DE102004051403B4 - Mobiles Kommunikationsendgerät mit Authentifizierungseinrichtung, ein solches Gerät enthaltende Netzwerkanordnung und Authentifizierungsverfahren - Google Patents

Mobiles Kommunikationsendgerät mit Authentifizierungseinrichtung, ein solches Gerät enthaltende Netzwerkanordnung und Authentifizierungsverfahren Download PDF

Info

Publication number
DE102004051403B4
DE102004051403B4 DE102004051403A DE102004051403A DE102004051403B4 DE 102004051403 B4 DE102004051403 B4 DE 102004051403B4 DE 102004051403 A DE102004051403 A DE 102004051403A DE 102004051403 A DE102004051403 A DE 102004051403A DE 102004051403 B4 DE102004051403 B4 DE 102004051403B4
Authority
DE
Germany
Prior art keywords
mobile communication
communication terminal
keys
interface
service server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102004051403A
Other languages
English (en)
Other versions
DE102004051403A1 (de
Inventor
Stefano Ambrosius Dr. Klinke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102004051403A priority Critical patent/DE102004051403B4/de
Priority to PCT/EP2005/054372 priority patent/WO2006045663A1/de
Publication of DE102004051403A1 publication Critical patent/DE102004051403A1/de
Application granted granted Critical
Publication of DE102004051403B4 publication Critical patent/DE102004051403B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Mobiles Kommunikationsendgerät (M) mit einer ersten Schnittstelle (1) zur Kommunikation mit einem Computerterminal und einer zweiten Schnittstelle (3) zur Kommunikation innerhalb eines Mobilfunknetzwerkes (MN),
dadurch gekennzeichnet, dass
es eine Authentifizierungseinrichtung aufweist, die derart ausgebildet ist, dass sie auf Anforderung ein Paar zueinander passende Schlüssel (S1, S2) generiert, von denen einer über die erste Schnittstelle (1) und der andere über die zweite Schnittstelle (3) ausgesendet wird,
wobei einer von dem ersten und dem zweiten Schlüssel (S1, S2) gemeinsam mit Informationen versendet wird, die eine externe Überprüfung dessen, ob der erste und der zweite Schlüssel (S1, S2) zueinander passen, gestatten,
wobei die Informationen für die externe Überprüfung eine Zuordnungsvorschrift zwischen dem ersten und dem zweiten Schlüssel (S1, S2) enthalten.

Description

  • Die Erfindung bezieht sich auf ein mobiles Kommunikationsendgerät mit einer ersten Schnittstelle zur Kommunikation mit einem Computerterminal und einer zweiten Schnittstelle zur Kommunikation innerhalb eines Mobilfunknetzes sowie auf eine Netzwerkanordnung, die ein solches Kommunikationsendgerät enthält, und ein Authentifizierungsverfahren.
  • Es gibt eine Vielzahl von Anwendungen, die auf einem Computerterminal installiert sind und eine Authentifizierung eines die Anwendung verwendenden Benutzers erfordern. Ein geläufiges Beispiel ist die Anwendung des Online-Bankings, bei dem von dem Computerterminal aus auf einen Dienstserver einer Bank zugegriffen wird, um finanzielle Transaktionen durchzuführen. Heutzutage wird zu diesem Zweck in der Regel eine persönliche Identifikationsnummer oder ein Passwort benutzt, um einen Benutzer der Anwendung zu Authentifizieren. Dabei kommt es durchaus vor, dass eine dritte Person in Besitz der persönlichen Identifikationsnummer oder des Passwortes kommt, so dass sie problemlos von dem Dienstserver als autorisierter Benutzer erkannt werden kann.
  • Ein weiteres und deutlich sichereres Authentifizierungsverfahren basiert auf der Benutzung einer sog. „Smartcard". In diesem Fall wird der Zugang zu dem Dienstserver nur dann freigegeben, wenn der Benutzer die Smartcard in ein entsprechendes Lesegerät, das an den Computerterminal angeschlossen ist, eingesteckt hat. Dieses Authentifizierungsverfahren zeichnet sich durch eine besondere Sicherheit aus, hat jedoch den Nachteil, dass es die Installierung der erforderlichen Hardware in Form des Kartenlesers für die Smartcard erfordert.
  • Aus der DE 197 22 424 C1 geht ein mobiles Kommunikationsendgerät der eingangs genannten Art hervor. Das Kommunikationsendgerät weist eine Authentifizierungseinrichtung auf, die derart ausgebildet ist, dass zwei Kennworte bzw. Schlüssel eingegeben werden, von denen einer über die erste Schnittstelle und der andere über die zweite Schnittstelle ausgesendet wird. Ferner werden mit dem ersten oder dem zweiten Kennwort bzw. Schlüssel gemeinsam Informationen versendet, die eine externe Überprüfung dessen, ob der erste und der zweite Schlüssel zueinander passen gestattet.
  • Aus der DE 101 00 346 A1 geht ein Verfahren zur Generierung von Schlüsseln insbesondere in einem mobilen Kommunikationsendgerät hervor, um dadurch die Eingabe von Schlüsseln durch einen Benutzer zu vermeiden. Die dortigen erzeugten Schlüssel sind bevorzugt asymmetrische Schlüssel bzw. ein Schlüsselpaar aus öffentlichen und privaten Schlüssel, die somit zueinander passen.
    •
  • Ausgehend hiervon liegt der Erfindung die Aufgabe zugrunde, ein mobiles Kommunikationsendgerät derart weiterzuentwickeln, dass es für Authentifizierungszwecke geeignet ist, sowie eine Netzwerkanordnung anzugeben, bei der ein solches Kommunikationsendgerät zum Einsatz kommt. Auch soll ein Authentifizierungsverfahren vorgesehen werden, bei dem mit geringer Hardwareausstattung eine sichere Nutzung Authentifizierungen erfordernder Anwendungen ermöglicht wird.
  • Diese Aufgabe wird hinsichtlich des mobilen Kommunikationsendgerätes gelöst durch die Merkmale des Patentanspruchs 1.
  • Danach weist das mobile Kommunikationsendgerät eine Authentifizierungseinrichtung auf, die beispielsweise in Software realisiert sein kann und derart ausgebildet ist, dass sie auf Anforderung eine Paar zueinander passende Schlüssel generiert, von denen einer über die erste Schnittstelle und der andere über die zweite Schnittstelle ausgesendet wird, wobei einer von dem ersten und dem zweiten Schlüssel gemeinsam mit Informationen versendet wird, die eine externe Überprüfung dessen, ob der erste und der zweite Schlüssel zueinander passen, gestatten, wobei die Informationen für die externe Überprüfung eine Zuordnungsvorschrift zwischen dem ersten und dem zweiten Schlüssel enthalten.
  • Auf diese Weise wird das mobile Kommunikationsendgerät mit Hilfe der Authentifizierungseinrichtung in die Lage versetzt, ähnlich wie eine Smartcard benutzt zu werden. Durch das Erzeugen der zwei zueinander passenden Schlüssel und deren Aussenden über die erste und die zweite Schnittstelle gemeinsam mit den Informationen zur externen Überprüfung wird es ermöglicht, auf irgendeiner Netzwerkkomponente, der beide Schlüssel zugeleitet werden, eine Authentifizierung des mobilen Kommunikationsendgerätes vorzunehmen. Damit geht eine Authentifizierung eines Benutzers desselben einher.
  • Die Authentifizierungseinrichtung verschafft die Möglichkeit, einen der beiden Schlüssel einer Anwendung auf dem Computerterminal zuzuordnen, so dass über diese Anwendung einer der beiden Schlüssel über eine geeignete Kommunikationsverbindung einer Überprüfungsinstanz zugeleitet werden kann, die ebenfalls den anderen Schlüssel erhält.
  • Die Authentifizierungseinrichtung kann derart ausgebildet sein, dass gemeinsam mit wenigstens einem von dem ersten und dem zweiten Schlüssel Informationen ausgesendet werden, die sich auf einen Benutzer des mobilen Kommunikationsendgerätes beziehen. Auf diese Weise ist die Überprüfungsinstanz in der Lage, den beiden zueinander passenden Schlüsseln den Namen eines Benutzers des mobilen Kommunikationsendgerätes zuzuordnen. Bevorzugte, auf dem Benutzer bezogene Informationen für den genannten Zweck sind aus der Gruppe ausgewählt, die eine Telefonnummer, eine IMEI-Nummer und eine IMSI-Nummer des mobilen Kommunikationsendgerätes sowie eine Identifikationsnummer einer aktuell benutzten Mobilfunkzelle umfasst. Diese Aufzählung ist nicht als abschließend zu verstehen. Grundsätzlich kommt für die auf den Benutzer bezogenen Informationen jede Information in Frage, die die erforderlichen Rückschlüsse bietet.
  • Die Informationen für die externe Überprüfung auf der Überprüfungsinstanz enthält eine Zuordnungsvorschrift zwischen dem ersten und dem zweiten Schlüssel, bevorzugt umfasst die Zuordnungsvorschrift eine arithmetische Verknüpfung zwischen dem ersten und dem zweiten Schlüssel und ein Verknüpfungsergebnis. Diese Ausführungsform ermöglicht eine besonders einfache Durchführung der Überprüfung auf der Überprüfungsinstanz.
  • Die oben genannte Aufgabe wird ebenfalls gelöst durch eine Netzwerkanordnung mit einem Computerterminal, auf dem eine Anwendung eingerichtet ist, deren Benutzung eine Authentifizierung eines Benutzers des Computerterminals erfordert, einem mit dem Computerterminal verbundenen Dienstserver, auf den die Anwendung auf dem Computerterminal zugreift und gegenüber dem von dem Benutzer eine Authentifizierung vorzunehmen ist, wobei die Netzwerkanordnung ein mobiles Kommunikationsendgerät mit einer ersten Schnittstelle zur Kommunikation mit dem Computerterminal und eine zweite Schnittstelle zur Kommunikation mit dem Dienstserver über ein Mobilfunknetzwerk aufweist, wobei das mobile Kommunikationsendgerät eine Authentifizierungseinrichtung aufweist, die derart ausgebildet ist, dass sie auf Anforderung ein Paar zueinander passende Schlüssel generiert, von denen einer über die erste Schnittstelle und der andere über die zweite Schnittstelle ausgesendet wird, wobei einer von dem ersten und dem zweiten Schlüssel gemeinsam mit Informationen versendet wird, die eine externe Überprüfung dessen, ob der erste und der zweite Schlüssel zueinander passen, gestatten, wobei die Informationen für die externe Überprüfung eine Zuordnungsvorschrift zwischen dem ersten und dem zweiten Schlüssel enthalten.
  • Bestandteil dieser Netzwerkanordnung ist das bereits oben erläuterte mobile Kommunikationsendgerät, von dem aus eine Authentifizierung des Benutzers des Computerterminals durch Erzeugen des ersten und des zweiten Schlüssels unterstützt wird.
  • Bevorzugte Ausführungsform der Netzwerkanordnung ergeben sich aus den abhängigen Patentansprüchen 6 bis 8, deren Merkmale bereits oben anhand der Beschreibung des mobilen Kommunikationsendgerätes erläutert worden sind, wobei auch zugehörige Vorteile genannt wurden.
  • Gegenstand der Erfindung zur Lösung der Aufgabe ist außerdem ein Authentifizierungsverfahren für eine Anwendung, die auf einem Computerterminal ausgeführt wird und mit einem Dienstserver kommuniziert, um Transaktionen durchzuführen, mit den Schritten:
    • a) Starten der Anwendung auf dem Computerterminal und Herstellen einer Kommunikationsverbindung mit dem Dienstserver,
    • b) Herstellen einer Kommunikationsverbindung zwischen dem Computerterminal und einem mobilen Kommunikationsendgerät über eine erste Schnittstelle des mobilen Kommunikationsendgerätes,
    • c) Herstellen einer Kommunikationsverbindung zwischen dem Dienstserver und dem mobilen Kommunikationsendgerät über eine zweite Schnittstelle des mobilen Kommunikationsendgerätes,
    • d) Starten einer Authentifizierungseinrichtung auf dem mobilen Kommunikationsendgerät, die ein paar zueinander passende Schlüssel generiert, von denen ein erster über die erste Schnittstelle zu dem Dienstserver und ein zweiter über die zweite Schnittstelle zu dem Computerterminal und unter Einbeziehung der Anwendung von aus zu dem Dienstserver ausgesendet wird, wobei der zweite Schlüssel gemeinsam mit Informationen versendet wird, die eine externe Überprüfung dessen, ob der erste und der zweite Schlüssel zueinander passen, gestatten, wobei die Informationen für die externe Überprüfung eine Zuordnungsvorschrift zwischen dem ersten und dem zweiten Schlüssel enthalten,
    • e) Überprüfen, ob der erste und der zweite Schlüssel zueinander passen, und im positiven Fall Freigabe der Anwendung für einen Zugriff auf den Dienstserver.
  • Das dargestellte Authentifizierungsverfahren basiert auf den bereits vorgestellten Ausführungsformen einer Netzwerkanordnung und eines mobilen Kommunikationsendgerätes.
  • Ebenso wie die Netzwerkanordnung basiert das Authentifizierungsverfahren auf dem Aufbau von insgesamt drei Kommunikationsverbindungen, nämlich einer Kommunikationsverbindung zwischen dem mobilen Kommunikationsendgerät und dem Dienstserver, ggf. über weitere Netzwerkkomponenten, einer Kommunikationsverbindung zwischen dem mobilen Kommunikationsendgerät und dem Computerterminal, an dem der sich authentifizierende Benutzer befindet, und einer Kommunikationsverbindung zwischen dem Computerterminal und dem Dienstserver, auf dem die Überprüfung der Authentifizierungsinformationen in Form der zwei zueinander passenden Schlüssel vollzogen wird.
  • Für diese sämtlichen Kommunikationsverbindungen gilt, dass sie eine verschlüsselte Kommunikation unterstützen. Ein hier gängiges Verfahren ist das SSL-Protokoll.
  • Bevorzugte Ausführungsformen des Authentifizierungsverfahrens sind in den abhängigen Unteransprüchen 10 – 14 niedergelegt und bereits oben anhand der Beschreibung des mobilen Kommunikationsendgerätes erläutert.
    •
  • Ausführungsbeispiele der Erfindung werden nachfolgend anhand der Zeichnung noch näher erläutert. Die einzige Figur zeigt eine Netzwerkanordnung zur Durchführung eines Authentifizierungsverfahrens.
  • Auf einem Computerterminal T ist eine Anwendung installiert, die eine Authentifizierung bei einem Dienstserver D erfordert, so dass die Anwendung von einem Benutzer beispielsweise für ein Online-Banking eingesetzt werden kann. Dabei ist der Computerterminal T in üblicher Weise über ein Netzwerk FN mit dem Dienstserver D zur Ausbildung einer Kommunikationsverbindung verknüpft. Diese Kommunikationsverbindung kann eine reine Festnetz-Verbindung sein. Alternativ ist es auch möglich, dass die Kommunikationsverbindung zwischen dem Computerterminal T und dem Dienstserver D, der die auszuführende Anwendung unterstützt, wenigstens teilweise drahtlos ist.
  • Für eine Authentifizierung des Benutzers an den Computerterminal T kommt ein mobiles Kommunikationsendgerät M zum Einsatz, das zu diesem Zweck über eine drahtgebundene oder drahtlose Schnittstelle (Bluetooth, IrDA, WLAN) mit dem Computerterminal T in Verbindung gebracht wird.
  • Nach Herstellen der Verbindung zwischen dem mobilen Kommunikationsendgerät M, das insbesondere auch ein Mobiltelefon sein kann, und dem Computerterminal T wird auf den mobilen Kommunikationsendgerät M eine Authentifizierungseinrichtung, die in Software realisiert sein kann, gestartet. Die Authentifizierungseinrichtung generiert einen ersten und einen zweiten Schlüssel, die für Authentifizierungszwecke der Anwendung auf dem Computerterminal T gegenüber dem Dienstserver D benutzt werden. Nach Generieren des ersten und des zweiten Schlüssels wird der erste Schlüssel über eine Bluetooth-Schnittstelle 1 des mobilen Kommunikationsendgerätes M an den ebenfalls mit einer Bluetooth-Schnittstelle 2 ausgestatteten Computerterminal T übertragen und der Anwendung für Authentifizierungszwecke zur Verfügung gestellt.
  • Der zweite Schlüssel, der von der Authentifizierungseinrichtung des mobilen Kommunikationsendgerätes M erzeugt worden ist, wird im vorliegenden Ausführungsbeispiel über eine GSM-Schnittstelle 3 zu einem Kernnetzwerk MN eines Mobilfunksystems, dem das mobile Kommunikationsendgerät M zugehörig ist, gesendet und gelangt von da aus über geeignete Gateways zu dem Dienstserver D. Gemeinsam mit dem zweiten Schlüssel werden zu dem Dienstserver D Informationen darüber übersendet, die es gestatten, das auf dem Dienstserver D eine Prüfung stattfinden kann, ob der von dem Computerterminal T ausgesandte erste Schlüssel zu dem über das Mobilfunknetzwerk MN erhaltenen zweiten Schlüssel passt. Solche Informationen können beispielsweise eine arithmetische Verknüpfung im Sinne von P = S1 × S2 sein, so dass mit dem zweiten Schlüssel S2 die Informationen mitgeschickt werden, dass das Multiplikationsergebnis zwischen dem ersten und dem zweiten Schlüssel den Wert P hat.
  • Nachdem auf dem Dienstserver D als Überprüfungsinstanz festgestellt worden ist, dass der erste und der zweite Schlüssel S1, S2 zueinander passen, ist die Authentifizierung der auf dem Computerterminal T laufenden Anwendung erfolgreich, so dass von dem Dienstserver D aus an den Computerterminal T eine Bestätigungsmeldung gesendet wird, dass nunmehr die Anwendung benutzt werden kann. Beispielsweise kann der Benutzer des Computerterminals T nunmehr im Rahmen eines Online-Bankings geschäftliche Transaktionen auf dem Dienstserver D durchführen.
  • Es ist hervorzuheben, dass es für die Erfindung grundlegend ist, von dem mobilen Kommunikationsendgerät M aus über zwei verschiedene Schnittstellen den ersten und den zweiten Schlüssel S1, S2 an den Dienstserver D zu senden, an dem die Überprüfung der beiden Schlüssel stattfindet.
  • Zur Erhöhung der Sicherheit des Authentifizierungsverfahrens kann das mobile Kommunikationsendgerät M von dem Dienstserver D im Zuge der Kommunikationsverbindung zwischen diesen beiden Komponenten ein Zertifikat erhalten, das für eine verschlüsselte Kommunikation (FSL-Verfahren) benutzt werden kann. Außerdem erhält das mobile Kommunikationsendgerät M von dem Computerterminal T erforderliche Informationen für eine Anmeldung des mobilen Kommunikationsendgerätes M bei dem Dienstserver D. Daraufhin verschlüsselt das mobile Kommunikationsendgerät M die Anmeldeinformationen hinsichtlich des Dienstservers (freizuschaltende IP-Adresse) sowie den ersten Schlüssel und schickt dies gemeinsam an den Computerterminal T, der dann die verschlüsselte Anmeldeinformation in Kombination mit dem ersten Schlüssel an den Dienstserver D weiterleitet. Auf diese Weise sind die beiden Kommunikationsverbindungen zwischen dem mobilen Kommunikationsendgerät M und dem Computerterminal T sowie zwischen dem Computerterminal T und dem Dienstserver D für die Authentifizierungsphase verschlüsselt. Auch die Kommunikationsverbindung zur Übermittlung des zweiten Schlüssels zwischen dem mobilen Kommunikationsendgerät M und dem Dienstserver D kann bei Bedarf verschlüsselt erfolgen.
  • Gemeinsam mit einem oder beiden der Schlüssel S1, S2 werden weitere Informationen an den Dienstserver D gesendet, die es diesem gestatten, den Benutzer namentlich zu erkennen. Eine Auswahl geeigneter Informationen umfasst dessen Telefonnummer, die IMEI-Nummer oder die IMSI-Nummer seines mobilen Kommunikationsendgerätes M sowie eine Identifikationsnummer einer aktuell benutzten Mobilfunkzelle. Diese Informationen gestatten es auf Seiten des Dienstservers D, den Authentifizierungsvorgang einer bestimmten Person, nämlich dem Benutzer des Computerterminals T zuzuordnen.

Claims (14)

  1. Mobiles Kommunikationsendgerät (M) mit einer ersten Schnittstelle (1) zur Kommunikation mit einem Computerterminal und einer zweiten Schnittstelle (3) zur Kommunikation innerhalb eines Mobilfunknetzwerkes (MN), dadurch gekennzeichnet, dass es eine Authentifizierungseinrichtung aufweist, die derart ausgebildet ist, dass sie auf Anforderung ein Paar zueinander passende Schlüssel (S1, S2) generiert, von denen einer über die erste Schnittstelle (1) und der andere über die zweite Schnittstelle (3) ausgesendet wird, wobei einer von dem ersten und dem zweiten Schlüssel (S1, S2) gemeinsam mit Informationen versendet wird, die eine externe Überprüfung dessen, ob der erste und der zweite Schlüssel (S1, S2) zueinander passen, gestatten, wobei die Informationen für die externe Überprüfung eine Zuordnungsvorschrift zwischen dem ersten und dem zweiten Schlüssel (S1, S2) enthalten.
  2. Mobiles Kommunikationsendgerät (M) nach Anspruch 1, dadurch gekennzeichnet, dass die Authentifizierungseinrichtung derart ausgebildet ist, dass gemeinsam mit wenigstens einem von dem ersten und dem zweiten Schlüssel (S1, S2) Informationen ausgesendet werden, die sich auf einen Benutzer des mobilen Kommunikationsendgerätes (M) beziehen.
  3. Mobiles Kommunikationsendgerät (M) nach Anspruch 2, dadurch gekennzeichnet, dass die auf den Benutzer bezogenen Informationen aus der Gruppe ausgewählt sind, die eine Telefonnummer, eine IMEI-Nummer und eine IMSI-Nummer des mobilen Kommunikationsendgerätes (M) sowie eine Identifikationsnummer einer aktuell benutzten Mobilfunkzelle umfasst.
  4. Mobiles Kommunikationsendgerät (M) nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Zuordnungsvorschrift eine arithmetische Verknüpfung zwischen dem ersten und dem zweiten Schlüssel (S1, S2) und ein Verknüpfungsergebnis umfasst.
  5. Netzwerkanordnung mit einem Computerterminal (T), auf dem eine Anwendung eingerichtet ist, deren Benutzung eine Authentifizierung eines Benutzers des Computerterminals (T) erfordert, einem mit dem Computerterminal (T) verbundenen Dienstserver (D), auf den die Anwendung auf dem Computerterminal (T) zugreift und gegenüber dem von dem Benutzer eine Authentifizierung vorzunehmen ist, dadurch gekennzeichnet, dass die Netzwerkanordnung ein mobiles Kommunikationsendgerät (M) mit einer ersten Schnittstelle (1) zur Kommunikation mit dem Computerterminal (T) und eine zweite Schnittstelle (3) zur Kommunikation mit dem Dienstservers (D) über ein Mobilfunknetzwerk (MN) aufweist, wobei das mobile Kommunikationsendgerät (M) eine Authentifizierungseinrichtung aufweist, die derart ausgebildet ist, dass sie auf Anforderung ein Paar zueinander passende Schlüssel (S1, S2) generiert, von denen einer über die erste Schnittstelle (1) und der andere über die zweite Schnittstelle (3) ausgesendet wird, wobei einer von dem ersten und dem zweiten Schlüssel (S1, S2) gemeinsam mit Informationen versendet wird, die eine externe Überprüfung dessen, ob der erste und der zweite Schlüssel (S1, S2) zueinander passen, gestatten, wobei die Informationen für die externe Überprüfung eine Zuordnungsvorschrift zwischen dem ersten und dem zweiten Schlüssel (S1, S2) enthalten.
  6. Netzwerkanordnung nach Anspruch 5, dadurch gekennzeichnet, dass die Authentifizierungseinrichtung derart ausgebildet ist, dass gemeinsam mit wenigstens einem von dem ersten und dem zweiten Schlüssel (S1, S2) Informationen ausgesendet werden, die sich auf einen Benutzer des mobilen Kommunikationsendgerätes (M) beziehen.
  7. Netzwerkanordnung nach Anspruch 6, dadurch gekennzeichnet, dass die auf den Benutzer bezogenen Informationen aus der Gruppe ausgewählt sind, die eine Telefonnummer, eine IMEI-Nummer und eine IMSI-Nummer eines mobilen Kommunikationsendgerätes (M) sowie eine Identifikationsnummer einer aktuell benutzten Mobilfunkzelle umfasst.
  8. Netzwerkanordnung nach einem der Ansprüche 5 bis 7, dadurch gekennzeichnet, dass die Zuordnungsvorschrift eine arithmetische Verknüpfung zwischen dem ersten und dem zweiten Schlüssel (S1, S2) und ein Verknüpfungsergebnis umfasst.
  9. Authentifizierungsverfahren für eine Anwendung, die auf einem Computerterminal (T) ausgeführt wird und mit einem Dienstserver (D) kommuniziert, um Transaktionen durchzuführen, mit den Schritten: a) Starten der Anwendung auf dem Computerterminal (T) und Herstellen einer Kommunikationsverbindung mit dem Dienstserver (D), b) Herstellen einer Kommunikationsverbindung zwischen dem Computerterminal (T) und einem mobilen Kommunikationsendgerät (M) über eine erste Schnittstelle (1) des mobilen Kommunikationsendgerätes (M), c) Herstellen einer Kommunikationsverbindung zwischen dem Dienstserver (D) und dem mobilen Kommunikationsendgerät (M) über eine zweite Schnittstelle (3) des mobilen Kommunikationsendgerätes (M), d) Starten einer Authentifizierungseinrichtung auf dem mobilen Kommunikationsendgerät (M), die ein Paar zueinander passende Schlüssel (S1, S2) generiert, von denen ein erster über die erste Schnittstelle (1) zu dem Dienstserver (D) und ein zweiter über die zweite Schnittstelle (3) zu dem Computerterminal (T) und unter Einbeziehung der Anwendung von da aus zu dem Dienstserver (D) ausgesendet wird, wobei der zweite Schlüssel (S2) gemeinsam mit Informationen versendet wird, die eine externe Überprüfung dessen, ob der erste und der zweite Schlüssel (S1, S2) zueinander passen, gestatten, wobei die Informationen für die externe Überprüfung eine Zuordnungsvorschrift zwischen dem ersten und dem zweiten Schlüssel (S1, S2) enthalten, e) Überprüfen, ob der erste und der zweite Schlüssel (S1, S2) zueinander passen, und im positiven Fall Freigabe der Anwendung für einen Zugriff auf den Dienstserver (D).
  10. Authentifizierungsverfahren nach Anspruch 9, bei dem die Authentifizierungseinrichtung gemeinsam mit wenigstens einem von dem ersten und dem zweiten Schlüssel (S1, S2) Informationen aussendet, die sich auf einen Benutzer des mobilen Kommunikationsendgerätes (M) beziehen.
  11. Authentifizierungsverfahren nach Anspruch 10, bei dem die auf den Benutzer bezogenen Informationen aus der Gruppe ausgewählt werden, die eine Telefonnummer, eine IMEI-Nummer und eine IMSI-Nummer des mobilen Kommunikationsendgerätes (M) sowie eine Identifikationsnummer einer aktuell benutzten Mobilfunkzelle umfasst.
  12. Authentifizierungsverfahren nach einem der Ansprüche 9 bis 11, bei dem die Zuordnungsvorschrift eine arithmetische Verknüpfung zwischen dem ersten und dem zweiten Schlüssel (S1, S2) und ein Verknüpfungsergebnis umfasst.
  13. Authentifizierungsverfahren nach einem der Ansprüche 9 bis 12, bei dem die Kommunikationsverbindung von dem mobilen Kommunikationsendgerät (M) zu dem Computerterminal (T) verschlüsselt wird.
  14. Authentifizierungsverfahren nach einem der Ansprüche 9 bis 13, bei dem die Kommunikationsverbindung zwischen dem Computerterminal (T) und dem Dienstserver (D) verschlüsselt wird.
DE102004051403A 2004-10-21 2004-10-21 Mobiles Kommunikationsendgerät mit Authentifizierungseinrichtung, ein solches Gerät enthaltende Netzwerkanordnung und Authentifizierungsverfahren Expired - Fee Related DE102004051403B4 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102004051403A DE102004051403B4 (de) 2004-10-21 2004-10-21 Mobiles Kommunikationsendgerät mit Authentifizierungseinrichtung, ein solches Gerät enthaltende Netzwerkanordnung und Authentifizierungsverfahren
PCT/EP2005/054372 WO2006045663A1 (de) 2004-10-21 2005-09-05 Mobiles kommunikationsendgerät mit authentifizierungseinrichtung, ein solches gerät enthaltende netzwerkanordnung und authentifizierungsverfahren

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102004051403A DE102004051403B4 (de) 2004-10-21 2004-10-21 Mobiles Kommunikationsendgerät mit Authentifizierungseinrichtung, ein solches Gerät enthaltende Netzwerkanordnung und Authentifizierungsverfahren

Publications (2)

Publication Number Publication Date
DE102004051403A1 DE102004051403A1 (de) 2006-05-04
DE102004051403B4 true DE102004051403B4 (de) 2007-03-08

Family

ID=35276937

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004051403A Expired - Fee Related DE102004051403B4 (de) 2004-10-21 2004-10-21 Mobiles Kommunikationsendgerät mit Authentifizierungseinrichtung, ein solches Gerät enthaltende Netzwerkanordnung und Authentifizierungsverfahren

Country Status (2)

Country Link
DE (1) DE102004051403B4 (de)
WO (1) WO2006045663A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19722424C1 (de) * 1997-05-28 1998-08-06 Ericsson Telefon Ab L M Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System
DE10100346A1 (de) * 2001-01-05 2002-07-11 Siemens Ag Verfahren zur Generierung eines Schlüssels
US20030063749A1 (en) * 2001-10-03 2003-04-03 Daniel Revel Method for mobile printing

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5668876A (en) * 1994-06-24 1997-09-16 Telefonaktiebolaget Lm Ericsson User authentication method and apparatus
DE19724901A1 (de) * 1997-06-12 1998-12-17 Siemens Nixdorf Inf Syst Mobilfunktelefon sowie solche mit gekoppeltem Rechner für Internet- bzw. Netzanwendungen und Verfahren zum Betreiben einer solchen Gerätekombination
EP1323323A1 (de) * 2000-08-15 2003-07-02 Telefonaktiebolaget LM Ericsson (publ) Netzwerkauthentisierung durch verwendung eines mobiltelephons mit wap-funktion

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19722424C1 (de) * 1997-05-28 1998-08-06 Ericsson Telefon Ab L M Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System
DE10100346A1 (de) * 2001-01-05 2002-07-11 Siemens Ag Verfahren zur Generierung eines Schlüssels
US20030063749A1 (en) * 2001-10-03 2003-04-03 Daniel Revel Method for mobile printing

Also Published As

Publication number Publication date
WO2006045663A1 (de) 2006-05-04
DE102004051403A1 (de) 2006-05-04

Similar Documents

Publication Publication Date Title
EP2443853B1 (de) Verfahren zum einbuchen eines mobilfunkgeräts in ein mobilfunknetz
DE19722424C5 (de) Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System
DE69937954T2 (de) Methode und Verfahren zum sicheren Anmelden in einem Telekommunikationssystem
DE102007014885B4 (de) Verfahren und Vorrichtung zur Steuerung eines Nutzerzugriffs auf einen in einem Datennetz bereitgestellten Dienst
DE102004045147A1 (de) Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm
DE102010055375B4 (de) Automatisiertes Loginverfahren auf einer Fahrzeug-Internetseite durch ein mobiles Kommunikationsendgerät
DE102012103106A1 (de) Verfahren zum Authentifizieren eines Nutzers an einem Dienst auf einem Diensteserver, Applikation und System
WO2003049365A1 (de) Nutzung eines public-key-schlüsselpaares im endgerät zur authentisierung und autorisierung des telekommunikations-teilnehmers gegenüber dem netzbetreiber und geschäftspartnern
EP3528159B1 (de) Verfahren zur erzeugung eines pseudonyms mit hilfe eines id-tokens
EP1964042B1 (de) Verfahren zur vorbereitung einer chipkarte für elektronische signaturdienste
DE102009004490A1 (de) Verfahren und System zur Authentifizierung von Netzknoten eines Peer-to-Peer Netzwerks
WO2000014895A2 (de) Verfahren zur erhöhung der sicherheit von authentisierungsverfahren in digitalen mobilfunksystemen
EP3540623B1 (de) Verfahren zur erzeugung eines pseudonyms mit hilfe eines id-tokens
DE102004051403B4 (de) Mobiles Kommunikationsendgerät mit Authentifizierungseinrichtung, ein solches Gerät enthaltende Netzwerkanordnung und Authentifizierungsverfahren
EP3271855B1 (de) Verfahren zur erzeugung eines zertifikats für einen sicherheitstoken
DE102015208098B4 (de) Verfahren zur Erzeugung einer elektronischen Signatur
DE102013202426A1 (de) Verfahren zum Ermöglichen einer Datenkommunikation zwischen einer Kommunikationseinrichtung eines Kraftfahrzeugs und einem Internetserver und entsprechendes System
EP2456157B1 (de) Schutz der Privatsphäre bei der Anmeldung eines Nutzers an einem gesicherten Webdienst mittels eines Mobilfunkgerätes
DE10138381B4 (de) Computersystem und Verfahren zur Datenzugriffskontrolle
EP1406459A1 (de) Verfahren zur mehrfaktorfähigen Authentifizierung durch Passwortübermittlung über mobile Endgeräte mit optionaler Pin
DE102005003208A1 (de) Authentisierung eines Benutzers
EP3629542B1 (de) Ausgeben von vertraulichen daten über ein festnetztelefons
DE102020129224B4 (de) Datenverarbeitungsvorrichtung zum Aufbauen einer sicheren Kommunikationsverbindung über einen Zugangspunkt
EP3435697B1 (de) Verfahren zur authentisierung eines nutzers gegenüber einem diensteanbieter und authentisierungseinrichtung
EP4115584B1 (de) Gesicherter und dokumentierter schlüsselzugriff durch eine anwendung

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8339 Ceased/non-payment of the annual fee