)进行交互;以及安全元件(32)通过受保护的连接与另一个实例(16)进行交互。本发明要解决的技术问题在于,以简单并且可靠的方式提供所有参与交互的实体的完整的安全链。

Description

用于用户与移动终端设备和另一个实例的安全交互方法
技术领域
本发明涉及一种用于用户与移动终端设备和另一个实例(Instanz)进行安全交互的方法和系统。
背景技术
在使用任意的移动终端设备、例如智能电话与车辆进行安全通信时,存在需要特殊安全设计的非常关键的应用领域。如果使用移动终端设备例如作为车辆钥匙,则IT安全要求是非常高的。在这种情况下,除了移动终端设备、车辆之外,也还有大多数情况下布置在远离的后端中的整个系统的部件的密钥管理系统。各个部件和其通信连接必须满足相应的安全规定。
在现代移动终端设备上存在不同的安全执行环境。除了基于软件的解决方案之外,主要还存在两种不同类型的基于硬件的安全执行环境:例如SIM卡或嵌入式安全芯片(embedded Secure Element(嵌入式安全元件))形式的Secure Element(安全元件或安全模块)和例如作为处理器的安全区域的Trusted Execution Environment(可信执行环境)(受保护的执行环境)。
EP 2 713 328 A1公开了一种具有安全处理器、例如可信执行环境或安全元件的移动设备,其被配置为用于进行安全姿态识别。
GB 2526540 A公开了一种具有安全元件的移动设备,其中,在生产时引入加密密钥,以供稍后由要安装的程序使用。
US 2014/0317686 A1公开了一种具有由两个部件、即安全元件中的可信执行环境和在移动设备上执行的可信执行环境代理构成的分布式可信执行环境的移动设备。
发明内容
现在,本发明要解决的技术问题在于,以简单并且可靠的方式提供所有参与交互的实体的完整的安全链。
上述技术问题通过根据权利要求1的方法或根据权利要求8的系统来解决。
根据本发明的用于用户与移动终端设备和另一个实例进行安全交互的方法包括如下步骤:
-将用户的秘密或通过单向函数产生的秘密的映射和个人数据传输到后端;
-将映射和个人数据从后端传输到移动终端设备的处理器的受保护的执行环境;
-在移动终端设备的安全用户接口上登记用户,其中,向用户显示个人数据,并且其中,用户利用秘密进行认证;
-用户通过安全用户接口和受保护的执行环境,与和受保护的执行环境具有安全连接的移动终端设备的安全元件进行交互;以及
-安全元件通过受保护的连接与另一个实例进行交互。
根据本发明的方法具有如下优点:将至少一个移动终端设备插入了整体安全模型中,用于与后端和至少一个另外的实例、例如车辆通信。由此在分布式系统中实现所有实体的闭合的信任链,以获得安全的整体系统。通过在用户与移动终端设备的用户界面之间、在移动终端设备的用户界面与安全元件之间、在安全元件与后端之间以及在安全元件与另一个实例之间相互进行认证,确保了闭合的安全链。因为整个链在闭合的安全情况下进行认证,所以确保了该整体系统的最佳IT安全。
在此,将动作、例如进入、例如打开/关闭、功能的操作、例如发动、导航开始以及还有单向或双向通信视为交互。安全元件(SE,Secure Element)可以包括独立的计算单元、例如具有自己的操作系统的微控制器,或者其可以具有SIM卡或嵌入式安全芯片的形式。受保护的执行环境(TEE,Trusted Execution Environment(可信执行环境))为应用提供安全或值得信赖的运行时环境。受保护的执行环境可以在单独的处理器上、在计算机系统的一个或多个主处理器上或者在多处理器系统或片上系统(SoC)的芯片(Die)中执行或实现。单向函数产生映射、例如哈希值。
安全元件具有如下优点:其被认为是防篡改的,因此特别是作为针对侵入式攻击、例如离子轰击、通过蚀刻或打磨对导体轨迹的操控的预防措施,而受保护的执行环境具有如下优点:理论上可以利用移动终端设备的整个系统或SoC的资源工作。因为受保护的执行环境能够将所有可能的硬件部件声明为安全设备,因此可以区分数据由分类为安全、还是分类为不安全的外围设备提供,所以例如可以实现特征“Trusted User Interface(可信用户接口)”。这意味着,可以根据情况针对安全设备解释例如移动终端设备的输入和输出可能性、例如触摸屏,并且所有的用户输入不再由不安全操作系统核心看到。这例如可以用于保护客户在银行网页上的登录,当触摸屏与不安全的核心解耦并且完全耦联至安全核心时,在登录时才输入密码。在此,将两种技术互补的优点组合,以针对移动终端设备与另一个实例、例如车辆之间的交互提高安全水平。更具体地,可以通过安全元件和受保护的执行环境的协商过程(非对称或者对称地)引入单独的加密密钥,基于其,安全元件可以与受保护的执行环境双向安全地通信。或者受保护的执行环境原本就支持安全元件。
可以设置为,安全用户接口被受保护的执行环境声明为安全设备。以这种方式,可以使用受保护的执行环境的、声明设备或部件是安全的并进行连接的特性,这允许很大的灵活性。用户接口例如可以是移动电话的触摸屏。提供了安全的输入可能性。此外,受保护的执行环境例如可以在安全区域中布置和/或运行用于安全用户接口的虚拟机,其也称为TUI(Trusted User Interface,可信用户接口)。因此,尤其可以确保仅在安全情况下保留帧缓冲器,即不能未经授权地读取帧缓冲器。
进一步可以设置为,借助从后端得到的密钥来保护受保护的执行环境与安全元件之间的连接。这可以是对称或非对称的加密。因为密钥来自于后端,在那里保证安全的衍生(Ableitung)或产生,所以给出高的安全标准。此外,受保护的执行环境和安全元件因此都不需要具有衍生或产生密钥所需的硬件或软件。
此外可以设置为,在移动终端设备的操作系统中执行用于与另一个实例进行交互的程序,并且程序通过安全元件与另一个实例互相作用。该程序(例如App)可以用于控制另一个实例的功能。因为尽管移动终端设备的操作系统通常不能视为是安全的,所以还是可以通过安全元件的代理功能在程序与另一个实例之间建立安全连接,例如用于安全地操作另一个实例的功能。
在后端与程序之间可以建立运行通过安全元件的安全连接。因为尽管移动终端设备的操作系统通常不能被视为是安全的,所以还是可以通过安全元件的代理功能在程序与后端之间建立安全连接,例如用于交换数据、管理授权或进行更新和其它软件安装。
可以设置为,安全元件具有用于程序的通信接口和用于另一个实例的通信接口,并且根据用户的交互来配置至少一个通信接口的性能。因此,例如可以设置为,在用户进行输入或登记之后,仅一个或两个通信接口可以在例如几分钟的特定时间段内发送或接收数据。这可以通过减少攻击可能性来提高安全性。通信接口可以是逻辑的,例如具有端口或协议栈的形式,然后与物理接口(例如NFC控制器)连接。另一方面,通信接口可以包括物理接口、例如NFC控制器。
此外可以设置为,为了在移动终端设备与另一个实例之间进行安全通信,在后端中并且在另一个实例中存在密钥,将密钥的衍生物引入安全元件中,并且为了进行有效的连接,在另一个实例中进行密钥的衍生。为此可以使用对称或非对称加密方法。对称加密具有如下优点:仅必须在另一个实例中存在秘密,并且在需要时创建相应地所需的衍生物。可能不安全的移动终端设备仅获得衍生物,根据其不能够重建秘密。
根据本发明的用于用户与移动终端设备和另一个实例进行安全交互的系统被配置为用于执行前面描述的方法,所述系统包括:
-后端,在后端中存储用户的秘密或通过单向函数产生的秘密的映射和个人数据;
-具有处理器的受保护的执行环境的移动终端设备,其被配置为用于存储映射和个人数据;
-移动终端设备的安全用户接口,其被配置为用于用户的登记和有效的交互;
-移动终端设备的安全元件,其与受保护的执行环境具有安全连接;以及
-另一个实例,其被配置为用于与移动终端设备的安全元件进行受保护的通信。
所述系统可以包括所描述的部件中的一个或多个。尤其是可以设置多个移动终端设备、例如移动无线电设备和/或多个另外的实例。另外的实例也可以是要或必须与其进行受保护的通信的不同的设备。适用与前面所描述的相同的优点和修改。
移动终端设备和另一个实例可以具有无线通信标准的通信接口。这例如可以是例如NFC(Near Feld Communication,近场通信)、蓝牙、尤其是LE(Low Energy,低功耗)、WLAN等的一个或多个标准。
另一个实例可以是车辆。在此设想的方法和系统尤其适用于车辆,因为在车辆中灵活和舒适的进入以及高的安全性是重要的。
本发明的其它优选设计方案从其余在从属权利要求中提到的特征中得到。
除非在个别情况下另外指出,否则在本申请中提到的本发明的不同的实施方式可以有利地相互组合。
附图说明
下面,在实施例中借助附图说明本发明。
图1示出了用户与移动终端设备和另一个实例进行安全交互的系统和方法的示意图。
具体实施方式
图1示出了用户12与移动终端设备14、另一个实例16和后端18进行安全交互的系统10的示意图。用户12是移动终端设备14、例如智能电话或平板计算机以及另一个实例16的用户和/或所有者。下面,将另一个实例称为车辆16。车辆16例如可以是轿车、商用车或摩托车。然而,替换地,另一个实例也可以是任意设备、例如自动取款机等。后端18例如可以是中央计算机或服务器或者包括中央计算机或服务器。后端18属于车辆16的制造商或服务提供商。
下面描述用于进行安全交互的系统10以及在系统10上运行的方法。
首先,用户12选择秘密20,其例如可以是密码和/或生物识别特征、例如指纹。此外,用户选择个人数据22、例如文本、图像等。在用户12在后端18上注册以便使用车辆16时,将秘密20和个人数据22传输到后端18,并且在那里存储在数据库24中。代替秘密20,优选出于安全原因而不存储秘密20,而是存储秘密20的映射26。映射26通过单向函数产生,因此不能根据映射26重新计算秘密20。映射26例如是哈希值。
之后,将映射26和个人数据22从后端19传输到移动终端设备14的处理器或SoC的受保护的执行环境28。该传输通过虚线箭头示出,并且意为例如对于所有虚线箭头、通过注册存储在后端18中或在那里产生的秘密到移动终端设备14或车辆16的相应子系统中的安全传输。对这种数据传输的保护例如通过在生产过程期间引入的秘密来实现。
现在,可以在移动终端设备14的安全用户接口30上登记用户12,其中,向用户12显示个人数据22,并且其中,利用秘密20对用户12进行认证。安全用户接口30例如是被受保护的执行环境28声明为安全设备并且被相应地处理的触摸屏。
通过个人数据22,受保护的执行环境28可以向用户12证明其输入可能性是值得信赖的。用户12可以通过其秘密20向受保护的执行环境28证明其身份。然后,在受保护的执行环境中从秘密20进行衍生或映射,并且与映射26进行比较。当其一致时,证明用户12的身份。由此相互进行认证。
由此,通过安全用户接口30并且利用后端18的支持在用户12与受保护的执行环境28之间建立安全连接。用户12和移动终端设备14都不需要与后端18持续进行连接。理论上,例如通过因特网或在生产期间进行一次连接以便对这种安全连接进行准备就足够了。
在建立这种连接之后,可以进行实际交互,例如进行通信或者传输数据或指令。为此,用户12与和受保护的执行环境28具有安全连接的移动终端设备14的安全元件32相互作用。这种交互如前面描述的那样通过安全用户接口30和受保护的执行环境28进行。安全元件32是例如具有至少基本的Java环境的计算单元,其上运行例如映射车辆16的控制器或区域的不同的Cardlet。
安全元件32与受保护的执行环境28之间的双向连接以加密方式、例如通过秘密34受保护,秘密34或其衍生物不仅被引入安全用户接口30中,而且被引入受保护的执行环境28中。可以想到,例如使用预共享对称密钥的对称加密或者例如使用私钥和公钥的非对称加密。
由于数据通过秘密34在安全元件32与受保护的执行环境28之间的安全传输,可以将受保护的执行环境28的优点与安全元件34的优点组合。值得信赖的用户接口30和其受保护的执行环境28与安全元件32的操控安全性组合。仅当用户12通过与客户经过相互认证的关系向受保护的执行环境28进行了操作请求时,这才通过受保护的执行环境28与安全元件32之间的安全路径告知安全元件32。
现在,安全元件32例如可以在特定时间窗口中接受本身不能向安全元件32证明其身份的操作系统38中的程序36的请求。换言之,通过事先必须在受保护的执行环境28上进行有效(authentisch)的用户输入,受保护的执行环境28以受保护的方式向安全元件32转发该状态,来允许App或程序36对安全元件32进行有效的访问。
安全元件32与接口40、例如NFC控制器连接。车辆16具有相应的接口42,从而这两个实体可以相互通信。此外,车辆16具有至少一个控制设备44,其可以用于接口42的控制或车辆16的其它功能的控制和/或通信。
下面,描述如何保护安全元件32与车辆16之间的连接。在此,在后端18中创建密钥46,以及存在通过衍生创建的衍生密钥48。如图1所示,仅衍生的秘密或衍生密钥48被引入客户的移动终端设备14的安全元件32中。然而,车辆16引入原始秘密或者密钥46。这里的想法是,车辆16可以在认证过程本身的过程中以ad-hoc(自组织)的方式衍生出衍生密钥48。此外,必须将在后端18中使用的用于从密钥46衍生出衍生密钥48的常数附加地引入安全元件32中。密钥衍生函数在输入该常数和密钥46时总是针对结果唯一地提供衍生密钥48。必须在安全元件32与车辆16之间的每个认证过程中以明文的方式将该常数从安全元件32发送至车辆16。随后,车辆16可以以ad-hoc的方式衍生出衍生密钥48,因为密钥46是已知的。在进行衍生之后,车辆16可以利用衍生密钥48对安全元件32的认证证明进行验证,由此对安全元件32进行认证。这种想法的优点是:车辆16仅必须保留密钥46。即使多个不同的移动终端设备要与车辆16建立受保护的连接,也可以仅在车辆16中存储密钥46。如所描述的,每个安全元件32具有不同的独一无二的常数、例如字节串(Byte String),安全元件在进行认证时将常数告知车辆16,从而其随后可以衍生出相应的衍生密钥48。
因此,安全元件32与另一个实例或车辆16的交互可以通过上面描述的受保护的连接进行。用于打开车辆16的序列例如可以借助质询-响应法(Challenge-Response-Verfahren)来执行。
程序36可以包括代理功能50,代理功能50使得程序36能够通过安全元件32以受保护的方式与车辆16通信。为此,一方面使用衍生密钥48,另一方面可以设置为,如前面所描述的,仅当用户12或受保护的执行环境28进行了相应的释放或预先给定时,程序36和/或车辆16才可以参与与安全元件32的通信。
作为进一步的安全元素,在程序36与后端18之间提供受保护的有效连接。为此,如在图1中示出的那样,使用秘密52,秘密52在后端18中产生并且传输到安全元件32。通过秘密52,程序36可以对来自安全元件32的数据进行加密和/或签名,随后例如通过移动无线电、例如LTE或者通过WLAN、例如通过因特网发送至后端18。该连接也可以设计为双向的。
安全元件30与受保护的执行环境28之间的安全双向通信单独例如可以防止大量攻击并且提高整体安全水平。对于安全特别关键的功能、例如通过BTLE((Bluetooth LowEnergy,低功耗蓝牙)例如将移动终端设备14用作数字车辆钥匙,下面示例性地解释三种可能的攻击以及通过所描述的系统和方法对其的防御。
在第一种情况下,攻击者将恶意软件安装在用户12的移动终端设备14上。攻击者现在进入到达用户的车辆16的BTLE有效距离内,并且使得移动终端设备14上的恶意软件执行解锁命令。现在,攻击者可以从恶意软件发送用于解锁门的无线电指令。最后,攻击者可以从其智能电话通过BTLE向车辆16发送解锁命令,并且其智能电话因此作为正确的密钥输出。
在此提出的安全传输链可以防止上述情景。具有解锁按钮的App表面位于安全区域中,也就是说安全元件32和/或受保护的执行环境28中。对安全区域的操作仅可以通过安全用户接口30进行。仅当通过安全用户接口30进行操作时,当安全用户接口连接至安全区域时,设定信号或比特。将该比特有效地从受保护的执行环境28传送至安全元件32。仅当安全元件在此之前不久接收到受保护的执行环境28有效地传送的比特时,安全元件32计算对车辆16的质询的响应。
在第二种情况下,用户12利用App在服务上进行登记,以便管理密钥。攻击者将恶意软件安装在移动终端设备14上,并且录制用户12的访问数据、例如E-mail地址、密码和超级PIN。然后,攻击者以用户12的名字登录服务,并且将车辆密钥发送至其自己的智能电话。最后,攻击者盗窃用户12的车辆16。
在此提出的安全传输链也可以防止这种情景。用户12必须在注册到服务时在服务提供商处进行一次验证。在这种情况下,用户12选择个人数据22、例如描绘自己的图像。代理商将该数据通过自己的后端连接传输到后端系统18,并且针对用户12进行存储。在移动终端设备14开通的情况下,将该图形传输到移动终端设备14的受保护的执行环境28。当用户12登录服务的App时,通过安全用户接口30显示登录画面。为了使用户12知道这一点,显示其个人图形。用户12现在可以输入Email和口令,但是没有恶意软件可以录制这些数据,因为数据是通过在受保护的执行环境28中具有分离的安全存储区域的安全用户接口30输入的。
在第三种情况下,攻击者将恶意软件安装在移动终端设备14上。攻击者将安全元件32用作数据库(Orakel),以便收集尽可能多的质询/响应对。当攻击者收集了足够多的质询/响应对时,前往车辆16并且对其进行解锁。
在此提出的安全传输链也可以防止这种情景。在此,例如可以使用移动终端设备14与车辆16之间的无线传输的特性。例如,NFC系统具有如下优点:至少基本的Java环境的Cardlet可以区分请求来自主机OS还是天线。为了在BTLE中实现等同的安全水平,受保护的执行环境28和安全元件32必须可以有效地并且机密地相互交换数据,这在这里给出。因此,仅允许通过受保护的执行环境28访问安全元件32。并且受保护的执行环境28必须针对安全元件32经过认证(反之亦然)。如果利用安全用户接口30、即通过将触摸屏切换至安全区域(Secure World)来使用这一点,则仅可以在与实际的App进行交互之后进行触发。并且通过主机OS中的软件、即恶意软件进行的任何触发可以被安全元件32拒绝,因为触发没有通过受保护的执行环境28进行。
如前面所示出的,本发明将移动终端设备嵌入用于与后端和车辆进行通信的整体安全模型中,从而形成使安全性得到改善的安全传输链。
附图标记列表
10 系统
12 用户
14 移动终端设备
16 另一个实例
18 后端
20 秘密
22 个人数据
24 数据库
26 映射
28 受保护的执行环境
30 安全用户接口
32 安全元件
34 秘密
36 程序
38 操作系统
40 接口
42 接口
44 控制设备
46 密钥
48 衍生密钥
50 代理
52 秘密

Claims (10)

1.一种用于用户(12)与移动终端设备(14)和另一个实例(16)进行安全交互的方法,其具有如下步骤:
-将用户(12)的秘密(20)或通过单向函数产生的秘密(20)的映射(26)和个人数据(22)传输到后端(18);
-将映射(26)和个人数据(22)从后端(18)传输到移动终端设备(14)的处理器的受保护的执行环境(28);
-在移动终端设备(14)的安全用户接口(30)上登记用户(12),其中,向用户(12)显示个人数据(22),并且其中,用户(12)利用秘密(20)进行认证;
-用户(12)通过安全用户接口(30)和受保护的执行环境(28),与和受保护的执行环境(28)具有安全连接的移动终端设备(14)的安全元件(32)进行交互;以及
-安全元件(32)通过受保护的连接与所述另一个实例(16)进行交互。
2.根据权利要求1所述的方法,其特征在于,安全用户接口(30)被受保护的执行环境(28)声明为安全设备。
3.根据前述权利要求中任一项所述的方法,其特征在于,借助从后端(18)得到的密钥(34)保护受保护的执行环境(28)与安全元件(32)之间的连接。
4.根据前述权利要求中任一项所述的方法,其特征在于,在移动终端设备(14)的操作系统(38)中执行用于与所述另一个实例(16)进行交互的程序(36),并且程序(36)通过安全元件(32)与所述另一个实例(16)互相作用。
5.根据权利要求4所述的方法,其特征在于,在后端(18)与程序(36)之间建立运行通过安全元件(32)的安全连接。
6.根据权利要求4或5所述的方法,其特征在于,安全元件(32)具有用于程序(36)的通信接口和用于所述另一个实例(16)的通信接口,并且根据用户(12)的交互来配置至少一个通信接口的性能。
7.根据前述权利要求中任一项所述的方法,其特征在于,为了在移动终端设备(14)与所述另一个实例(16)之间进行安全通信,在后端(18)中并且在所述另一个实例(16)中存在密钥(46),将密钥(46)的衍生(48)引入安全元件(32)中,并且为了进行有效的连接,在所述另一个实例(16)中进行密钥(46)的衍生(48)。
8.一种用于用户(12)与移动终端设备(14)和另一个实例(16)进行安全交互的系统,其被配置为用于执行根据前述权利要求中任一项所述的方法,所述系统包括:
-后端(18),在后端中存储用户(12)的秘密(20)或通过单向函数产生的秘密(20)的映射(26)和个人数据(22);
-具有处理器的受保护的执行环境(28)的移动终端设备,其被配置为用于存储映射(26)和个人数据(22);
-移动终端设备(14)的安全用户接口(30),其被配置为用于用户(12)的登记和有效的交互;
-移动终端设备(14)的安全元件(32),其与受保护的执行环境(28)具有安全连接;以及
-另一个实例(16),其被配置为用于与移动终端设备(14)的安全元件(32)进行受保护的通信。
9.根据权利要求8所述的系统,其特征在于,移动终端设备(14)和所述另一个实例(16)具有无线通信标准的通信接口(40、42)。
10.根据权利要求8或9所述的系统,其特征在于,所述另一个实例(16)是车辆。
CN201780026554.0A 2016-04-29 2017-03-30 用于用户与移动终端设备和另一个实体的安全交互方法 Active CN109076337B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102016207339.7 2016-04-29
DE102016207339.7A DE102016207339A1 (de) 2016-04-29 2016-04-29 Verfahren zur sicheren Interaktion eines Nutzers mit einem mobilen Endgerät und einer weiteren Instanz
PCT/EP2017/057509 WO2017186445A1 (de) 2016-04-29 2017-03-30 Verfahren zur sicheren interaktion eines nutzers mit einem mobilen endgerät und einer weiteren instanz

Publications (2)

Publication Number Publication Date
CN109076337A true CN109076337A (zh) 2018-12-21
CN109076337B CN109076337B (zh) 2021-12-17

Family

ID=58489306

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780026554.0A Active CN109076337B (zh) 2016-04-29 2017-03-30 用于用户与移动终端设备和另一个实体的安全交互方法

Country Status (6)

Country Link
US (2) US11017062B2 (zh)
EP (1) EP3449655B1 (zh)
KR (1) KR102081875B1 (zh)
CN (1) CN109076337B (zh)
DE (1) DE102016207339A1 (zh)
WO (1) WO2017186445A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11443323B2 (en) * 2018-03-07 2022-09-13 Samsung Electronics Co., Ltd. System and method for secure transactions with a trusted execution environment (TEE)
KR102695457B1 (ko) * 2018-08-31 2024-08-14 삼성전자주식회사 디지털 키를 처리하는 전자 디바이스 및 그 동작 방법

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102438237A (zh) * 2010-11-23 2012-05-02 微软公司 使用移动通信设备的访问技术
CN102667800A (zh) * 2009-11-09 2012-09-12 德国捷德有限公司 用于与安全元件的安全交互的方法
CN102959589A (zh) * 2010-07-01 2013-03-06 宝马股份公司 用于处理车辆的、特别是汽车的一个或多个控制设备中的数据的方法
US20130305392A1 (en) * 2012-05-08 2013-11-14 Hagai Bar-El System, device, and method of secure entry and handling of passwords
DE102012022786A1 (de) * 2012-11-22 2014-05-22 Volkswagen Aktiengesellschaft Zugangssystem für ein Fahrzeug
US20150137943A1 (en) * 2012-06-21 2015-05-21 Daimler Ag Device and Method for Controlling an Access Authorisation and/or Driving Authorisation for a Vehicle
US20160092680A1 (en) * 2013-03-28 2016-03-31 Fraunhofer-Gesellschaft Zur Foerderung Der Angewandten Forschung E.V. Apparatus and method comprising a carrier with circuit structures

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10251890A1 (de) 2002-11-07 2004-05-19 Vodafone Holding Gmbh Verfahren und System zum elektronischen Übertragen von Informationsdaten
US9164957B2 (en) * 2011-01-24 2015-10-20 Lexisnexis Risk Solutions Inc. Systems and methods for telematics monitoring and communications
US9032493B2 (en) 2011-03-31 2015-05-12 Intel Corporation Connecting mobile devices, internet-connected vehicles, and cloud services
DE102011118234A1 (de) 2011-11-11 2013-05-16 Audi Ag Verfahren und System zur Freigabe einer technischen Vorrichtung
US8938780B2 (en) 2012-03-27 2015-01-20 Telefonaktiebolaget L M Ericsson (Publ) Display authentication
US8605434B2 (en) 2012-05-01 2013-12-10 Adlink Technology Inc. Wall-mounting structure for wall-mounted electronic device
US10147090B2 (en) 2012-10-01 2018-12-04 Nxp B.V. Validating a transaction with a secure input without requiring pin code entry
US9276737B2 (en) * 2013-03-14 2016-03-01 General Motors Llc Securing a command path between a vehicle and personal wireless device
DE102013006070A1 (de) 2013-04-08 2014-10-09 Audi Ag Verfahren und Vorrichtung zur Übermittlung fahrzeugspezifischer Informationen an ein Endgerät eines Nutzers durch Mittel der drahtlosen Kommunikation
US8935746B2 (en) 2013-04-22 2015-01-13 Oracle International Corporation System with a trusted execution environment component executed on a secure element
EP2947598A1 (de) 2014-05-20 2015-11-25 Secunet Security Networks Aktiengesellschaft Verfahren zur sicheren Verarbeitung von vertraulichen Daten auf einer Recheneinheit
GB2526540A (en) 2014-05-23 2015-12-02 Theresa L Smith Provisioning of secure host card emulation
WO2016007712A1 (en) 2014-07-11 2016-01-14 Entrust, Inc. Method and apparatus for providing vehicle security

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102667800A (zh) * 2009-11-09 2012-09-12 德国捷德有限公司 用于与安全元件的安全交互的方法
US20120233456A1 (en) * 2009-11-09 2012-09-13 Stephan Spitz Method for securely interacting with a security element
CN102959589A (zh) * 2010-07-01 2013-03-06 宝马股份公司 用于处理车辆的、特别是汽车的一个或多个控制设备中的数据的方法
CN102438237A (zh) * 2010-11-23 2012-05-02 微软公司 使用移动通信设备的访问技术
US20130305392A1 (en) * 2012-05-08 2013-11-14 Hagai Bar-El System, device, and method of secure entry and handling of passwords
US20150137943A1 (en) * 2012-06-21 2015-05-21 Daimler Ag Device and Method for Controlling an Access Authorisation and/or Driving Authorisation for a Vehicle
DE102012022786A1 (de) * 2012-11-22 2014-05-22 Volkswagen Aktiengesellschaft Zugangssystem für ein Fahrzeug
US20160092680A1 (en) * 2013-03-28 2016-03-31 Fraunhofer-Gesellschaft Zur Foerderung Der Angewandten Forschung E.V. Apparatus and method comprising a carrier with circuit structures

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
匿名用户: "How to bypass Windows XP login passwords from scratch", 《互联网资源档案馆》 *

Also Published As

Publication number Publication date
WO2017186445A1 (de) 2017-11-02
EP3449655B1 (de) 2022-05-18
CN109076337B (zh) 2021-12-17
KR102081875B1 (ko) 2020-02-26
EP3449655A1 (de) 2019-03-06
US11017062B2 (en) 2021-05-25
US12019717B2 (en) 2024-06-25
KR20180132811A (ko) 2018-12-12
DE102016207339A1 (de) 2017-11-02
US20190138701A1 (en) 2019-05-09
US20210279307A1 (en) 2021-09-09

Similar Documents

Publication Publication Date Title
US10182040B2 (en) Systems and methods for single device authentication
US9875368B1 (en) Remote authorization of usage of protected data in trusted execution environments
CN110291754B (zh) 使用移动设备的系统访问
TWI664591B (zh) 用於停用一付款網路及一電子裝置之間之金融交易的方法及管理裝置
CN209312029U (zh) 电子装置
EP2937805B1 (en) Proximity authentication system
CA2838763C (en) Credential authentication methods and systems
US7861015B2 (en) USB apparatus and control method therein
US20130219481A1 (en) Cyberspace Trusted Identity (CTI) Module
JP7332087B2 (ja) エアギャッピングされた秘密鍵を用いてトランザクションに署名するためのシステムおよび方法
Busold et al. Smart keys for cyber-cars: Secure smartphone-based NFC-enabled car immobilizer
US8656455B1 (en) Managing data loss prevention policies
US9055061B2 (en) Process of authentication for an access to a web site
CN104584023B (zh) 用于硬件强制访问保护的方法和设备
CN110100247A (zh) 用于无线iot系统的强认证和易用性的嵌入式证书方法
JP2015509234A (ja) ネットワークアクセスに関連したアプリケーションのための認証
WO2013123453A1 (en) Data storage devices, systems, and methods
KR20090019576A (ko) 모바일 단말기 인증 방법 및 모바일 단말기 인증 시스템
US12019717B2 (en) Method for the secure interaction of a user with a mobile terminal and a further entity
Morgner et al. Mobile smart card reader using NFC-enabled smartphones
Arnosti et al. Secure physical access with NFC-enabled smartphones
Gruntz et al. MOONACS: a mobile on-/offline NFC-based physical access control system
Kasper et al. Rights management with NFC smartphones and electronic ID cards: A proof of concept for modern car sharing
Salminen Strong authentication based on mobile application
WO2024160717A1 (en) Secure on-boarding of personal attributes on an external entity

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant