DE102004009348A1 - Verfahren zum Betreiben eines Systems mit wenigstens einem Gerät und wenigstens einer Institution - Google Patents

Verfahren zum Betreiben eines Systems mit wenigstens einem Gerät und wenigstens einer Institution Download PDF

Info

Publication number
DE102004009348A1
DE102004009348A1 DE102004009348A DE102004009348A DE102004009348A1 DE 102004009348 A1 DE102004009348 A1 DE 102004009348A1 DE 102004009348 A DE102004009348 A DE 102004009348A DE 102004009348 A DE102004009348 A DE 102004009348A DE 102004009348 A1 DE102004009348 A1 DE 102004009348A1
Authority
DE
Germany
Prior art keywords
message
institution
terminal
answer
user authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102004009348A
Other languages
English (en)
Inventor
Klaus Finkenzeller
Thomas BRÄUTIGAM
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient Mobile Security GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE102004009348A priority Critical patent/DE102004009348A1/de
Publication of DE102004009348A1 publication Critical patent/DE102004009348A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/42Confirmation, e.g. check or permission by the legal debtor of payment
    • G06Q20/425Confirmation, e.g. check or permission by the legal debtor of payment using two different networks, one for transaction and one for security confirmation
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Finance (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Betreiben eines Systems mit wenigstens einem ersten Gerät (1), das über eine Funktionalität verfügt, für deren Nutzung eine Benutzerauthentisierung erforderlich ist, und wenigstens einer mit der Nutzung des ersten Geräts (1) im Zusammenhang stehenden Institution (2), die entfernt vom ersten Gerät (1) angeordnet ist. Die Besonderheit des erfindungsgemäßen Verfahrens besteht darin, dass beim Auftreten eines auslösenden Ereignisses, welches darauf schließen lässt, dass sich das erste Gerät (1) im Besitz eines Unberechtigten befindet, vom ersten Gerät (1) eine Nachricht (10) erzeugt wird, die an die Institution (9) gerichtet ist.

Description

  • Die Erfindung betrifft ein Verfahren zum Betreiben eines Systems mit wenigstens einem Gerät und wenigstens einer mit der Nutzung des Geräts in Zusammenhang stehenden Institution.
  • Es ist bereits bekannt, in einem sicheren Bereich eines Endgeräts, beispielsweise eines Computers oder eines Mobilfunktelefons, einen Datensatz mit geheimen Daten wie beispielsweise Passwörtern, Zugangsberechtigungen usw. zu speichern, die für die Ausführung einer Applikation mit dem Endgerät bzw. zur Herstellung eines Systemzugangs erforderlich sind. Insbesondere ist es auch bekannt, mehrere Datensätze für unterschiedliche Applikationen oder Systemzugänge zu speichern und die Nutzung der Datensätze durch eine gemeinsame Authentisierungsroutine abzusichern. Dies ermöglicht zwar einen für den Benutzer sehr komfortablen Einsatz des Endgeräts, birgt aber das Risiko, dass bei einem Verlust des Endgeräts der widerrechtliche Besitzer alle Applikationen nutzen kann bzw. Zugang zu einer Reihe von Systemen erlangt, wenn ihm eine erfolgreiche Authentisierung gelingt. Der potentielle Schaden ist somit relativ hoch.
  • Besonders problematisch kann es werden, wenn das Endgerät mit einem NFC-Baustein ausgerüstet ist, der eine kontaktlose Datenübertragung im Nahbereich ermöglicht. NFC steht für Near Field Communication und bezieht sich auf eine kontaktlose Datenübertragung mit einer Reichweite von typischerweise 20 cm. Das dabei eingesetzte Verfahren zur Datenübertragung wird in ähnlicher Form auch bei kontaktlosen Chipkarten angewendet. Daher ist es in der Regel möglich, ein Endgerät mit NFC-Baustein sowohl als Chipkartenleser als auch als Chipkarte einzusetzen. Daneben besteht noch die Möglichkeit, das Endgerät als einen direkten Kommunikationspartner eines gleichwertigen Endgeräts zu betreiben. Diese Funktionsvielfalt bringt entsprechend vielfältige Missbrauchsmöglichkeiten für einen unrechtmäßigen Besitzer des Endgeräts mit sich.
    •
  • Der Erfindung liegt die Aufgabe zugrunde, ein System mit wenigstens einem Gerät und wenigstens einer mit der Nutzung des Geräts in Zusammenhang stehenden Institution so zu betreiben, dass eine missbräuchliche Verwendung des Geräts möglichst unterbunden wird.
  • Diese Aufgabe wird durch ein Verfahren mit der Merkmalskombination des Anspruchs 1 gelöst.
  • Die Erfindung bezieht sich auf ein Verfahren zum Betreiben eines Systems mit wenigstens einem ersten Gerät, das über eine Funktionalität verfügt, für deren Nutzung eine Benutzerauthentisierung erforderlich ist, und wenigstens einer mit der Nutzung des ersten Geräts in Zusammenhang stehenden Institution, die entfernt vom ersten Gerät angeordnet ist. Die Besonderheit des erfindungsgemäßen Verfahrens besteht darin, dass beim Auftreten eines auslösenden Ereignisses, welches darauf schließen lässt, dass sich das erste Gerät im Besitz eines Unberechtigten befindet, vom ersten Gerät eine Nachricht erzeugt wird, die an die Institution gerichtet ist.
  • Die Erfindung hat den Vorteil, dass bei einem Verlust des ersten Geräts dieses zuverlässig vor einer unberechtigten Nutzung geschützt wird, ohne dass es hierzu eines aktiven Handelns des rechtmäßigen Inhabers des ersten Geräts bedarf. Der erfindungsgemäß vorgesehene Schutzmechanismus wird sogar dann wirksam, wenn der rechtmäßige Inhaber des ersten Geräts den Verlust nicht bemerkt.
  • Eine unberechtigte Nutzung des ersten Geräts kann dadurch verhindert werden, dass beim Auftreten des auslösenden Ereignisses vom ersten Gerät lokal wenigstens eine partielle Sperrung durchgeführt wird.
  • In einem bevorzugten Ausführungsbeispiel des erfindungsgemäßen Verfahrens besteht das auslösende Ereignis in einer Überschreitung eines vorgegebenen Maximalwerts für die Anzahl von fehlerhaften Versuchen der Benutzerauthentisierung. Mit diesem Kriterium kann eine unberechtigte Nutzung sehr einfach festgestellt werden. Die Benutzerauthentisierung wird vorzugsweise vom ersten Gerät lokal durchgeführt.
  • Das auslösende Ereignis kann auch in einer Aufforderung bestehen, die das erste Gerät über eine Online-Verbindung insbesondere vom rechtmäßigen Inhaber des ersten Geräts empfängt. Dies ermöglicht es den rechtmäßigen Inhaber bei einem Verlust des ersten Geräts mit sehr wenig Aufwand sehr umfassende Schutzmaßnahmen einzuleiten. Dies ist insbesondere dann von Vorteil, wenn das erste Gerät über mehrere Funktionalitäten verfügt, die im Zusammenhang mit unterschiedlichen Institutionen betrieben werden. In diesem Fall entfällt durch die Erfindung das Erfordernis, dass der Inhaber jede einzelne Institution über den Verlust des Datenträgers informieren muss.
  • Bei einer ersten Variante des erfindungsgemäßen Verfahrens wird die Nachricht über die Online-Verbindung des ersten Geräts an die Institution übermittelt wird. Dadurch ist eine sehr rasche und zuverlässige Reaktion unmittelbar nach dem auslösenden Ereignis gewährleistet.
  • Bei einer zweiten Variante des erfindungsgemäßen Verfahrens wird die Nachricht von wenigsten einem zweiten Gerät über eine Online-Verbindung an die Institution übertragen, wobei das zweite Gerät die Nachricht direkt vom ersten Gerät oder durch Weiterleitung über wenigstens ein drittes Gerät erhält. Die zweite Variante hat den Vorteil, dass damit auch erste Geräte geschützt werden können, die über keine Online-Verbindung zur Institution verfügen. Die Nachricht kann zwischen den Geräten kontaktlos, insbesondere über eine kontaktlose Nahfeld-Kommunikation, übertragen werden.
  • Um auch eine indirekte Übertragung an die Institution zu ermöglichen, kann die Nachricht vom ersten Gerät mit einer Empfängeradresse ausgestattet werden. Zudem kann die Nachricht vom ersten Gerät mit einem Identifikationscode ausgestattet werden. Der Identifikationscode kann von der Institution beim Eingang der Nachricht ausgewertet werden, insbesondere um einen mehrfachen Eingang der gleichen Nachricht zu erkennen. Vorzugsweise wird nur der erstmalige Eingang der Nachricht von der Institution berücksichtigt. Dadurch kann unnötige Doppelarbeit vermieden werden.
  • Auf den Eingang der Nachricht bei der Institution hin kann die mit der Institution zusammenhängende Funktionalität des ersten Geräts seitens der Institution gesperrt werden. Dies stellt eine weitere Maßnahme zum Schutz vor einer unberechtigten Nutzung des ersten Geräts dar, die mit der Sperrung seitens des ersten Geräts kombiniert werden kann und dann einen besonders zuverlässigen Schutz zur Folge hat.
  • Bei der zweiten Variante des erfindungsgemäßen Verfahrens kann der Eingang der Nachricht von der Institution durch eine Antwort bestätigt werden, die an das zweite Gerät übermittelt wird. Die Antwort kann vom zweiten Gerät auf direktem oder indirektem Weg an wenigstens ein drittes Gerät übermittelt werden, das daraufhin die Weitergabe der zugehörigen Nachricht einstellt. Dies hat den Vorteil, dass nach dem erstmaligen Eingang der Nachricht bei der Institution zumindest ein Teil der dann nicht mehr benötigten Nachrichten aus dem Verkehr gezogen wird. Als Schutz vor Manipulationen ist es von Vorteil, wenn die Weitergabe der Nachricht nur dann eingestellt wird, wenn die Antwort vom dritten Gerät als authentisch identifiziert wurde.
  • Die Nachricht und/oder die Antwort können kryptographisch abgesichert werden. Außerdem können das erstmalige Absenden und/oder das Weiterleiten der Nachricht und/oder das Weiterleiten der Antwort jeweils so durchgeführt werden, dass es vom Benutzer des jeweiligen Geräts nicht erkennbar ist. Diese Maßnahmen dienen dazu, insgesamt einen möglichst guten Schutz vor Manipulationen oder Ausspähung zu erzielen.
    •
  • Die Erfindung wird nachstehend anhand der in der Zeichnung dargestellten Ausführungsbeispiele erläutert.
  • Es zeigen:
  • 1 eine schematische Darstellung für eine Betriebssituation eines Systems, die bei einem ersten Ausführungsbeispiel des erfindungsgemäßen Verfahrens auftreten kann,
  • 2 ein Flussdiagramm zur Darstellung des Ablaufs des erfindungsgemäßen Verfahrens und
  • 3 eine schematische Darstellung für eine Betriebssituation des Systems, die bei einem zweiten Ausführungsbeispiel des erfindungsgemäßen Verfahrens auftreten kann.
  • 1 zeigt eine schematische Darstellung für eine Betriebssituation eines Systems, die bei einem ersten Ausführungsbeispiel des erfindungsgemäßen Verfahrens auftreten kann. Das System weist ein Endgerät 1 und einen Applikationsanbieter 2 einer auf dem Endgerät 1 implementierten Applikation auf. Das Endgerät 1 und der Applikationsanbieter 2 sind in der dargestellten Betriebssituation über ein Netzwerk 3 miteinander verbunden. Die Architektur des Endgeräts 1 ist in groben Zügen insoweit dargestellt, als dies für die Erfindung von Bedeutung ist. Das Endgerät 1 weist eine Geräteelektronik 4 auf, die mit einem Sicherheitsbaustein 5, einen NFC-Baustein 6 mit einer daran angeschlossenen Antenne 7, einer Tastatur 8 und eine Schnittstelle 9 verbunden ist. Bei dem Endgerät 1 handelt es sich beispielsweise um ein Laptop, einen Personal Digital Assistant, ein Mobilfunktelefon usw. Der Sicherheitsbaustein 5 kann Bestandteil einer Chipkarte sein, die in das Endgerät 1 eingesteckt ist und dient der sicheren Speicherung und Verarbeitung von Daten, beispielsweise von Passwörtern, Zugangsberechtigungen usw. Mit Hilfe des NFC-Bausteins 6 kann eine kontaktlose Datenübertragung im Nahbereich, d: h. eine Near Field Communication oder kurz NFC, durchgeführt werden. Dabei handelt es sich um ein Übertragungsverfahren mittels magnetischer Felder im Frequenzbereich 13,56 MHz. Die typische Reichweite beträgt 20 cm. Prinzipiell können auch andere Arten der kontaktlosen Datenübertragung im Nahbereich eingesetzt werden. Die Tastatur 8 dient der Dateneingabe durch einen Benutzer, um beispielsweise eine gewünschte Applikation auszuwählen oder eine persönliche Geheimzahl einzugeben. Über die Schnittstelle 9 ist das Endgerät 1 mit dem Netzwerk 3, beispielsweise einem Mobilfunknetz oder dem Internet, verbunden. Über das Netzwerk 3 wird eine Online-Verbindung zwischen dem Endgerät 1 und dem Applikationsanbieter 2 ausgebildet, über die beispielsweise eine Nachricht 10 vom Endgerät 1 zum Applikationsanbieter 2 übertragen werden kann. Zusätzlich zu der Applikation, die dem in 1 dargestellten Applikationsanbieter 2 zuzurechen ist, können im Endgerät 1 weitere Applikationen implementiert sein. Dementsprechend können auch weitere Applikationsanbieter 2 am Netzwerk 3 angeschlossen sein. Der Ablauf des erfindungsgemäßen Verfahrens wird im Folgenden anhand von 2 erläutert.
  • 2 zeigt ein Flussdiagramm zur Darstellung des Ablaufs des erfindungsgemäßen Verfahrens. Der Durchlauf des Flussdiagramms beginnt mit einem Schritt S1, in dem vom Benutzer des Endgeräts 1 über die Tastatur 8 eine persönliche Geheimzahl eingegeben wird. An Schritt S1 schließt sich ein Schritt S2 an, in dem vom Sicherheitsbaustein 5 des Endgeräts 1 ein Fehlbedienungszähler inkrementiert wird. Auf Schritt S2 folgt ein Schritt S3, in dem vom Sicherheitsbaustein 5 ein PIN-Vergleich durchgeführt wird, d. h. die vom Benutzer eingegebene Geheimzahl wird mit einem gespeicherten Referenzwert verglichen. Falls die Geheimzahl korrekt eingegeben wurde und somit der PIN-Vergleich positiv verläuft, wird als nächstes ein Schritt S4 ausgeführt, in dem der Fehlbedienungszähler wieder auf Null gesetzt wird. An Schritt S4 schließt sich ein Schritt S5 an, in dem die vom Benutzer gewünschte Applikation ausgeführt wird. Nach der Ausführung der Applikation ist der Durchlauf des Flussdiagramms beendet.
  • Wird im Schritt S3 festgestellt, dass die eingegebene Geheimzahl nicht korrekt ist, so schließt sich an Schritt S3 ein Schritt S6 an. Im Schritt S6 wird vom Sicherheitsbaustein 5 geprüft, ob der Fehlbedienungszähler einen Maximalwert überschreitet. Ist dies mit „nein" zu beantworten, d. h. es liegt keine Überschreitung vor, dann wird das Flussdiagramm beginnend mit Schritt S1 erneut durchlaufen. Ist der Maximalwert für den Fehlbedienungszähler dagegen überschritten, wird davon ausgegangen, dass sich das Endgerät 1 im Besitz eines unberechtigten Dritten befindet, der eine missbräuchliche Nutzung des Endgeräts 1 beabsichtigt. In diesem Fall schließt sich an Schritt S6 ein Schritt S7 an. Im Schritt S7 wird vom Endgerät 1 die Nachricht 10 an den Applikationsanbieter 2 abgesendet. Die Übertragung der Nachricht 10 erfolgt dabei Online über das Netzwerk 3, an das sowohl das Endgerät 1 als auch der Applikationsanbieter 2 angeschlossen ist. Mit der Nachricht 10 fordert das Endgerät 1 den Applikationsanbieter 2 auf, die Applikation seitens des Applikationsanbieters 2 für das Endgerät 1 zu sperren oder eine andere geeignete Maßnahme gegen eine missbräuchliche Verwendung des Endgeräts 1 vorzunehmen. Falls mit dem Endgerät 1 Applikationen mehrere Applikationsanbieter 2 ausführbar sind, kann an jeden Applikationsanbieter 2 eine derartige Nachricht 10 abgesendet werden. Auf diese Weise können z. B. ein Mobilfunkbetreiber zum Sperren einer Telefonapplikation, eine Bank zum Sperren von Bankkarten oder Kreditkarten, eine Meldebehörde zum Sperren eines elektronischen Führerscheins, einer ID-Karte oder eines Ausweises, eine Bücherei zum Sperren eines Leihausweises usw. veranlasst werden. Die Nachricht 10 wird jeweils vorzugsweise heimlich abgesendet, um möglichst zu verhindern, dass sie vom unrechtmäßigen Besitzer des Endgeräts 1 abgefangen oder manipuliert wird. Durch diese Vorgehensweise wird erreicht, dass der rechtmäßige Inhaber bei einem Verlust des Endgeräts 1 nicht mehr alle Applikationsanbieter 2 manull verständigen muss, da dies vom Endgerät 1 durchgeführt wird.
  • An Schritt S7 schließt sich ein Schritt S8 an, in dem das Endgerät 1 die Applikation bzw. mehrere Applikationen, für die der Maximalwert des Fehlbedienungszählers überschritten wurde, seitens des Endgeräts 1 zeitweise oder dauerhaft sperrt. Diese lokale Sperrung wird zusätzlich zu der durch Absenden der Nachricht 10 in Schritt S7 angestoßenen Sperrung beim Applikationsanbieter 2 bzw. bei mehreren Applikationsanbietern 2 durchgeführt, um ein möglichst hohes Sicherheitsniveau zu erreichen. Mit Schritt S8 ist der Durchlauf des Flussdiagramms beendet.
  • In Abwandlung des in 2 dargestellten Flussdiagramms kann das Absenden der Nachricht 10 auch durch andere Ereignisse als durch die in Schritt S6 festgestellte Überschreitung des Maximalwerts des Fehlbedienungszählers ausgelöst werden. Falls die Möglichkeit besteht, über das Netzwerk 3 mit dem Endgerät 1 in Kontakt zu treten, kann das erfindungsgemäße Verfahren so abgewandelt werden, dass das Endgerät 1 durch eine derartige Kontaktaufnahme veranlasst wird, Nachrichten 10 an die einzelnen Applikationsanbieter 2 abzusenden und auch eine lokale Sperrung der Applikationen durchzuführen. Diese Option kann sowohl in Kombination mit der vorstehend beschrienen Vorgehensweise als auch in Form einer eigenständigen Variante vorgesehen werden.
  • 3 zeigt eine schematische Darstellung für eine Betriebssituation des Systems, die bei einem zweiten Ausführungsbeispiel des erfindungsgemäßen Verfahrens auftreten kann. Zusätzlich zum Endgerät 1, von dem die Nachricht 10 erzeugt wird, sind zwei weitere Endgeräte 11 und 12 dargestellt. Im Gegensatz zu 1 verfügt das in 3 dargestellte Ausführungsbeispiel des Endgeräts 1 nicht über die Schnittstelle 9 zum Anschluss an das Netwerk 3 oder es besteht zumindest keine statische Verbindung zum Netzwerk 3. Das Endgerät 1 ist in diesem Fall somit nicht in der Lage, die Nachricht 10 direkt über das Netzwerk 3 an den Applikationsbetreiber 2 zu senden. In entsprechender Weise verfügt auch das Endgerät 11 nicht über die Schnittstelle 9 bzw. ist nicht statisch mit dem Netzwerk 3 verbunden. Das Endgerät 12 weist dagegen die Schnittstelle 9 auf und ist statisch oder zumindest zeitweise mit dem Netzwerk 3 verbunden. Ansonsten weisen alle Endgeräte 1, 11 und 12 die anhand von 1 erläuterten Elemente auf, wobei für das zweite Ausführungsbeispiel des erfindungsgemäßen Verfahrens von besonderer Bedeutung ist, dass jeweils der NFC-Baustein 6 mit zugehöriger An tenne 7 vorhanden ist. Dadurch ist die Möglichkeit gegeben, dass die Endgeräte 1,11 und 12 miteinander kommunizieren können, wenn sie einander nahe genug angenähert werden. Dabei ist es unerheblich ob die Endgeräte 1, 11 und 12 gleichartig ausgeführt sind. Beispielsweise können die Endgeräte 1 und 11 jeweils als ein Laptop und das Endgerät 12 als ein Mobilfunktelefon ausgeführt sein. Im Rahmen der in 3 dargestellten Betriebssituation werden mehrere Aktionen durchgeführt, die zwar gemeinsam dargestellt sind, in der Regel jedoch zeitlich nacheinander und zum Teil räumlich voneinander getrennt ablaufen. Im Einzelnen wird beim zweiten Ausführungsbeispiel des erfindungsgemäßen Verfahrens folgendermaßen vorgegangen:
    Im Endgerät 1 wird das in 2 dargestellte Flussdiagramm abgearbeitet, wobei der Schritt S7 allerdings in modifizierter Form durchgeführt wird, da das in 3 dargestellte Ausführungsbeispiel des Endgeräts 1 nicht über die Möglichkeit verfügt, die Nachricht 10 direkt über das Netzwerk 3 an den Applikationsanbieter 2 zu übertragen. Stattdessen wird die Nachricht 10 bzgl. der Überschreitung des Maximalwerts des Fehlbedienungszählers erzeugt und gespeichert. Wenn der NFC-Baustein 6 zur Durchführung einer Transaktion oder aus einem anderen Grund in Kommunikationsreichweite zum Endgerät 1 gelangt, wird die Nachricht 10 über den NFC-Baustein 6 kontaktlos an das Endgerät 11 übermittelt. Analog zur Übertragung über das Netzwerk 3 beim ersten Ausführungsbeispiel des erfindungsgemäßen Verfahrens findet das Absenden der Nachricht 10 an das Endgerät 11 vorzugsweise so statt, dass dies für den Benutzer nicht erkennbar ist. Das Endgerät 11 speichert die Nachricht 10 und überträgt sie an das Endgerät 12, sobald dieses in Kommunikationsreichweite zum Endgerät 11 gelangt. Diese Übertragung wird in der Regel zu einem späteren Zeitpunkt und möglicherweise auch an einem anderen Ort als die Übertragung der Nachricht 10 vom Endgerät 1 an das Endgerät 11 stattfinden. Sowohl das Endgerät 1 als auch das Endgerät 11 werden die Nachricht 10 über ihre NFC-Bausteine 6 je nach Möglichkeit noch an weitere Kommunikationspartner übertragen. In 3 ist noch eine Übertragung der Nachricht 10 vom Endgerät 11 an das Endgerät 12 dargestellt. Ebenso ist es auch möglich, dass die Nachricht 10 vom Endgerät 1 direkt zum Endgerät 12 gelangt oder dass auf dem Weg vom Endgerät 1 zum Endgerät 12 nicht nur das Endgerät 11, sondern noch weitere Kommunikationspartner zwischengeschaltet sind. Insgesamt wird durch die Endgeräte 1,11 und 12 sowie ggf. weitere Kommunikationspartner ein ad-hoc-Netz ausgebildet, über das die Nachricht 10 verbreitet wird. Das Endgerät 12, das über die Schnittstelle 9 statisch mit dem Netzwerk 3 verbunden ist, überträgt die Nachricht 10 schließlich online über das Netzwerk 3 an den Applikationsanbieter 2. Damit das Endgerät 12 die Nachricht 10 zielgerichtet an den vorgesehenen Applikationsanbieter 2 übertragen kann, stattet das Endgerät 1 die Nachricht 10 mit einer eindeutigen Empfängeradresse, z. B. einer e-Mail Adresse, einer URL usw. aus. Falls mehrere Applikationsanbieter 2 benachrichtigt werden sollen, wird die Nachricht 10 entweder mit mehreren Adressen versehen oder es werden mehrere Nachrichten 10 mit unterschiedlichen Adressen abgesendet.
  • Bei der Einspeisung der Nachricht 10 in das ad-hoc-Netz durch die Übertragung der Nachricht 10 vom Endgerät 1 an das Endgerät 11 ist für das Endgerät 1 nicht vorhersehbar, welchen weiteren Weg die Nachricht 10 im ad-hoc-Netz nehmen wird und es besteht die Möglichkeit, dass die Nachricht 10 mehrfach an denselben Applikationsanbieter 2 übertragen wird. Es ist daher erfindungsgemäß vorgesehen, die Nachricht 10 mit einer eindeutigen Identifikationsnummer zu versehen, so dass der Applikationsanbieter 2 den ersten Erhalt der Nachricht 10 in eine Liste oder eine Datenbank eintragen kann. Alle danach eingehenden Nachrichten 10 werden anhand ihrer Identifikationsnummern daraufhin überprüft, ob sie bereits zuvor empfangen wurden.
  • Auf diese Weise ist es möglich jeweils nur beim ersten Eingang der Nachricht 10 die erforderlichen Vorkehrungen, wie beispielsweise die Veranlassung einer Sperrung, zu treffen und alle folgenden Eingänge der Nachricht 10 zu ignorieren.
  • Weiterhin besteht seitens des Applikationsanbieters 2 die Möglichkeit, bei Eingang der Nachricht 10 über das Netzwerk 3 eine Antwort 13 an das Endgerät 12 zu senden, die dann im ad-hoc-Netz verteilt wird. Die Antwort 13 ist so ausgebildet, dass jeder am ad-hoc-Netz beteiligte Kommunikationspartner, der die Antwort 13 empfängt, prüft, ob er eine zur Antwort 13 korrespondierende Nachricht 10 gespeichert hat und diese Nachricht 10 ggf. löscht. Ebenso kann die Antwort 13 den Kommunikationspartner dazu veranlassen, zukünftig empfangene Nachrichten 10, die mit der Antwort 13 korrespondieren, sofort aus dem Posteingang zu löschen oder deren Annahme zu verweigern. Durch diese Maßnahmen kann zumindest ein Teil der im ad-hoc-Netz noch nach Eingang der Nachricht 10 beim Applikationsanbieter 2 umlaufenden Nachrichten 10 gelöscht werden, und dadurch die Anzahl der beim Applikationsanbieter 2 eingehenden identischen Nachrichten 10 reduziert werden. Um Manipulationen zu erschweren, erfolgt auch die Weitergabe der Antwort 13 vorzugsweise so, dass dies für denn Benutzer nicht erkennbar ist.
  • Um einen möglichst hohen Sicherheitsstandard zu erreichen, ist es bei einer Weiterbildung der Erfindung vorgesehen, die Nachrichten 10 und/oder die Antworten 13 zu signieren und zertifizierte Schlüsselsätze zur Verfügung zu stellen. Dadurch werden die Nachrichten 10 bzw. Antworten 13 gegen Manipulationen abgesichert und können jeweils eindeutig einem ursprünglichen Absender zugeordnet werden. Außerdem besteht im Rahmen der Erfindung die Möglichkeit, die Nachrichten 10 und/oder die Antworten 13 zum Schutz vor Ausspähung durch unberechtigte Dritte zu verschlüsseln. Sowohl beim Signieren als auch beim Verschlüsseln können beispielsweise Public-Key-Verfahren eingesetzt werden. Insbesondere kann auch vorgesehen werden, die Antwort 13 jeweils vor dem Löschen einer dazu korrespondierenden Nachricht 10 und/oder vor einer Weiterleitung der Antwort 13 auf ihre Authentizität hin zu überprüfen. Dadurch soll verhindert werden, dass eine Benachrichtigung des Applikationsanbieters 2 durch manipulierte Antworten 13 verhindert wird.

Claims (18)

  1. Verfahren zum Betreiben eines Systems mit wenigstens einem ersten Gerät (1), das über eine Funktionalität verfügt, für deren Nutzung eine Benutzerauthentisierung erforderlich ist, und wenigstens einer mit der Nutzung des ersten Geräts (1) in Zusammenhang stehenden Institution (2), die entfernt vom ersten Gerät (1) angeordnet ist, dadurch gekennzeichnet, dass beim Auftreten eines auslösenden Ereignisses, welches darauf schließen lässt, dass sich das erste Gerät (1) im Besitz eines Unberechtigten befindet, vom ersten Gerät (1) eine Nachricht (10) erzeugt wird, die an die Institution (2) gerichtet ist.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass beim Auftreten des auslösenden Ereignisses vom ersten Gerät (1) lokal wenigstens eine partielle Sperrung durchgeführt wird.
  3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das auslösende Ereignis in einer Überschreitung eines vorgegebenen Maximalwerts für die Anzahl von fehlerhaften Versuchen der Benutzerauthentisierung besteht.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Benutzerauthentisierung vom ersten Gerät (1) lokal durchgeführt wird.
  5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das auslösende Ereignis in einer Aufforderung besteht, die das erste Gerät (1) über eine Online-Verbindung insbesondere vom rechtmäßigen Inhaber des ersten Geräts (1) empfängt.
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Nachricht (10) über die Online-Verbindung des ersten Geräts (1) an die Institution (2) übermittelt wird.
  7. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die Nachricht (10) von wenigsten einem zweiten Gerät (12) über eine Online-Verbindung an die Institution (2) übertragen wird, wobei das zweite Gerät (12) die Nachricht (10) direkt vom ersten Gerät (1) oder durch Weiterleitung über wenigstens ein drittes Gerät (11) erhält.
  8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass die Nachricht (10) zwischen den Geräten (1, 11, 12) kontaktlos, insbesondere über eine kontaktlose Nahfeld-Kommunikation, übertragen wird.
  9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Nachricht (10) vom ersten Gerät (1) mit einer Empfängeradresse ausgestattet wird.
  10. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Nachricht (10) vom ersten Gerät (1) mit einem Identifikationscode ausgestattet wird.
  11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass der Identifikationscode von der Institution (2) beim Eingang der Nachricht (10) ausgewertet wird, insbesondere um einen mehrfachen Eingang der gleichen Nachricht (10) zu erkennen.
  12. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass nur der erstmalige Eingang der Nachricht (10) von der Institution (2) berücksichtigt wird.
  13. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass auf den Eingang der Nachricht (10) bei der Institution (2) hin die mit der Institution (2) zusammenhängende Funktionalität des ersten Geräts (1) seitens der Institution (2) gesperrt wird.
  14. Verfahren nach einem der Ansprüche 7 bis 13, dadurch gekennzeichnet, dass der Eingang der Nachricht (10) von der Institution (2) durch eine Antwort (13) bestätigt wird, die an das zweite Gerät (12) übermittelt wird.
  15. Verfahren nach Anspruch 14, dadurch gekennzeichnet, dass die Antwort (13) vom zweiten Gerät (12) auf direktem oder indirektem Weg an wenigstens ein drittes Gerät (11) übermittelt wird, das daraufhin die Weitergabe der zugehörigen Nachricht (10) einstellt.
  16. Verfahren nach Anspruch 15, dadurch gekennzeichnet, dass die Weitergabe der Nachricht (10) nur dann eingestellt wird, wenn die Antwort (13) vom dritten Gerät (11) als authentisch identifiziert wurde.
  17. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Nachricht (10) und/oder die Antwort (13) kryptographisch abgesichert werden.
  18. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das erstmalige Absenden und/oder das Weiterlei ten der Nachricht (10) und/oder das Weiterleiten der Antwort (13) jeweils so durchgeführt wird, dass es vom Benutzer des jeweiligen Geräts (1, 11, 12) nicht erkennbar ist.
DE102004009348A 2004-02-26 2004-02-26 Verfahren zum Betreiben eines Systems mit wenigstens einem Gerät und wenigstens einer Institution Withdrawn DE102004009348A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102004009348A DE102004009348A1 (de) 2004-02-26 2004-02-26 Verfahren zum Betreiben eines Systems mit wenigstens einem Gerät und wenigstens einer Institution

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102004009348A DE102004009348A1 (de) 2004-02-26 2004-02-26 Verfahren zum Betreiben eines Systems mit wenigstens einem Gerät und wenigstens einer Institution

Publications (1)

Publication Number Publication Date
DE102004009348A1 true DE102004009348A1 (de) 2005-09-15

Family

ID=34853722

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004009348A Withdrawn DE102004009348A1 (de) 2004-02-26 2004-02-26 Verfahren zum Betreiben eines Systems mit wenigstens einem Gerät und wenigstens einer Institution

Country Status (1)

Country Link
DE (1) DE102004009348A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001236585A (ja) * 2000-02-21 2001-08-31 Sony Corp 移動ロボット及び移動ロボットのための盗難防止方法
JP2003199155A (ja) * 2001-12-25 2003-07-11 Sanyo Electric Co Ltd 盗難通知システムとその携帯通信機器及び通信装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001236585A (ja) * 2000-02-21 2001-08-31 Sony Corp 移動ロボット及び移動ロボットのための盗難防止方法
JP2003199155A (ja) * 2001-12-25 2003-07-11 Sanyo Electric Co Ltd 盗難通知システムとその携帯通信機器及び通信装置

Similar Documents

Publication Publication Date Title
DE3788621T2 (de) Fernmelde-Sicherheitssystem und Schlüsselspeichermodul dafür.
EP2289016B1 (de) Verwendung eines mobilen telekommunikationsgeräts als elektronische gesundheitskarte
EP1264490B1 (de) Verfahren zum festellen der authentizität der identität eines dienste-nutzers und vorrichtung zum durchführen des verfahrens
EP2215609B1 (de) Verfahren zum freischalten einer chipkartenfunktion mittels fernüberprüfung
EP2528045A1 (de) Verfahren und Diensterechner sowie System zur kartenlosen Authentifizierung
EP2080147B1 (de) Verfahren zum ausführen einer applikation mit hilfe eines tragbaren datenträgers
DE102011075257B4 (de) Beantwortung von Anfragen mittels des Kommunikationsendgeräts eines Nutzers
DE102011116489A1 (de) Mobiles Endgerät, Transaktionsterminal und Verfahren zur Durchführung einer Transaktion an einem Transaktionsterminal mittels eines mobilen Endgeräts
WO2020001807A1 (de) Smartcard als sicherheitstoken
DE60203041T2 (de) Verfahren und vorrichtung zum beglaubigen einer transaktion
DE102020108828A1 (de) Personalisierter, serverindividueller Authentifizierungsmechanismus
WO2007073842A1 (de) Verfahren zur vorbereitung einer chipkarte für elektronische signaturdienste
WO2008067575A1 (de) Verfahren zum transferieren von verschlüsselten nachrichten
EP2512090A1 (de) Verfahren zur Authentifizierung eines Teilnehmers
DE102009027268B3 (de) Verfahren zur Erzeugung eines Identifikators
EP2434719B1 (de) Verfahren und Server zum Bereitstellen von Nutzerinformationen
EP1935202B1 (de) Entsperren von mobilfunkkarten
DE102004009348A1 (de) Verfahren zum Betreiben eines Systems mit wenigstens einem Gerät und wenigstens einer Institution
WO2021228537A1 (de) Verfahren zur kopplung eines authentifizierungsmittels mit einem fahrzeug
EP3882796A1 (de) Nutzerauthentifizierung unter verwendung zweier unabhängiger sicherheitselemente
EP2774074B1 (de) Dokument, verfahren zur authentifizierung eines benutzers, insbesondere zur freischaltung einer chipkartenfunktion, und computersystem
DE3619566C2 (de)
DE102007023003A1 (de) Verfahren zum mobilen Bezahlen sowie Computerprogrammprodukt
EP1652131B1 (de) Verfahren zur ausgabe eines tragbaren datenträgers
EP2381712A2 (de) Elektronisches Gerät, Telekommunikationssystem und Verfahren zum Lesen von Daten aus einem elektronischen Gerät

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8110 Request for examination paragraph 44
R012 Request for examination validly filed

Effective date: 20110218

R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE

Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE

R120 Application withdrawn or ip right abandoned