DE10045924A1 - Verfahren zum Absichern einer Transaktion auf einem Computernetzwerk - Google Patents

Verfahren zum Absichern einer Transaktion auf einem Computernetzwerk

Info

Publication number
DE10045924A1
DE10045924A1 DE10045924A DE10045924A DE10045924A1 DE 10045924 A1 DE10045924 A1 DE 10045924A1 DE 10045924 A DE10045924 A DE 10045924A DE 10045924 A DE10045924 A DE 10045924A DE 10045924 A1 DE10045924 A1 DE 10045924A1
Authority
DE
Germany
Prior art keywords
service user
service
transmitted
transaction
personal identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE10045924A
Other languages
English (en)
Inventor
Stefan Gruenzig
Tschangiz Scheybani
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE10045924A priority Critical patent/DE10045924A1/de
Priority to US10/362,367 priority patent/US20040039651A1/en
Priority to RU2003109605/09A priority patent/RU2003109605A/ru
Priority to AU2002212238A priority patent/AU2002212238A1/en
Priority to EP01980382A priority patent/EP1374011A2/de
Priority to CNA018152414A priority patent/CN1478260A/zh
Priority to PCT/EP2001/010606 priority patent/WO2002023303A2/de
Priority to JP2002527888A priority patent/JP2004509409A/ja
Priority to PL01365731A priority patent/PL365731A1/xx
Publication of DE10045924A1 publication Critical patent/DE10045924A1/de
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/12Payment architectures specially adapted for electronic shopping systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/42Confirmation, e.g. check or permission by the legal debtor of payment
    • G06Q20/425Confirmation, e.g. check or permission by the legal debtor of payment using two different networks, one for transaction and one for security confirmation
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • G06Q30/0601Electronic shopping [e-shopping]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Es wird ein Verfahren zum Absichern einer Transaktion über ein Computernetzwerk beschrieben, bei dem an einen Servicenutzer ein einmaliges Transaktionskennwort übermittelt wird, welches zur Transaktionsbestätigung vom Servicenutzer über das Computernetzwerk an einen Serviceanbieter übermittelt wird. Das Transaktionskennwort wird dabei über ein Mobilfunknetz an ein mobiles Kommunikationsendgerät des Servicenutzers übermittelt, wobei vor einer Übermittlung des Transaktions-Kennworts an den Servicenutzer eine Überprüfung persönlicher Servicenutzer-Daten erfolgt.

Description

Die Erfindung betrifft ein Verfahren zum Absichern einer Transaktion auf einem Computer- oder ähnlichem Netzwerk, beispielsweise im Internet oder auch in einem größeren organisationsinternen Intranet, bei dem an einen Servicenutzer ein einmaliges Transaktionskennwort übermittelt wird, welches zur Transaktions-Bestätigung vom Servicenutzer über das Computernetzwerk an einen Serviceanbieter übermittelt wird.
Ein derartiges Verfahren wird zur Zeit beispielsweise bei dem üblichen Online-Banking-Verfahren genutzt. Der Bankkunde bekommt hierbei außer der PIN zusätzliche Transaktionsnummern, sogenannte TAN, zugesandt, die jeweils nur für eine einzige Transaktion verwendet werden können und anschließend ihre Gültigkeit verlieren. Nur bei Übereinstimmung der PIN und der TAN mit den beim Online-Banking-Anbieter hinterlegten Werten wird die Transaktion durchgeführt. Da die TAN nur ein einziges Mal verwendet wird, ist sichergestellt, dass Unbefugte, denen es gelingt, den Datentransfer zwischen Bank und Kunden auszuspionieren, mit den ermittelten Daten keinen Missbrauch treiben können. Die TAN bietet somit eine zusätzliche Sicherheit für den Kunden, da so ein Missbrauch der Online- Bankverbindung erheblich reduziert wird. Zum anderen bietet sie aber auch eine zusätzliche Sicherheit für den Online-Banking-Anbieter, da durch die Zusammenwirkung von richtiger PIN und richtiger TAN die Authentizität des Kunden bestätigt wird. Derartige vom Online-Banking bekannte Verfahren sind selbstverständlich auch anwendbar, um Transaktionen im Zusammenhang mit anderen Geschäften im Internet, beispielsweise beim Kauf von Waren, auszuführen.
Um zu verhindern, dass Unbefugte in den Besitz der TAN gelangen, solange sie noch für eine Transaktion verwendet werden kann, erfolgt die Zusendung der TAN an den Kunden bisher per Brief unter entsprechenden Sicher­ heitsbedingungen. Wegen des erheblichen Aufwands und der Dauer eines postalischen Versands werden hierbei üblicherweise an den Kunden gleich mehrere gültige TAN, beispielsweise 40 verschiedene TAN, versandt, die der jeweiligen PIN des Kunden zugeordnet sind. Der Kunde muss die 40 TAN an gesicherter Stelle aufbewahren und kann jede dieser TAN einmal verwen­ den. Sobald der Kunde alle TAN verbraucht hat, kann er neue TAN von sei­ ner Bank anfordern.
Es ist offensichtlich, dass die Verwaltung solcher TAN, besonders für den Kunden, äußerst unkomfortabel ist. In der Regel besteht die Möglichkeit, die erhaltenen TAN im Computer des Kunden mit geeigneter Software abzuspeichern. Es wird dann automatisch bei Durchführung einer Transaktion vom Online-Banking-Programm eine der gespeicherten TAN verwendet und anschließend als gelöscht gekennzeichnet. D. h. es werden automatisch zum richtigen Zeitpunkt innerhalb einer Transaktion PIN und TAN übertragen, ohne dass der Kunde direkt eingreifen muss. Die Abspeicherung der TAN und/oder der PIN birgt jedoch die erhebliche Gefahr, dass diese sensiblen Daten durch Unbefugte auf dem Computer des Kunden, beispielsweise durch sogenannte "Trojanische Pferde" oder ähnliche Programme, ausspioniert werden und dann für einen Missbrauch verwendet werden können. Die sicherere Alternative hierzu bedeutet jedoch, dass der Kunde die TAN nicht in seinem Rechner speichert, sondern statt dessen in schriftlicher Form an sicherer Stelle aufbewahrt. Da es für den Kunden in der Regel aber unpraktikabel ist, sich mehrere dieser TAN zu merken, bedeutet dies gleichzeitig, dass der Kunde die schriftlich notierten TAN mit sich führen muss, wenn er von verschiedenen Orten und unterschiedlichen Rechnern aus seine Bankgeschäfte durchführen will. Zudem besteht bei dieser Aufbewahrung auch die Möglichkeit, dass die TAN dem Kunden beispielsweise durch Diebstahl abhanden kommt oder verloren geht und in unbefugte Hände gelangt.
In der US 5,809,144 wird ein Verfahren zum Verkauf und zur Lieferung von. Waren im Internet genannt, bei dem zur Absicherung von Kunden und Verkäufern gegeneinander sowie zur Sicherung gegen Abhören und Missbrauch von Daten ein Verfahren vorgeschlagen wird, das die Übersendung mehrerer kryptographischer Checksummen sowie einer Signatur einschließt. Dieses Verfahren ist jedoch äußerst aufwendig und rechenintensiv.
Es ist Aufgabe der vorliegenden Erfindung, eine Alternative zum genannten Stand der Technik zu schaffen, mit der auf einfache und sichere Weise eine Absicherung einer Transaktion, beispielsweise einer Zahlungstransaktion, über ein Computernetzwerk bzw. ein Netzwerk, welches zum Austausch von Daten geeignet ist (z. B. Internet-Nutzung über Mobilfunk), möglich ist.
Diese Aufgabe wird durch ein Verfahren gemäß Patentanspruch 1 gelöst. Die abhängigen Ansprüche enthalten vorteilhafte Weiterbildungen und Ausgestaltungen des erfindungsgemäßen Verfahrens.
Bei dem erfindungsgemäßen Verfahren wird ebenfalls an den Servicenutzer, d. h. den Kunden, ein einmaliges Transaktionskennwort übermittelt, das dieser zur Transaktionsbestätigung über das Computernetzwerk an einen Serviceanbieter zurückübermittelt, um eine Zahlung durchzuführen. Bei dem Transaktionskennwort kann es sich um ein beliebiges Kennwort handeln. Vorzugsweise handelt es sich um eine Nummer, d. h. eine übliche TAN. Zur Erhöhung der Sicherheit werden dabei vor der Übermittlung eines Transaktions-Kennworts an einen Servicenutzer dessen persönliche Daten überprüft. Hierbei handelt es sich in erster Linie um diejenigen Daten, die für die Transaktion benötigt werden, beispielsweise um den Namen, die Adresse, eine Kreditkartennummer und eine Mobilfunkteilnehmernummer des Kommunikationsendgeräts des Servicenutzers. Neben diesen Daten können selbstverständlich, alternativ oder zusätzlich zum Namen und zur Adresse, weitere Daten, beispielsweise eine Ausweis- oder Passnummer des Servicenutzers, registriert werden.
Das Transaktionskennwort dient wie in den eingangs genannten Fällen der Absicherung des Servicenutzers und zur Authentisierung des Servicenutzers gegenüber dem Serviceanbieter. Es wird nur einmal für eine einzige Transaktion verwendet und verliert anschließend seine Gültigkeit. Das Transaktionskennwort wird vom Serviceanbieter mit einem dort gespeicherten Transaktionskennwort verglichen und nur bei Übereinstimmung, d. h. bei Rücksendung des richtigen Transaktions- Kennworts, wird die Transaktion durchgeführt. Die Übersendung des Transaktions-Kennworts zum Servicenutzer erfolgt nicht über das Computernetzwerk, sondern über ein Mobilfunknetz an ein mobiles Kommunikationsendgerät des Kunden. Bei dem Mobilfunknetz kann es sich um ein beliebiges Mobilfunknetz, beispielsweise GSM oder UMTS, handeln. Der Begriff Mobilfunknetz umfasst hierbei auch entsprechende Pager-Netze. Bei dem mobilen Kommunikationsendgerät handelt es sich beispielsweise um ein handelsübliches Mobilfunkgerät, einen Pager oder einen PDA mit entsprechender Mobilfunk-Funktion.
Der Servicenutzer kann das Transaktionskennwort direkt vom Serviceanbieter erhalten. Selbstverständlich ist es auch möglich, dass das Transaktionskennwort von einer anderen Stelle, beispielsweise einer Kreditkarten-Organisation oder einem Mobilfunknetz-Anbieter, welcher mit dem Serviceanbieter in Verbindung steht, an den Servicenutzer übermittelt wird. Entscheidend ist, dass hier, anders als bei der eingangs genannten US 5,809,144 die sicherheitssensiblen Daten, die der Servicenutzer zur Bestätigung einer Transaktion an den Serviceanbieter über das Computernetzwerk versenden soll, nicht über das gleiche Netzwerk erfolgt, sondern dass zur Übersendung des Transaktions-Kennworts an den Servicenutzer ein völlig anderer Weg verwendet wird. Dies erhöht die Sicherheit erheblich, da für einen Missbrauch durch eine unbefugte Person nun nicht mehr nur Name, Adresse usw. des Servicenutzers bekannt sein müssen, sondern er sich auch noch im Besitz des Kommunikationsendgeräts des Servicenutzers befinden muss.
Da bei dem erfindungsgemäßen Verfahren die Übersendung des Transakti­ ons-Kennworts, anders als bei einer Übersendung mit spezieller Post wie beim bisherigen Online-Banking-Verfahren, schnell und unkompliziert ist, ist es möglich, dass das Transaktionskennwort jeweils direkt während oder unmittelbar vor einer Transaktion an den Service-Nutzer übermittelt wird. D. h. es ist nicht mehr nötig, dass vorab mehrere Nummern übermittelt wer­ den. Somit ist es auch nicht mehr erforderlich, dass der Service-Nutzer meh­ rere Nummern sicher so verwahrt, dass er die Nummer zum geeigneten Zeitpunkt zur Hand hat. Damit ist gleichzeitig ausgeschlossen, dass Unbe­ fugte in den Besitz eines Blocks von TAN kommen.
Zur Überprüfung dieser Daten wird dann ein Konsistenz-Abgleich zwischen dem Serviceanbieter, einem Mobilfunknetz-Anbieter und einer Kreditkartengesellschaft durchgeführt, d. h. der Serviceanbieter führt beispielsweise einen Abgleich der Daten mittels einer Datenbankabfrage beim Mobilfunknetz-Anbieter und einer gleichzeitigen Datenbank-Abfrage bei der Kreditkartengesellschaft durch. Er stellt so sicher, dass die Mobilfunk-Teilnehmernummer und die Kreditkartennummer zum selben Servicenutzer gehören. Gleichzeitig kann selbstverständlich auch eine Abfrage über die Zahlungsfähigkeit des Servicenutzers über die Kreditkarte erfolgen.
Nur nach einem erfolgreichen Konsistenz-Check der Servicenutzer-Daten wird der Service schließlich freigeschaltet, und dem Servicenutzer wird ein Transaktionskennwort übermittelt, mit dem er schließlich die Transaktion durchführen kann.
Da die Übermittlung sämtlicher Servicenutzer-Daten sowie ein entsprechender Konsistenz-Abgleich durch den Serviceanbieter während jeder einzelnen Transaktion relativ aufwendig ist, erfolgt vorzugsweise vor einer erstmaligen Transaktion ein Registriervorgang, bei dem zumindest ein Teil der Servicenutzer-Daten an den Serviceanbieter übermittelt werden. Es erfolgt dann sofort die Überprüfung der Servicenutzer-Daten, beispielsweise der vollständige Konsistenz-Abgleich. Bei erfolgreicher Registrierung wird dem Service-Nutzer schließlich eine persönliche Identifizierungsnummer, im Folgenden PIN genannt, übermittelt, die diesem Servicenutzer zugeordnet ist. Bei einer späteren Transaktion wird dann zunächst die PIN vom Servicenutzer an den Serviceanbieter übermittelt, womit dieser automatisch über die Daten des aktuellen Service-Nutzers informiert ist. Vom Service- Anbieter wird dann vorzugsweise anstelle der kompletten Servicenutzer- Daten nur noch die PIN überprüft. Selbstverständlich ist es aber auch möglich, dass bei jeder Sitzung der Servicenutzer erneut seine Daten gemeinsam mit der PIN eingibt und sowohl die Servicenutzer-Daten als auch die PIN überprüft werden.
Die persönliche Identifizierungsnummer kann beispielsweise - wie auch das Transaktionskennwort - über ein Mobilfunknetz an das mobile Kommunikationsendgerät des Kunden übermittelt werden.
Bei einem weiteren bevorzugten Ausführungsbeispiel werden vorm Servicenutzer unter Angabe der PIN dem Serviceanbieter Servicenutzer- Daten übermittelt, die bei nachfolgenden Transaktionen verwendet werden. Hierbei handelt es sich sozusagen um eine zweite Registrierungsstufe, bei der dem Serviceanbieter die Servicenutzer-Daten übermittelt werden, die er bei der ersten Registrierung nicht erhalten hat. Alternativ ist auf diese Weise natürlich auch eine Änderung von Servicenutzer-Daten möglich, beispielsweise wenn der Servicenutzer ein anderes Kommunikationsendgerät mit einer Mobilfunk-Teilnehmernummer verwenden möchte oder eine andere Kreditkarte mit einer anderen Kreditkartennummer zur Zahlung verwenden möchte.
Selbstverständlich ist bei jeder Registrierung eine Eingabe verschiedener Kreditkartennummern, beispielsweise von verschiedenen Kreditkartengesellschaften, oder auch eine Eingabe von mehreren verschiedenen Mobilfunkteilnehmern, beispielsweise von verschiedenen Kommunikationsendgeräten, möglich. Der Servicenutzer kann dann bei einer späteren Nutzung des Service jederzeit unter den verschiedenen Möglichkeiten wählen.
Die Übermittlung der Servicenutzer-Daten und/oder der PIN über das Computernetzwerk erfolgt vorzugsweise auf gesicherte Weise, d. h. es wird ein gesicherter Kanal, beispielsweise das SSL-Verfahren, verwendet, bei dem diese sensiblen Daten verschlüsselt übermittelt werden.
Das Transaktionskennwort bzw. die persönliche Identifizierungsnummer wird auf das mobile Kommunikationsendgerät des Servicenutzers vorzugsweise als Textnachricht, beispielsweise SMS, übermittelt. Dieses Verfahren ist äußerst kostengünstig, da es nur wenig Übertragungskapazität benötigt. Der Servicenutzer kann die PIN bzw. das Transaktionskennwort im Klartext vom Display seines Kommunikationsendgeräts ablesen und an entsprechender Stelle in einer Eingabemaske an seinem PC eingeben.
Bei einem bevorzugten Ausführungsbeispiel erhält der Servicenutzer die PIN von einem Mobilfunknetz-Anbieter oder einem damit verbundenen Dienstleister. Dem Mobilfunknetz-Anbieter bzw. dem damit verbundenen Dienstleister sind Name, Adresse und Mobilfunk-Teilnehmernummer des Servicenutzers bereits bekannt. Unter Angabe dieser PIN übermittelt dann der Servicenutzer dem Serviceanbieter eine Kreditkartennummer, die bei nachfolgenden Transaktionen verwendet wird. Der Serviceanbieter überprüft die PIN durch Vergleich mit der PIN, die er gemeinsam mit den persönlichen Daten ebenfalls vom Mobilfunknetz-Anbieter oder dem damit verbundenen Dienstleister erhalten hat und ordnet diesen Daten die Kreditkartennummer zu und/oder führt einen entsprechenden Konsistenz- Abgleich durch eine Datenbank-Abfrage bei der betreffenden Kreditkarten- Organisation durch. Alternativ ist es selbstverständlich auch möglich, dass der Servicebetreiber die erhaltene PIN lediglich an den Mobilfunknetz- Anbieter oder den damit verbundenen Dienstleister zur Überprüfung weiterleitet und von diesem lediglich eine Information zurückerhält, dass die Daten in Ordnung sind. Bei erfolgreicher Überprüfung wird der Service freigeschaltet und kann jederzeit vom Servicenutzer genutzt werden. Der Service funktioniert in diesem Fall nur mit der Mobilfunk- Teilnehmernummer, über die der Nutzer ursprünglich beim Mobilfunknetz- Anbieter bekannt ist. Die Kreditkartennummer kann mit diesem Verfahren jederzeit vom Servicenutzer geändert werden.
Bei einem alternativen Verfahren wird die PIN von einer Kreditkartenorganisation oder einem damit verbundenen Dienstleister an den Servicenutzer übermittelt. In diesem Fall kann der Servicenutzer mit der erhaltenen PIN die Registrierung beim Serviceanbieter durchführen und dabei seine Mobilfunk-Teilnehmernummer angeben. Auch hier erfolgt wie im vorherigen Fall zunächst eine Überprüfung aller Daten. Anschließend wird der Service freigeschaltet, wobei in diesem Fall der Service nur in Verbindung mit der anfangs bekannten Kreditkartennummer funktioniert, unter der der Servicenutzer auch bei der Kreditkartenorganisation gemeldet ist, die die PIN übermittelt hat. Die Mobilfunk-Teilnehmernummer kann jederzeit vom Servicenutzer durch eine erneute Registrierung mit der PIN geändert werden.
Das erfindungsgemäße Verfahren zur Sicherung von Transaktionen kann bei beliebigen Vorgängen eingesetzt werden. Es kann beispielsweise direkt im Online-Banking-Verfahren verwendet werden. Außerdem kann es auch für Einkäufe über das Internet und die darauf folgende Zahlung verwendet werden. Der Serviceanbieter braucht hierbei nicht zwangsläufig mit dem Internetshop-Betreiber identisch zu sein. Es muss lediglich eine entsprechende - direkte oder indirekte - Verbindung zwischen Serviceanbieter und Shop-Betreiber bestehen, d. h. Shop-Betreiber und Serviceanbieter sind beispielsweise Vertragspartner oder sind über einen gemeinsamen Vertragspartner miteinander verbunden. Bei dem Serviceanbieter kann es sich beispielsweise auch um die Kreditkartenorganisation oder den Mobilfunknetz-Anbieter selbst handeln. Es kann sich aber auch um eine vollständig eigenständige Organisation handeln, die mit den verschiedenen anderen Organisationen und Betreibern in Geschäftsverbindung steht.
Das erfindungsgemäße Verfahren bietet außerdem die Möglichkeit, dass mit dem Transaktionskennwort und/oder der PIN weitere Informationen an das mobile Kommunikationsendgerät des Servicenutzers übermittelt werden. Bei diesen zusätzlichen Informationen kann es sich beispielsweise um aktuelle Informationen über den Dienst selbst handeln. Es kann sich aber auch um Werbung oder ähnliches handeln. In diesem Fall ist beispielsweise auch eine Finanzierung des Service über die mit dem Transaktionskennwort oder der PIN gesendete Werbung möglich, so dass für die Shop-Betreiber, den Servicenutzer, für die beteiligte Kreditkartenorganisation oder den Mobilfunknetz-Anbieter keine zusätzlichen Kosten entstehen.
Da die Nachrichten auf ein mobiles Kommunikationsendgerät über ein Mobilfunknetz übermittelt werden, ist das Verfahren äußerst flexibel, d. h. der Servicenutzer ist nicht darauf angewiesen, die Transaktionen von seinem eigenen PC an einem festen Standort durchzuführen, sondern kann jeden beliebigen ihm zur Verfügung stehenden Rechner nutzen. Das erfindungsgemäße Verfahren ist folglich überall dort einsetzbar, wo der Kunde mit seinem mobilen Kommunikationsendgerät erreichbar ist, d. h. bei Verwendung eines Mobilfunkgeräts auch international dort, wo Roaming möglich ist. Es wird keine spezielle Infrastruktur wie beispielsweise ein Smart-Card-Terminal am gerade vom Kunden benutzten Computer benötigt.
Das gesamte Verfahren der Registrierung der Kunden, der Übermittlung von Identifizierungsnummern sowie von Transaktions-Kennworten sowie die Überprüfung der verschiedenen Daten kann vollautomatisch über einen geeigneten Computer, beispielsweise einen Server des Servicebetreibers, erfolgen, auf dem ein entsprechendes Computerprogramm implementiert ist.
Die Erfindung wird im Folgenden noch einmal anhand konkreter Ausführungsbeispiele erläutert:
Bei den folgenden Ausführungsbeispielen wird jeweils davon ausgegangen, dass es sich bei dem Transaktionskennwort um eine Nummer, d. h. eine TAN, handelt. Außerdem wird davon ausgegangen, dass die Übermittlung der verschiedenen TAN und der PIN über SMS auf ein Mobilfunk gerät des Servicenutzers erfolgt. Ebenso erfolgt die letztendliche Zahlung immer über eine Kreditkarte des Servicenutzers, wobei die Belastung der Kreditkarte des Servicenutzers durch den Serviceanbieter auf eine allgemein bekannte, übliche Weise erfolgen kann. Selbstverständlich ist die Erfindung nicht auf diese konkreten Ausführungsbeispiele beschränkt.
Beim ersten Ausführungsbeispiel handelt es sich um einen Spontankauf eines bisher beim Serviceanbieter nicht registrierten Servicenutzers.
Voraussetzung für die Abwicklung einer sicheren Kreditkartenzahlung ist auch hier ein Konsistenz-Abgleich der Servicenutzer-Daten, nämlich der Kreditkartennummer, der Mobilfunknummer sowie der Adresse und des Namens des Servicenutzers. Dieser Konsistenz-Abgleich erfolgt zwischen Serviceanbieter, Mobilfunknetz-Anbieter und Kreditkartenorganisation.
Während des Shoppens am PC, nach Aktivieren eines Bezahlvorgangs, wird der Servicenutzer auf den Internet-Server bzw. eine Website des Servicebetreibers weitergeleitet. Hier gibt der Servicenutzer in einer entsprechenden Dialogmaske auf seinem PC seine Kreditkartennummer und seine Mobilfunknummer ein, die mittels eine sicheren Übertragung, beispielsweise mittels SSL, zum Server übertragen werden. Name und Adresse können hier ebenfalls eingegeben werden und mit übertragen werden. In der Regel sind die Daten aber bereits auf der Website des Internet-Shops angegeben worden, da diese Daten ja auch zur Auslieferung der Ware benötigt werden. Diese Daten können daher beim Weiterleiten des Servicenutzers auf den Internet-Server bzw. die Website des Servicebetreibers auch direkt vom Shop-Betreiber an den Servicebetreiber weitergegeben werden.
Der Serviceanbieter führt dann den notwendigen Abgleich aller Servicenutzer-Daten mittels einer entsprechenden Datenbank-Abfrage beim Mobilfunkbetreiber und einer gleichzeitigen Datenbankabfrage bei der Kreditkartengesellschaft durch. Bei positivem Abfrageergebnis ist der Service freigeschaltet, und der Servicenutzer erhält eine einmalige TAN für diesen Bezahlvorgang mittels SMS auf sein Mobilfunkgerät zugeschickt. Es erfolgt dann die Eingabe der TAN durch den Servicenutzer am PC in eine entsprechende Eingabemaske. Schließlich wird die TAN vom PC zum Hintergrundsystem, beispielsweise zum Internet-Server des Servicebetreibers, gesendet. Es erfolgt dann ein Vergleich der an den Servicenutzer gesendeten TAN mit der dort hinterlegten TAN. Bei erfolgreichem Vergleich erfolgt die Belastung auf dem Kreditkartenkonto des Servicenutzers. Der Servicenutzer selbst erhält eine Bestätigung der erfolgreichen Kreditkartenzahlung.
Beim zweiten Ausführungsbeispiel wird davon ausgegangen, dass der Servicenutzer bereits beim Serviceanbieter zuvor registriert ist und im Zuge des Registrierungsvorgangs eine eindeutige PIN erhalten hat.
Hierbei meldet sich der registrierte Servicenutzer während des Shoppens am PC auf dem Internetserver des Servicebetreibers mittels seiner PIN über einen sicheren Kanal an. Anschließend wird die PIN beim Servicebetreiber überprüft und der Service für die aktuelle Sitzung freigeschaltet. Der Servicenutzer hat dann beispielsweise die Möglichkeit, innerhalb eines Internet-Shop einen Warenkorb zusammenzustellen. Nachdem der Warenkorb zusammengestellt wurde, muss dann der Servicenutzer nur noch den Bezahlvorgang, beispielsweise mittels eines Button auf der Website des Serviceanbieters, aktivieren. Daraufhin wird sofort die TAN auf das Mobilfunkgerät des Servicenutzers übermittelt. Auch hier wird dann die TAN vom Servicenutzer am PC in eine Eingabemaske eingegeben und über das Computernetzwerk zurückübermittelt. Nach erfolgreichem Vergleich der TAN wird wiederum das Kreditkartenkonto das Servicenutzers belastet, und es erfolgt eine Bestätigung der erfolgreichen Kreditkartenzahlung.
Selbstverständlich ist es möglich, dass der Servicenutzer unter verschiedenen Kreditkartengesellschaften auswählt, von denen er jeweils Kreditkarten besitzt. Dies kann innerhalb einer Eingabemaske auf der Website des Serviceanbieters abgefragt werden. Selbst im Falle einer zuvor erfolgten Registrierung besteht diese Möglichkeit, sofern der Servicenutzer bei der Registrierung die verschiedenen Kreditkartengesellschaften mit den entsprechenden Kreditkartennummern angegeben hat. Ebenso kann zwischen verschiedenen Mobilfunkgeräten mit unterschiedlichen Mobilfunknummern gewählt werden, sofern dies zuvor bei der Registrierung angegeben worden ist.
Für die Registrierung gibt es ebenfalls mehrere Alternativen, wobei im Folgenden vier verschiedene Beispiele genannt werden.
Bei der ersten Version kennt der Serviceanbieter den Servicenutzer bereits als Kreditkartenhalter, d. h. es sind ihm Name, Adresse und Kreditkartennummer bekannt. Dies ist beispielsweise dann der Fall, wenn der Servicebetreiber selbst die betreffende Kreditkartenorganisation ist oder mit einer solchen in geschäftlicher Verbindung steht und die Daten untereinander austauscht.
In diesem Fall bekommt der Servicenutzer von seiner Kreditkartenorganisation oder einem damit verbundenen Dienstleister eine PIN zur Nutzung des Service zugestellt. Mittels dieser PIN kann sich der Servicenutzer auf dem Server des Serviceanbieters einloggen und seine Mobilfunknummer zur Benutzung des Service eingeben. Damit wird der Service freigeschaltet. Der Service funktioniert nur mit der Kreditkartennummer, die dem Serviceanbieter bereits bekannt ist. Die Mobilfunknummer kann jederzeit durch erneutes Einloggen unter Eingabe der PIN geändert werden.
Bei der zweiten Version kennt der Serviceanbieter den Servicenutzer bereits in seiner Person als Mobilfunknutzer, d. h. dem Serviceanbieter sind Name, Adresse und Mobilfunknummer bekannt. Dies ist beispielsweise der Fall, wenn der Servicebetreiber selbst der Mobilfunknetzbetreiber ist oder mit diesem in Verbindung steht.
In diesem Fall bekommt der Servicenutzer von seinem Mobilfunknetzbetreiber oder einem damit verbundenen Dienstleister die PIN zur Nutzung des Service zugestellt. Mittels der PIN loggt sich der Servicenutzer wiederum auf dem Server des Serviceanbieters ein und gibt seine Kreditkartennummer zur Nutzung des Service ein. In diesem Fall funktioniert der Service nur mit der dem Serviceanbieter bereits bekannten Mobilfunkteilnehmernummer. Die Kreditkartennummer kann jederzeit unter Eingabe der PIN wieder geändert werden.
Bei einer dritten Version erfolgt die Registrierung in einem Mobilfunkladen. Hier werden ebenfalls Name, Adresse und Mobilfunknummer registriert, und der Servicenutzer erhält beispielsweise einen PIN-Brief. Diese Registrierung kann auch beim Postboten oder im Postamt erfolgen. Mittels der zugestellten PIN kann sich der Servicenutzer auf dem Server des Serviceanbieters einloggen und wiederum seine Kreditkartennummer zur Nutzung des Service eingeben. Auch dann erfolgt der Service nur mit der anfangs registrierten Mobilfunknummer.
Selbstverständlich ist bei dieser dritten Alternative auch die Möglichkeit gegeben, dass beispielsweise beim Postboten oder im Postamt anstelle der Mobilfunknummer die Kreditkartennummer mit der betreffenden Kreditkartenorganisation registriert wird und anschließend mittels der PIN die Mobilfunkteilnehmernummer angegeben und gegebenenfalls geändert wird.
Das vierte Registrierungsbeispiel ist eine reine Online-Registrierung.
Voraussetzung für diese reine Online-Registrierung ist wiederum ein Konsistenz-Abgleich der angegebenen Servicenutzer-Daten zwischen dem Serviceanbieter, dem betreffenden Mobilfunknetz-Anbieter und der Kreditkartenorganisation.
Hierbei loggt sich der Servicenutzer auf einer speziellen Registrierungs-Web- Site des Serviceanbieters ein und gibt dort Namen, Adresse sowie Kreditkartennummer und Mobilfunkteilnehmernummer an. Der Serviceanbieter führt anschließend einen Abgleich der Servicenutzer-Daten mittels einer Datenbankabfrage beim Mobilfunknetz-Anbieter und eine Datenbankabfrage bei der Kreditkartengesellschaft durch. Nur bei positiven Abfrageergebnissen ist der Service freigeschaltet, und der Servicenutzer erhält eine PIN zur Nutzung des Service. Diese PIN kann auf beliebigem Wege, beispielsweise per Post, übermittelt werden. Vorzugsweise erfolgt jedoch diese PIN-Übertragung ebenfalls über das Mobilfunknetz auf das Mobilfunkgerät unter der eingegebenen Mobilfunk-Nummer. Die Übertragung der PIN kann hierbei ebenfalls über SMS erfolgen. Dieses Verfahren hat den Vorteil, dass der Servicenutzer nicht erst auf die Zustellung eines Briefs warten muss, sondern die Übermittlung der PIN unmittelbar nach der Online-Registrierung erfolgen kann und somit der Dienst dem Servicenutzer sofort zur Verfügung steht.
Anhand der Figur wird nachfolgend noch einmal ein weiteres Ausführungsbeispiel für eine Nutzung nach einer zuvor erfolgten Registrierung beschrieben, wobei bei diesem speziellen Ausführungsbeispiel der Internet-Shop (Web-Shop) nicht direkt mit dem Serviceanbieter in Kontakt steht, sondern ein weiterer Dienstleister, hier ein Payment-Service- Provider (PSP) zwischengeschaltet ist.
Auch hier loggt sich der Servicenutzer zunächst über das Internet beim gewünschten Web-Shop ein und führt dort eine Bestellung aus. Zur Einziehung des dafür fälligen Betrags sendet der Web-Shop den Betrag beispielsweise gemeinsam mit Namen und Adresse des Servicenutzers an den Payment-Service-Provider. Dieser erteilt schließlich dem Serviceanbieter einen Auftrag zur Kundenidentifizierung. Gleichzeitig wird der Servicenutzer automatisch auf die Website des Serviceanbieters weitergeleitet. Hier muß der Nutzer zunächst die PIN zum Freischalten des Bezahlservice angeben. Anschließend werden die Daten bzw. die PIN des Servicenutzers auf Konsistenz überprüft und auch mit den vom Payment- Service-Provider erhaltenen Daten verglichen. Nach erfolgreicher Überprüfung sendet der Serviceanbieter über das GSM-Netz eine TAN an das Mobilfunkgerät des Servicenutzers, der wiederum die TAN vom Display des Mobilfunkgeräts abliest und zur Transaktionsbestätigung an entsprechender Stelle in eine Eingabemaske auf seinem PC eingibt. Die TAN wird dann über das Internet zur Prüfung an den Serviceanbieter gesendet. Bei erfolgreicher Überprüfung der TAN wird dem Payment-Service-Provider ein "Kunde-O.K."-Signal übermittelt. Der Payment-Service-Provider sorgt schließlich für das Einziehen des Betrags von einem Kreditkartenkonto des Servicenutzers und quittiert die erfolgreiche Zahlung an den Web-Shop mit einem "Payment-O.K." Signal.

Claims (12)

1. Verfahren zum Absichern einer Transaktion über ein Computernetzwerk, bei dem an einen Servicenutzer ein einmaliges Transaktionskennwort übermittelt wird, welches zur Transaktionsbestätigung vom Servicenutzer über das Computernetzwerk an einen Serviceanbieter übermittelt wird, wobei das Transaktionskennwort über ein Mobilfunknetz an ein mobiles Kommunikationsendgerät des Servicenutzers übermittelt wird, dadurch gekennzeichnet, dass vor einer Übermittlung des Transaktions-Kennworts an den Servicenutzer eine Überprüfung persönlicher Servicenutzer-Daten erfolgt.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Transaktionskennwort während oder unmittelbar vor einer Transaktion an den Servicenutzer übermittelt wird.
3. Verfahren nach einem der Ansprüche 1 bis 2, dadurch gekennzeichnet, dass zumindest ein Teil der Servicenutzer-Daten während einer Transaktion vom Servicenutzer über das Computernetzwerk an den Serviceanbieter übermittelt werden.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass zumindest ein Teil der Servicenutzer-Daten bei einem ersten Registriervorgang vor einer erstmaligen Transaktion an den Serviceanbieter übermittelt werden und diese Servicenutzer-Daten geprüft werden und dem Servicenutzer bei erfolgter Registrierung eine dem Servicenutzer zugeordnete persönliche Identifizierungsnummer übermittelt wird und bei einer Transaktion die persönliche Identifizierungsnummer vom Servicenutzer an den Serviceanbieter übermittelt wird und vom Serviceanbieter zusammen mit den oder anstelle der Servicenutzer-Daten die persönliche Identifizierungsnummer geprüft wird.
5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die persönliche Identifizierungsnummer über ein Mobilfunknetz an das mobile Kommunikationsendgerät des Servicenutzer übermittelt wird.
6. Verfahren nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass vom Servicenutzer an den Serviceanbieter unter Angabe der persönlichen Identifizierungsnummer Servicenutzer-Daten übermittelt werden, die bei nachfolgenden Transaktionen verwendet werden.
7. Verfahren nach einem der Ansprüche 2 bis 6, dadurch gekennzeichnet, dass die Servicenutzer-Daten einen Namen und/oder eine Adresse und/oder eine Kreditkartennummer und/oder eine Mobilfunk- Teilnehmernummer des Servicenutzers umfassen.
8. Verfahren nach Anspruch 6 oder 7, dadurch gekennzeichnet, dass der Servicenutzer die persönliche Identifizierungsnummer von einem Mobilfunknetzbetreiber oder einem damit verbundenen Dienstleister übermittelt wird und unter Angabe der persönlichen Identifizierungsnummer vom Servicenutzer dem Serviceanbieter eine Kreditkartennummer übermittelt wird, die bei nachfolgenden Transaktionen verwendet wird.
9. Verfahren nach Anspruch 6 oder 7, dadurch gekennzeichnet, dass der Servicenutzer die persönliche Identifizierungsnummer von einer Kreditkartenorganisation oder einem damit verbundenen Dienstleister übermittelt wird, und unter Angabe der persönlichen Identifizierungsnummer vom Servicenutzer dem Serviceanbieter eine Mobilfunk-Teilnehmernummer übermittelt wird, die bei nachfolgenden Transaktionen verwendet wird.
10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass die Servicenutzer-Daten und/oder die persönliche Identifizierungsnummer gesichert über das Computernetzwerk übermittelt wird.
11. Verfahren nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass das Transaktionskennwort oder die persönliche Identifizierungsnummer als Textnachricht übermittelt wird.
12. Verfahren nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass mit dem Transaktionskennwort und/oder der persönlichen Identifizierungsnummer zusätzliche Informationen zum Kommunikationsendgerät des Servicenutzers übermittelt werden.
DE10045924A 2000-09-14 2000-09-14 Verfahren zum Absichern einer Transaktion auf einem Computernetzwerk Ceased DE10045924A1 (de)

Priority Applications (9)

Application Number Priority Date Filing Date Title
DE10045924A DE10045924A1 (de) 2000-09-14 2000-09-14 Verfahren zum Absichern einer Transaktion auf einem Computernetzwerk
US10/362,367 US20040039651A1 (en) 2000-09-14 2001-09-13 Method for securing a transaction on a computer network
RU2003109605/09A RU2003109605A (ru) 2000-09-14 2001-09-13 Способ защиты транзакции в компьютерной сети
AU2002212238A AU2002212238A1 (en) 2000-09-14 2001-09-13 Method for securing a transaction on a computer network
EP01980382A EP1374011A2 (de) 2000-09-14 2001-09-13 Verfahren zum absichern einer transaktion auf einem computernetzwerk
CNA018152414A CN1478260A (zh) 2000-09-14 2001-09-13 用于保护在计算机网络上的交易的方法
PCT/EP2001/010606 WO2002023303A2 (de) 2000-09-14 2001-09-13 Verfahren zum absichern einer transaktion auf einem computernetzwerk
JP2002527888A JP2004509409A (ja) 2000-09-14 2001-09-13 コンピュータネットワーク上の取引を保護するための方法
PL01365731A PL365731A1 (en) 2000-09-14 2001-09-13 Method for securing a transaction on a computer network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10045924A DE10045924A1 (de) 2000-09-14 2000-09-14 Verfahren zum Absichern einer Transaktion auf einem Computernetzwerk

Publications (1)

Publication Number Publication Date
DE10045924A1 true DE10045924A1 (de) 2002-04-04

Family

ID=7656498

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10045924A Ceased DE10045924A1 (de) 2000-09-14 2000-09-14 Verfahren zum Absichern einer Transaktion auf einem Computernetzwerk

Country Status (9)

Country Link
US (1) US20040039651A1 (de)
EP (1) EP1374011A2 (de)
JP (1) JP2004509409A (de)
CN (1) CN1478260A (de)
AU (1) AU2002212238A1 (de)
DE (1) DE10045924A1 (de)
PL (1) PL365731A1 (de)
RU (1) RU2003109605A (de)
WO (1) WO2002023303A2 (de)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10230848A1 (de) * 2002-07-04 2004-01-22 Fiducia Ag Karlsruhe/Stuttgart Verfahren und Datenverarbeitungssystem zur datentechnisch gesicherten Kommunikation zwischen Behörden und Bürgern
EP1406459A1 (de) * 2002-10-04 2004-04-07 Stephan Kessler Verfahren zur mehrfaktorfähigen Authentifizierung durch Passwortübermittlung über mobile Endgeräte mit optionaler Pin
DE10343566A1 (de) * 2003-09-19 2005-05-04 Brunet Holding Ag Verfahren zur Abwicklung einer elektronischen Transaktion
WO2007036399A1 (de) * 2005-09-28 2007-04-05 Nokia Siemens Networks Gmbh & Co. Kg Verfahren und vorrichtung zur vermeidung des empfangs unerwünschter nachrichten in einem ip-kommunikationsnetzwerk
DE102007032469A1 (de) * 2007-07-10 2009-01-15 Biotronik Crm Patent Ag Anordnung für die Fernprogrammierung eines persönlichen medizinischen Gerätes
EP2154656A2 (de) 2008-08-14 2010-02-17 Giesecke & Devrient GmbH Phototoken
DE102008045119A1 (de) * 2008-09-01 2010-03-04 Deutsche Telekom Ag Verfahren zur Durchführung eines Bezahlvorgangs
US8239025B2 (en) 2007-07-28 2012-08-07 Biotronik Crm Patent Ag System and method for the remote programming of a personal medical device
DE102012003859A1 (de) * 2012-02-27 2013-08-29 Giesecke & Devrient Gmbh Verfahren und System zum Durchführen eines Bezahlvorgangs

Families Citing this family (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10229477A1 (de) * 2002-07-01 2004-01-29 Siemens Ag Bezahlsystem für bargeldlosen Zahlungsverkehr
US9064281B2 (en) 2002-10-31 2015-06-23 Mastercard Mobile Transactions Solutions, Inc. Multi-panel user interface
WO2006049585A1 (en) * 2004-11-05 2006-05-11 Mobile Money International Sdn Bhd Payment system
FI20050777A7 (fi) * 2005-07-21 2007-01-22 Vesa Juvonen Menetelmä ja järjestelmä palvelujen käyttämiseksi tietoliikenneverkossa
US20130339232A1 (en) 2005-10-06 2013-12-19 C-Sam, Inc. Widget framework for securing account information for a plurality of accounts in a wallet
JP2009512018A (ja) 2005-10-06 2009-03-19 シー・サム,インコーポレイテッド トランザクションサービス
US20140089120A1 (en) 2005-10-06 2014-03-27 C-Sam, Inc. Aggregating multiple transaction protocols for transacting between a plurality of distinct payment acquiring devices and a transaction acquirer
US8934865B2 (en) 2006-02-02 2015-01-13 Alcatel Lucent Authentication and verification services for third party vendors using mobile devices
JP4693171B2 (ja) * 2006-03-17 2011-06-01 株式会社日立ソリューションズ 認証システム
US20070239621A1 (en) * 2006-04-11 2007-10-11 Igor Igorevich Stukanov Low cost, secure, convenient, and efficient way to reduce the rate of fraud in financial and communication transaction systems
US8549301B2 (en) * 2006-09-15 2013-10-01 Comfact Ab Method and computer system for ensuring authenticity of an electronic transaction
WO2008156424A1 (en) * 2007-06-21 2008-12-24 Fredrik Schell Method for verification of a payment, and a personal security device for such verification
EP2216742A1 (de) * 2009-02-09 2010-08-11 C. Patrick Reich Mobiles Zahlungsverfahren und Vorrichtungen
US9715681B2 (en) 2009-04-28 2017-07-25 Visa International Service Association Verification of portable consumer devices
US8326759B2 (en) * 2009-04-28 2012-12-04 Visa International Service Association Verification of portable consumer devices
US20100276484A1 (en) * 2009-05-01 2010-11-04 Ashim Banerjee Staged transaction token for merchant rating
US8534564B2 (en) 2009-05-15 2013-09-17 Ayman Hammad Integration of verification tokens with mobile communication devices
US10846683B2 (en) 2009-05-15 2020-11-24 Visa International Service Association Integration of verification tokens with mobile communication devices
US8893967B2 (en) 2009-05-15 2014-11-25 Visa International Service Association Secure Communication of payment information to merchants using a verification token
US9105027B2 (en) 2009-05-15 2015-08-11 Visa International Service Association Verification of portable consumer device for secure services
US9038886B2 (en) 2009-05-15 2015-05-26 Visa International Service Association Verification of portable consumer devices
RU2395118C1 (ru) * 2009-08-05 2010-07-20 Закрытое акционерное общество "МОБИ.Деньги" Система защиты платежных систем
EP2465082A4 (de) * 2009-08-14 2015-04-01 Payfone Inc System und verfahren zur zahlung einer ware mit einem mobiltelefonkonto
US20120185398A1 (en) * 2009-09-17 2012-07-19 Meir Weis Mobile payment system with two-point authentication
WO2011032596A1 (en) * 2009-09-18 2011-03-24 Bankgirocentralen Bgc Ab Electronic transfer of money
US20110119190A1 (en) * 2009-11-18 2011-05-19 Magid Joseph Mina Anonymous transaction payment systems and methods
CN102906776A (zh) 2010-03-31 2013-01-30 帕特尔有限公司 一种用于用户和服务提供商之间双向认证的方法
US8527417B2 (en) 2010-07-12 2013-09-03 Mastercard International Incorporated Methods and systems for authenticating an identity of a payer in a financial transaction
EP2490165A1 (de) * 2011-02-15 2012-08-22 Mac Express Sprl Verfahren zur Autorisierung einer Transaktion
KR101895243B1 (ko) 2011-03-04 2018-10-24 비자 인터네셔널 서비스 어소시에이션 지불 능력을 컴퓨터들의 보안 엘리먼트들에 통합
ITPI20110028A1 (it) * 2011-03-28 2012-09-29 Iamboo S R L Metodo e apparecchiatura per l'autenticazione forte di un utente
EP2562704A1 (de) * 2011-08-25 2013-02-27 TeliaSonera AB Online-Bezahlsystem und Netzwerkelement, System und Computerprogrammprodukt dafür
CN104106276B (zh) 2011-10-12 2019-03-19 万事达移动交易方案公司 多层安全移动交易使能平台
JP5675662B2 (ja) * 2012-01-11 2015-02-25 Aosテクノロジーズ株式会社 ショートメッセージ決済システム
US10282724B2 (en) 2012-03-06 2019-05-07 Visa International Service Association Security system incorporating mobile device
US9672519B2 (en) 2012-06-08 2017-06-06 Fmr Llc Mobile device software radio for securely passing financial information between a customer and a financial services firm
US8639619B1 (en) 2012-07-13 2014-01-28 Scvngr, Inc. Secure payment method and system
US20140279554A1 (en) * 2013-03-12 2014-09-18 Seth Priebatsch Distributed authenticity verification for consumer payment transactions
NL2010810C2 (en) * 2013-05-16 2014-11-24 Reviva B V System and method for checking the identity of a person.
US8770478B2 (en) 2013-07-11 2014-07-08 Scvngr, Inc. Payment processing with automatic no-touch mode selection
SE538681C2 (sv) * 2014-04-02 2016-10-18 Fidesmo Ab Koppling av betalning till säker nedladdning av applikationsdata
US11206266B2 (en) 2014-06-03 2021-12-21 Passlogy Co., Ltd. Transaction system, transaction method, and information recording medium
US10304042B2 (en) 2014-11-06 2019-05-28 Early Warning Services, Llc Location-based authentication of transactions conducted using mobile devices
US9619636B2 (en) 2015-02-06 2017-04-11 Qualcomm Incorporated Apparatuses and methods for secure display on secondary display device
US20190385143A1 (en) * 2018-06-19 2019-12-19 McNabb Technologies, LLC a/k/a TouchCR System and method for confirmation of credit transactions
FR3114181A1 (fr) * 2020-09-14 2022-03-18 Adel BEDADI Procede et systeme de securisation et protection des paiements realises par carte bancaire et/ou de credit et cheque bancaire.

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19718103A1 (de) * 1997-04-29 1998-06-04 Kim Schmitz Verfahren zur Autorisierung in Datenübertragungssystemen

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5809144A (en) 1995-08-24 1998-09-15 Carnegie Mellon University Method and apparatus for purchasing and delivering digital goods over a network
FI112895B (fi) * 1996-02-23 2004-01-30 Nokia Corp Menetelmä ainakin yhden käyttäjäkohtaisen tunnistetiedon hankkimiseksi
US6058250A (en) * 1996-06-19 2000-05-02 At&T Corp Bifurcated transaction system in which nonsensitive information is exchanged using a public network connection and sensitive information is exchanged after automatically configuring a private network connection
WO1998002852A1 (de) * 1996-07-12 1998-01-22 Ulrich Seng Verfahren zur bargeldlosen bezahlung von aus einem verteilten, nicht-verbindungsorientierten datennetz abrufbaren diensten
JPH1125046A (ja) * 1997-07-03 1999-01-29 Oki Electric Ind Co Ltd 通信情報の保護方法
FR2769446B1 (fr) * 1997-10-02 2000-01-28 Achille Joseph Marie Delahaye Systeme d'identification et d'authentification
US20020035539A1 (en) * 2000-07-17 2002-03-21 O'connell Richard System and methods of validating an authorized user of a payment card and authorization of a payment card transaction

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19718103A1 (de) * 1997-04-29 1998-06-04 Kim Schmitz Verfahren zur Autorisierung in Datenübertragungssystemen

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10230848A1 (de) * 2002-07-04 2004-01-22 Fiducia Ag Karlsruhe/Stuttgart Verfahren und Datenverarbeitungssystem zur datentechnisch gesicherten Kommunikation zwischen Behörden und Bürgern
EP1406459A1 (de) * 2002-10-04 2004-04-07 Stephan Kessler Verfahren zur mehrfaktorfähigen Authentifizierung durch Passwortübermittlung über mobile Endgeräte mit optionaler Pin
DE10343566A1 (de) * 2003-09-19 2005-05-04 Brunet Holding Ag Verfahren zur Abwicklung einer elektronischen Transaktion
US8756162B2 (en) 2003-09-19 2014-06-17 Google Inc. Method for carrying out an electronic transaction
WO2007036399A1 (de) * 2005-09-28 2007-04-05 Nokia Siemens Networks Gmbh & Co. Kg Verfahren und vorrichtung zur vermeidung des empfangs unerwünschter nachrichten in einem ip-kommunikationsnetzwerk
DE102007032469A1 (de) * 2007-07-10 2009-01-15 Biotronik Crm Patent Ag Anordnung für die Fernprogrammierung eines persönlichen medizinischen Gerätes
US8239025B2 (en) 2007-07-28 2012-08-07 Biotronik Crm Patent Ag System and method for the remote programming of a personal medical device
EP2154656A2 (de) 2008-08-14 2010-02-17 Giesecke & Devrient GmbH Phototoken
DE102008037793A1 (de) 2008-08-14 2010-02-18 Giesecke & Devrient Gmbh Phototoken
DE102008045119A1 (de) * 2008-09-01 2010-03-04 Deutsche Telekom Ag Verfahren zur Durchführung eines Bezahlvorgangs
DE102012003859A1 (de) * 2012-02-27 2013-08-29 Giesecke & Devrient Gmbh Verfahren und System zum Durchführen eines Bezahlvorgangs

Also Published As

Publication number Publication date
AU2002212238A1 (en) 2002-03-26
JP2004509409A (ja) 2004-03-25
RU2003109605A (ru) 2004-09-27
PL365731A1 (en) 2005-01-10
WO2002023303A3 (de) 2003-10-30
US20040039651A1 (en) 2004-02-26
EP1374011A2 (de) 2004-01-02
WO2002023303A2 (de) 2002-03-21
CN1478260A (zh) 2004-02-25

Similar Documents

Publication Publication Date Title
DE10045924A1 (de) Verfahren zum Absichern einer Transaktion auf einem Computernetzwerk
DE69904570T2 (de) Verfahren, anordnung und einrichtung zur authentifizierung durch ein kommunikationsnetz
DE69830993T2 (de) Elektronische transaktion und chipkarte für eine elektronische transaktion
DE69913929T2 (de) Gesichertes Bezahlungsverfahren
AT512070B1 (de) Verfahren und vorrichtung zum durchführen von bargeldlosen zahlungen
EP1203357B1 (de) Sms-e-commerce
DE60308385T2 (de) Verfahren zur Unterstützung bargeldloser Zahlung
DE212010000059U1 (de) Veränderbarer Sicherheitswert
WO2002011082A9 (de) Elektronischer zahlungsverkehr mit sms
EP1149367A1 (de) Verfahren zur durchführung bargeldloser zahlungen und system zur durchführung des verfahrens
DE60032343T2 (de) Verfahren und vorrichtung zum elektronischen geschäftsverkehr
DE69908382T2 (de) Verfahren zum elektronischen bezahlen
DE60122912T2 (de) Verfahren zum liefern von identifikationsdaten einer bezahlkarte an einen anwender
EP1374189A2 (de) Verfahren zum sichern von digitalen waren beim verkauf über ein computernetzwerk
DE10054633C2 (de) Verfahren und System zum Kontrollieren des Zugangs zu Waren und Dienstleistungen
EP1034676A1 (de) Verfahren und informationssystem zur übertragung von informationen auf identifikationskarten
WO2006108831A1 (de) Verfahren zur bestätigung einer dienstleistungsanforderung
DE3619566C2 (de)
DE60122940T2 (de) Verfahren zum Online-Einkaufen mit hoher Betriebssicherheit
EP1915729B1 (de) Vorrichtung, verfahren und anlagensystem zur interaktion mit einem benutzer sowie verfahren zur aufnahme eines benutzers in eine geschlossene benutzergruppe
DE10008280C1 (de) Verfahren und System zur automatischen Abwicklung von bargeldlosen Kaufvorgängen
EP1274971A2 (de) Verfahren zur sicheren bezahlung von lieferungen und leistungen in offenen netzwerken
EP1047028A1 (de) Kommunikationssytem und Verfahren zur effizienten Durchführung von elektronischen Transaktionen in mobilen Kommunikationsnetzen
DE10065067B4 (de) Verfahren zum Verifizieren nutzerspezifischer Informationen in einem Daten- und/oder Kommunikationssystem sowie Daten- und/oder Kommunikationssystem
DE10218729B4 (de) Verfahren zum Authentifizieren und/oder Autorisieren von Personen

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection