DE102005003208A1 - End device user authenticating method for e.g. mobile network, involves transmitting authentication data to authentication server by communication network for purpose of authentication of user, where authentication is executed by server - Google Patents

End device user authenticating method for e.g. mobile network, involves transmitting authentication data to authentication server by communication network for purpose of authentication of user, where authentication is executed by server

Info

Publication number
DE102005003208A1
DE102005003208A1 DE200510003208 DE102005003208A DE102005003208A1 DE 102005003208 A1 DE102005003208 A1 DE 102005003208A1 DE 200510003208 DE200510003208 DE 200510003208 DE 102005003208 A DE102005003208 A DE 102005003208A DE 102005003208 A1 DE102005003208 A1 DE 102005003208A1
Authority
DE
Grant status
Application
Patent type
Prior art keywords
authentication
terminal
user
method according
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE200510003208
Other languages
German (de)
Other versions
DE102005003208B4 (en )
Inventor
Rainer Schönberner
Olaf Schwan
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient Mobile Security GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers; Analogous equipment at exchanges
    • H04M1/66Substation equipment, e.g. for use by subscribers; Analogous equipment at exchanges with means for preventing unauthorised or fraudulent calling
    • H04M1/667Preventing unauthorised calls from a telephone set
    • H04M1/67Preventing unauthorised calls from a telephone set by electronic means

Abstract

The method involves determining authentication data (24, 26) depending on signals produced by a signal conditioning unit responding to an action of a user by authentication modules (20, 22). The data are transmitted to an authentication server (28), situated remote from end devices (16, 18), by a communication network (14) for the purpose of an authentication of a user, where the authentication is executed by the server. Independent claims are also included for the following: (A) authentication modules equipped for application in a method for authenticating a user of an end device (B) end devices equipped for application in a method for authenticating a user of an end device.

Description

  • Die Erfindung betrifft allgemein das Gebiet der Authentisierung und insbesondere das Gebiet der Authentisierung eines Benutzers eines nicht unbedingt vertrauenswürdigen Endgeräts. The invention relates generally to the field of authentication and specifically to the field of authentication of a user of a not necessarily trusted terminal.
  • Im Zuge des stetigen Wachstums von Telekommunikations- und Zahlungsverkehrsnetzen sowie der zunehmenden Menge von zugriffsbeschränkten Inhalten, die über solche Netze verfügbar sind, spielt die Frage der sicheren und gleichzeitig bequemen Benutzerauthentisierung eine immer größere Rolle. As part of the steady growth of telecommunications and payment networks as well as the increasing amount of restricted content that is available through such networks, the issue of safe and at the same convenient user authentication plays an increasingly important role.
  • Bei Telekommunikations- und Zahlungsverkehrnetzen ist eine Zwei-Faktor-Authentisierung bekannt, bei der sich der Benutzer durch den Besitz eines personalisierten Authentisierungstokens – zB einer Chipkarte oder eines SIM-Moduls – und durch Kenntnis eines Geheimnisses – zB einer Geheimzahl – als berechtigt ausweisen muss. In telecommunications and payment networks, a two-factor authentication is known, in which the user by holding a personalized authentication tokens - must prove to be justified - for example, a smart card or a SIM module - and knowledge of a secret - a secret code, for example. Zur Authentisierung führt der Benutzer das Authentisierungstoken in ein Endgerät – zB ein Telefon oder ein Zahlungsverkehrsterminal – ein und gibt ferner seine Geheimzahl über eine Tastatur des Endgeräts ein. For authentication, the user performs the authentication token into a terminal - for example, a telephone or a payment terminal - and is also his secret code via a keyboard of the terminal one. Die eigentliche Authentisierung erfolgt dann durch das Authentisierungstoken oder durch einen entfernt befindlichen Authentisierungsserver. The actual authentication is then performed by the authentication token or by one remote authentication server.
  • Bei diesem bekannten Authentisierungsverfahren besteht jedoch das Problem, dass das Endgerät vertrauenswürdig sind muss, weil das Geheimnis des Benutzers in das Endgerät eingegeben wird. In this known authentication procedures, however, the problem is that the terminal needs because the secret of the user is entered into the terminal are trustworthy. Ein manipuliertes Endgerät könnte dieses Geheimnis – zB die über eine Tastatur des Endgeräts eingegebene Geheimzahl – speichern und einem unbefugten Dritten zugänglich machen. A manipulated terminal could this mystery - for example, the secret number entered via a keyboard of the terminal - save and make available an unauthorized third party. Dieses Risiko beeinträchtigt – unabhängig davon, ob es sich in der Praxis tatsächlich verwirklicht – die Akzeptanz von Authorisierungs systemen, bei denen der Benutzer ein Geheimnis in ein von einem Dritten bereitgestelltes Endgerät eingeben muss. This risk affects - regardless of whether it is actually realized in practice - the acceptance of Remote File systems where the user must enter a secret in a third of a-supplied device.
  • Vielen Benutzern fällt es schwer, sich längere und damit sicherere Kennwörter oder Geheimzahlen zu merken. Many users find it difficult to remember long and secure passwords or PIN numbers. Es sind daher biometrische Authentisierungssysteme vorgeschlagen worden, bei denen statt eines Geheimnisses ein biometrisches Merkmal des Benutzers – zB ein Fingerabdruck oder eine Aufnahme des Gesichts oder Auges des Benutzers – verwendet wird. There are, therefore, biometric authentication systems have been proposed in which instead of a secret a biometric feature of the user - for example, a fingerprint or a photograph of the face or eye of the user - is used. Auch hier besteht jedoch das Problem, dass dem Endgerät, über das die biometrische Prüfung durchgeführt wird, vertraut werden muss. Again, however, there is the problem that the terminal through which the biometric test is carried out must be trusted. Psychologische Aspekte spielen dabei eine noch größere Rolle als bei der Eingabe von Geheimnissen, weil viele Benutzer die Überprüfung eines biometrischen Merkmals als Eingriff in ihre persönliche Sphäre empfinden und daher besonders sensibel auf bestehende oder vermutete Risiken einer unbefugten Ausspähung der biometrischen Daten reagieren. Psychological aspects play an even greater role than entering of secrets, because many users find the verification of a biometric as an intrusion into their personal sphere and is therefore particularly sensitive to existing or suspected risks of unauthorized spying biometric data.
  • US 6,636,620 B1 US 6,636,620 B1 offenbart ein Authentisierungssystem mit Endgeräten und einem Server. discloses an authentication system comprising terminal equipment and a server. Jedes Endgerät weist einen Fingerabdruck-Sensor und eine Leseeinrichtung für Chipkarten auf. Each terminal has a fingerprint sensor and a reading device for chip cards. Das Endgerät ermittelt Merkmale aus einem Fingerabdruck eines Benutzers und vergleicht diese mit Referenzdaten, die auf einer eingesteckten Chipkarte gespeichert sind. The terminal determines characteristics of a fingerprint of a user and compares them with reference data stored on an inserted smart card.
  • US 6,636,973 B1 US 6,636,973 B1 offenbart ein Computernetz mit einem Server und mindestens einem Client. discloses a computer network having a server and one client. Der Client ist als gewöhnlicher persönlicher Computer ausgestaltet, der mit einem Fingerabdruck-Sensor verbunden ist. The client is configured as an ordinary personal computer connected with a fingerprint sensor. Der Client führt ein Programmpaket für die biometrische Authentisierung aus. The client executes a program package for the biometric authentication.
  • WO 02/091142 A2 offenbart ein Challenge-Response-Verfahren zur Fingerabdruck-Authentisierung. WO 02/091142 A2 discloses a challenge-response method for fingerprint authentication. Ein Client erhält eine Folge von Fragen von einem Server über ein möglicherweise unsicheres Netz. A client receives a series of questions from a server over a potentially insecure network. Wenn der Client die Fragen zutreffend beantwortet, kann der Server darauf schließen, dass dem Client der korrekte Fingerabdruck vorliegt. If the client answers the questions correct, the server may indicate that the client the correct fingerprint exists.
  • Die Systeme, die in den drei gerade genannten Dokumenten beschrieben sind, weisen das gemeinsame Merkmal auf, dass die ermittelten biometrischen Daten ungeschützt in den jeweiligen Endgeräten vorliegen und verarbeitet werden. The systems that are described in the three just mentioned documents have the common feature that the detected biometric data unprotected present in the respective terminals and processed. Ein manipuliertes Endgerät könnte daher die biometrischen Daten unbefugt speichern und/oder manipulieren. A manipulated terminal may therefore store the biometric data without authorization and / or manipulate. Dieses Problem behindert insbesondere die flächendeckende Verbreitung kostengünstiger Endgeräte, weil solche Geräte – zB im Vergleich zu besonders geschützten Geldautomaten – leichter manipulierbar sind. This problem hampered in particular the widespread deployment of cost-effective devices because such devices - for example, compared to specially protected ATMs - are easier to manipulate.
  • Die Erfindung hat daher die Aufgabe, eine Technik zur Authentisierung eines Benutzers eines Endgeräts bereitzustellen, die auch dann hohe Sicherheit gegen Ausspähung und/oder Manipulation bietet, wenn dem Endgerät nicht unbedingt vertraut werden kann. The invention therefore has the object to provide a technique for authenticating a user of a terminal that also provides high security against spying and / or manipulation, if the terminal can not necessarily be trusted. In bevorzugten Ausgestaltungen soll die Erfindung für den Benutzer besonders bequem zu verwenden sein. In preferred embodiments, the invention for the user to be particularly convenient to use.
  • Erfindungsgemäß wird diese Aufgabe ganz oder zum Teil gelöst durch ein Verfahren mit den Merkmalen von Anspruch 1, ein Authentisierungsmodul gemäß Anspruch 18 und ein Endgerät gemäß Anspruch 19. Die abhängigen Ansprüche definieren bevorzugte Ausgestaltungen der Erfindung. According to the invention this object is wholly or partly solved by a method having the features of claim 1, an authentication module according to claim 18 and a terminal according to claim 19. The dependent claims define preferred embodiments of the invention.
  • Die Erfindung geht von der Grundidee aus, ein beim Benutzer befindliches Authentisierungsmodul und einen nicht-lokalen Authentisierungsserver einzusetzen, wobei das Authentisierungsmodul Authentisierungsdaten bestimmt und diese dann auf eine gegen Ausspähung und/ oder Verfälschung durch das Endgerät gesicherte Weise an den Authentisierungsserver sendet. The invention starts from the basic idea of ​​using a befindliches the user authentication module and a non-local authentication server, the authentication module determines authentication data and sending the message to a against spying and / or distortion by the terminal in a secure manner to the authentication server.
  • Auch wenn das Authentisierungsmodul räumlich beim Benutzer angeordnet ist, wird es somit in logischer Hinsicht zu einem Teil des Authentisierungsservers. Even if the authentication module is arranged spatially the user, it is therefore in a logical respect to a portion of the authentication server. Eine unbefugte Verwendung der Authentisierungsdaten durch das Endgerät wird damit zuverlässig vermieden. Unauthorized use of the authentication data by the terminal is thus reliably avoided. Dies erhöht die Sicherheit des Authentisierungsvorgangs auch bei einem nicht vertrauenswürdigen Endgerät und steigert die Benutzerakzeptanz. This increases the security of the authentication process even when an untrusted device and increases user acceptance.
  • Da durch die erfindungsgemäße Technik eine hohe Sicherheit für den Benutzer bereitgestellt wird, kann sich der Benutzer bedenkenlos an beliebigen Endgeräten anmelden. As provided by the inventive technique, a high level of security for the user, the user can log in without hesitation to any end device. Die Erfindung ist daher auch zur Verwendung mit Endgeräten geeignet, die sich in öffentlichen oder zumindest einem größeren Personenkreis zugänglichen Räumen befinden. The invention is therefore also suitable for use with terminals which are located in public or at least a larger group of persons accessible spaces. Beispielsweise kann die Erfindung bei öffentlichen oder innerhalb eines Firmengebäudes allgemein zugänglichen Telefonen verwendet werden. For example, the invention in public or within a company building generally accessible telephones can be used. Es ist dann nicht erforderlich, dass jeder Benutzer über ein eigenes Endgerät verfügt. It is then not necessary that each user has its own terminal.
  • In bevorzugten Ausgestaltungen findet zumindest zum Teil eine biometrische Authentisierung statt, bei der mindestens ein biometrisches Merkmal des Benutzers in die Authentisierungsdaten eingeht und von dem Authentisierungsserver überprüft wird. In preferred embodiments, a biometric authentication takes place at least in part, on the received at least one biometric feature of the user in the authentication data and is verified by the authentication server. Das mindestens eine biometrische Merkmal kann beispielsweise aus einem Fingerabdruck des Benutzers oder aus einer Aufnahme des Gesichts oder eines Auges des Benutzers oder aus einer dynamischen Analyse eines vom Benutzer geleisteten Schriftzuges oder aus einer Stimmanalyse gewonnen werden. The at least one biometric feature can for example be obtained from a fingerprint of the user or from a recording of the face or an eye of the user or from a dynamic analysis of a work done by the user lettering or from a voice analysis. Die Eingabeeinheit des Authentisierungsmoduls weist in solchen Ausgestaltungen einen entsprechenden biometrischen Sensor, beispielsweise einen Fingerabdruck-Sensor oder eine Kamera oder eine Schreibfläche oder ein Mikrofon, auf. The input unit of the authentication module comprises in such embodiments an appropriate biometric sensor, such as a fingerprint sensor or a camera or a writing surface or a microphone on.
  • Zusätzlich zu der biometrischen Authentisierung oder statt dieser kann in manchen Ausgestaltungen die Eingabe eines Geheimnisses des Benutzers, zB einer Gemeinzahl, gefordert werden. In addition to the biometric authentication or instead of entering a secret of the user, such as a common number may be required in some configurations. Die Eingabeeinheit des Authentisierungsmoduls weist dann zB eine Tastatur auf. The input unit of the authentication module then has for example a keyboard.
  • Insbesondere eine biometrische Authentisierung kann in manchen Ausgestaltungen ohne zusätzliches Authentisierungstoken ausgeführt werden. In particular, a biometric authentication can be performed in some embodiments without additional authentication tokens. Dies ist für den Benutzer besonders bequem und auch für den Anbieter vorteilhaft, weil die Beschaffung, Lagerung, Personalisierung, Distribution und Aktivierung von Authentisierungstoken Kosten verursacht und nicht immer fehlerfrei abläuft. This is particularly convenient and advantageous for the provider to the user because the procurement, storage, personalization, distribution and activation of authentication token generates costs and not always error free.
  • Die Authentisierung des Benutzers umfasst eine zuverlässige Feststellung der Benutzeridentität. The user authentication includes a reliable determination of the user's identity. Beispielsweise kann der Benutzer Identitätsdaten wie zB einen Benutzernamen oder eine Benutzernummer am Authentisierungsmodul oder am Endgerät eingeben oder solche Identitätsdaten auf einem maschinenlesbaren Datenträger dem Endgerät oder dem Authentisierungsmodul zugänglich machen. For example, the user identity data, such as can enter a user name or user number in the authentication module or on the terminal or making such identification data on a machine readable data carrier to the terminal or the authentication module accessible. In der Regel wird die vom Benutzer angegebene Identität nicht als geheim angesehen, so dass in manchen Ausgestaltungen vorgesehen sein kann, dass das Endgerät die Identitätsdaten ermittelt und unverschlüsselt an den Authentisierungsserver sendet. Usually specified by the user identity is not considered secret, may be provided so that in some embodiments that the terminal determines the identity data and unencrypted sends to the authentication server. Wenn das Authentisierungsmodul als eigenständiges Gerät ausgestaltet ist, das der Benutzer mit sich führt, können die Identitätsinformationen für diesen Benutzer auch fest im Authentisierungsmodul gespeichert sein. If the authentication module is configured as a standalone device that leads the user to the identity information for that user can be permanently stored in the authentication module.
  • Für den Benutzer besonders praktisch sind Ausführungsformen, bei denen die Identität des Benutzers aus den biometrischen Merkmalsdaten, beispielsweise der Fingerabdruck-Information, abgeleitet wird. in which the identity of the user from the biometric feature data, for example, the fingerprint information is derived for the user are particularly useful embodiments. Hierbei können in manchen Ausgestaltungen Informationen über das vom Benutzer verwen dete Endgerät herangezogen werden; Here, in some embodiments, information about the USAGE user-finished terminal can be used; so kann zB bei Telefonen, die sich innerhalb einer Firmenabteilung befinden, die Identität von Mitarbeitern dieser Abteilung automatisch aus deren Fingerabdrücken festgestellt werden, während von anderen Firmenangehörigen die Eingabe einer Identifikationsnummer am Endgerät angefordert wird. for example, the identity of employees of this department are automatically determined from their fingerprints on phones that are located within a corporate department, while the input of an identification number of other company members will be required at the terminal.
  • Die sichere Identitätsfeststellung, die durch den erfindungsgemäßen Authentisierungsvorgang erzielt wird, erlaubt beispielsweise kundenspezifische Serviceangebote, eine eindeutige Rechnungsstellung und die Absicherung von Zahlungsvorgängen. The secure identity verification, which is achieved by the inventive authentication process, for example, allows customized services, the unique billing and the security of payment transactions.
  • Um die Sicherheit der erfindungsgemäßen Authentisierung zu gewährleisten, muss eine hinreichende funktionale Trennung zwischen dem Endgerät und dem Authentisierungsmodul bestehen. To ensure the security of the authentication according to the invention, an adequate functional separation between the terminal and the authentication module must exist. Dies schließt jedoch nicht aus, dass in manchen Ausführungsformen das Endgerät und das Authentisierungsmodul mechanisch fest miteinander verbunden sind. However, this does not exclude that in some embodiments, the terminal and the authentication module are mechanically firmly joined together. In anderen Ausgestaltungen können dagegen das Endgerät und das Authentisierungsmodul zwei voneinander getrennte Geräte sein, die drahtlos oder über eine Leitung miteinander in Verbindung stehen. In other embodiments, however, the terminal and the authentication module may be two separate devices that are wirelessly or via a line with each other. Insbesondere kann in solchen Ausgestaltungen der Benutzer ein eigenes Authentisierungsmodul besitzen, das er, wenn ein Authentisierungsvorgang auszuführen ist, über eine Leitung oder eine Funkschnittstelle – zB eine Bluetooth ® -Verbindung – an ein beliebiges Endgerät ankoppelt. In particular, in such embodiments, the user may have their own authentication module that he, when an authentication process is to be performed via a cable or a radio interface - coupling to an arbitrary terminal - a Bluetooth ® connection for example.
  • In bevorzugten Ausgestaltungen nutzt das Authentisierungsmodul zur Datenübertragung an den Authentisierungsserver zumindest einige Einrichtungen des Endgeräts. In preferred embodiments, the authentication module uses to transfer data to the authentication server at least some facilities of the terminal. So kann beispielsweise das Authentisierungsmodul die bereits verschlüsselten und somit für das Endgerät unlesbaren Authentisierungsdaten über eine geeignete Schnittstelle an das Endgerät übergeben, und das Endgerät kann diese Daten auf an sich bekannte Weise an den Authentisierungsserver weiterleiten. For example, the authentication module to pass the already encrypted and therefore unreadable for the terminal authentication data via a suitable interface to the terminal, and the terminal can forward this information in a known manner to the authentication server. In logischer Hinsicht wird dadurch ein unmittelbarer Datenübertragungskanal zwischen dem Authentisierungsmodul und dem Authentisierungsserver gebildet, während in physischer Hinsicht und auf den hardwarenahen Protokollebenen dieser Datenübertragungskanal über das Endgerät verläuft. Logically, characterized a direct communication channel between the authentication module and the authentication server is formed while extending in physical terms and in the hardware-level protocol layers of the data transmission channel via the terminal.
  • Zum Schutz der Authentisierungsdaten gegen eine Ausspähung und/ oder Verfälschung kann mindestens eine Verschlüsselung nach einem symmetrischen und/oder einem asymmetrischen Verfahren erfolgen. To protect the authentication data against spying and / or distortion may occur at least an encryption according to a symmetrical and / or asymmetrical method. In manchen Ausgestaltungen werden mehrere Verschlüsselungsverfahren kombiniert, um eine Authentisierung über einen zusätzlichen Vermittlungsserver durchzuführen. In some embodiments, a plurality of encryption methods are combined to perform an authentication of an additional call server.
  • Die Authentisierung kann in manchen Ausgestaltungen den Zugang zu einem Netz und/ oder den Zugriff auf Inhalte betreffen. The authentication may affect access to a network and / or to access content in some embodiments. Im hier verwendeten Sinne kann das Netz beispielsweise ein Zahlungsverkehrsnetz oder ein Kommunikationsnetz – zB ein Festnetz, ein Mobilfunknetz oder ein WLAN-Netz – sein; As used herein, the network may, for example, a bank wire or a communication network - be - for example, a fixed network, a cellular network or a wireless network; das Endgerät ist dann vorzugsweise ein für das entsprechende Netz vorgesehenes Terminal. the terminal is then preferably provided for the corresponding network terminal. Die Inhalte können kundenspezifisch oder allgemein sein und zB vertrauliche Daten, urheberrechtlich geschützte Medieninhalte oder persönliche Nachrichten umfassen. The content can be custom or general and include confidential data, copyrighted media content or personal messages.
  • Das Authentisierungsmodul und das Endgerät weisen in bevorzugten Weiterbildungen Merkmale auf, die den oben erwähnten und/ oder den in den abhängigen Verfahrensansprüchen genannten Merkmalen entsprechen. The authentication module and the terminal have in preferred embodiments of features which the above-mentioned and / or similar to those mentioned in the dependent method claims.
  • Weitere Merkmale, Aufgaben und Vorteile der Erfindung ergeben sich aus der folgenden Beschreibung mehrerer Ausführungsbeispiele und Ausfüh rungsalternativen. Other features, objects and advantages of the invention will become approximately alternative from the following description of several embodiments and exporting. Es wird auf die schematischen Zeichnungen verwiesen, in denen zeigen: Reference is made to the schematic drawings, in which:
  • 1 1 ein Blockdiagramm eines Ausführungsbeispiels der Erfindung, a block diagram of an embodiment of the invention,
  • 2 2 einen beispielhaften Ablauf in dem System gemäß an exemplary sequence in the system according to 1 1 , und , and
  • 3 3 ein Blockdiagramm eines weiteren Ausführungsbeispiels der Erfindung. a block diagram of another embodiment of the invention.
  • In dem in Where in 1 1 gezeigten Ausführungsbeispiel sind zwei Telefonstationen Embodiment shown are two telephone stations 10 10 , . 12 12 an ein Kommunikationsnetz to a communication network 14 14 angeschlossen. connected. Die Telefonstationen The telephone stations 10 10 , . 12 12 weisen je ein Endgerät each have a terminal 16 16 , . 18 18 und ein damit in Verbindung stehendes Authentisierungsmodul and thus in communication authentication module 20 20 , . 22 22 auf. on. Bei der ersten Telefonstation In the first telephone station 10 10 ist das Authentisierungsmodul the authentication module 20 20 mechanisch in das Endgerät mechanically into the terminal 16 16 integriert. integrated. Bei der zweiten Telefonstation In the second telephone station 12 12 sind das Endgerät are the terminal 18 18 und das Authentisierungsmodul and the authentication module 22 22 dagegen als getrennte Geräte ausgestaltet, die über eine Funkverbindung kurzer Reichweite – zB eine Bluetooth-Verbindung – Daten auszutauschen vermögen. however, designed as separate devices via a radio link short-range - for example, a Bluetooth connection - are able to exchange data.
  • Die Authentisierungsmodule The authentication modules 20 20 , . 22 22 sind dazu eingerichtet, Authentisierungsdaten are adapted authentication data 24 24 , . 26 26 zu ermitteln, und zwar in Abhängigkeit von Signalen, die von je einer Eingabeeinheit der Authentisierungsmodule to determine, in dependence on signals provided by a respective input unit of the authentication modules 20 20 , . 22 22 ansprechend auf eine Aktion eines Benutzers erzeugt werden. be generated in response to an action of a user. Im vorliegend gezeigten Ausführungsbeispiel sind die Eingabeeinheiten der Authentisierungsmodule In the present exemplary embodiment shown, the input units of the authentication modules 20 20 , . 22 22 je ein Fingerabdruck-Sensor, der in depending on a fingerprint sensor, which in 1 1 durch je eine gebogene Linie angedeutet ist. is indicated by a respective curved line. Wenn der Benutzer als Benutzeraktion einen Finger auf den Fingerabdruck-Sensor legt, erzeugt letzterer Signale, die zB das Rillenmuster der Fingerkuppe wiedergeben. If the user specifies a user action a finger on the fingerprint sensor generates latter signals representative of, for example, the groove pattern of the fingertip. In Ausführungsalternativen sind andere biometrische Sensoren als Eingabeeinheiten der Authentisierungsmodule In alternative embodiments, other biometric sensors as input units of the authentication modules 20 20 , . 22 22 vorgesehen. intended. Statt eines biometrischen Sensors oder zusätzlich dazu können die Eingabeeinheiten in manchen Ausgestaltungen auch eine Tastatur oder ein sonstiges Mittel zur Eingabe eines Geheimnisses des Benutzers aufweisen. Instead of a biometric sensor or in addition, the input devices may also include a keyboard or other means for inputting a secret of the user in some embodiments.
  • Ein Authentisierungsserver An authentication server 28 28 vermag Daten über das Kommunikationsnetz can data via the communication network 14 14 auszutauschen. exchange. Der Authentisierungsserver The authentication server 28 28 steuert den Zugang der Endgeräte controls the access of the terminals 16 16 , . 18 18 zu dem Kommunikationsnetz to the communication network 14 14 oder zu anderen Netzen und/oder zu Inhalten, die in diesen Netzen verfügbar sind. or to other networks and / or content that are available in these networks. Hierzu verifiziert der Authentisierungsserver For this verifies the authentication server 28 28 die übermittelten Authentisierungsdaten the authentication data transmitted 24 24 , . 26 26 auf an sich bekannte Weise durch einen Vergleich mit mindestens einem Referenzmuster der biometrischen Merkmale des Benutzers, das der Benutzer vorab – zB im Zuge eines Anmeldungsvorgangs – bei einem Netzanbieter oder einer Zertifizierungsstelle hinterlegt hat. in manner known per se by comparison with at least one reference pattern of biometric features of the user, which the user in advance - has deposited at a network provider or a certification authority - for example, during a registration process.
  • Die Übertragung der Authentisierungsdaten The transmission of the authentication data 24 24 , . 26 26 von dem Authentisierungsmodul from the authentication module 20 20 , . 22 22 zum Authentisierungsserver the authentication server 28 28 erfolgt in physischer Hinsicht sowie auf den hardwarenahen Protokollebenen über die Endgeräte takes place in physical terms as well as the hardware-oriented protocol layers on the terminals 16 16 , . 18 18 sowie das Kommunikationsnetz and the communication network 14 14 . , Dabei werden die Authentisierungsdaten The authentication data 24 24 , . 26 26 jedoch auf geeignete Weise – zB durch eine Verschlüsselung – gegen eine Ausspähung und/oder Verfälschung durch die nicht unbedingt vertrauenswürdigen Endgeräte However, in an appropriate manner - for example by encryption - against a spying and / or distortion by not necessarily trusted devices 16 16 , . 18 18 gesichert. secured.
  • In logischer Hinsicht kann daher von einer direkten und unmittelbaren Übertragung der Authentisierungsdaten Logically, therefore, a direct and immediate transmission of the authentication data 24 24 , . 26 26 von den Authentisierungsmodulen of the authentication modules 20 20 , . 22 22 zu dem Authentisierungsserver to the authentication server 28 28 gesprochen werden; spoken; dies ist in this is in 1 1 durch gestrichelte Pfeile veranschaulicht. illustrated by dashed arrows. Mit anderen Worten können die Authentisierungsmodule In other words, the authentication modules 20 20 , . 22 22 , auch wenn sie sich physisch in der Nähe der Endgeräte Even if they are physically close to the terminal 16 16 , . 18 18 befinden oder sogar in diese integriert sind, logisch als Teile des Authentisierungsservers located or even integrated into it, logically as part of the authentication server 28 28 – gleichsam als "vorgelagerte Sicherheitsagenten" – angesehen werden. - be considered - as a "upstream security agents".
  • Um die gesicherte Übertragung der Authentisierungsdaten To ensure the secure transmission of authentication data 24 24 , . 26 26 bei gleichzeitigem Schutz vor Hardware-Manipulationen zu erreichen, ist bei den Authentisierungsmodulen reach while protecting against hardware manipulation, is in the authentication modules 20 20 , . 22 22 im vorliegenden Ausführungsbeispiel vorgesehen, die Eingabeeinheit hardwaretechnisch mit Mitteln zum Aufbauen eines virtuellen privaten Netzes (VPN) zu integrieren. provided in the present embodiment to integrate the input unit hardware technology with means for establishing a virtual private network (VPN). Beispielsweise kann die hier als Fingerabdruck-Sensor ausgestaltete Eingabeeinheit – oder eine dem Sensor zugeordnete Auswerteelektronik – mit einer VPN-Baugruppe auf einem einzigen Halbleiterchip oder in einem einzigen, gekapselten Halbleitermodul integriert sein. For example, the here designed as a fingerprint sensor input unit - or associated with the sensor evaluation electronics - to be integrated with a VPN module on a single semiconductor chip or in a single, packaged semiconductor module.
  • 2 2 zeigt einen beispielhaften Ablauf eines Authentisierungsvorgangs in dem in shows an exemplary sequence of an authentication process in the in 1 1 dargestellten System. System illustrated. Zur einfacheren Darstellung wird angenommen, dass sich der Benutzer bei der Authentisierung der ersten Telefonstation For ease of illustration, it is assumed that the user with the authentication process of the first telephone station 10 10 bedient. served. Es versteht sich, dass der Authentisierungsablauf gemäß It is understood that the authentication procedure according 2 2 ebenso mittels der zweiten Telefonstation as well by the second telephone station 12 12 oder anderen geeigneten Vorrichtungen – nicht notwendigerweise Telefonen – durchgeführt werden kann. or other suitable means - not necessarily phones - can be carried out.
  • Zu Beginn des Authentisierungsvorgangs werden in Schritt At the start of the authentication process in step 30 30 biometrische Merkmale eingelesen, indem der Benutzer zB seinen Finger auf den Fingerabdruck-Sensor des Authentisierungsmoduls biometric features read by the user, for example, his finger on the fingerprint sensor of the authentication module 20 20 legt. sets. Das Authentisierungsmodul The authentication module 20 20 bestimmt daraufhin in Schritt then determines in step 32 32 die Authentisierungsdaten the authentication data 24 24 . , Diese Authentisierungsdaten This authentication data 24 24 geben im vorliegenden Ausführungsbeispiel nicht nur die eingelesenen biometrischen Merkmale an, sondern enthalten auch eine eindeutige Kennung des Endgeräts type in the present embodiment, not only the read biometric features, but also contain a unique identifier of the terminal 16 16 . , Diese Kennung kann zB eine IMEI-Nummer (IMEI = International Mobile Equipment Identity) sein, die das Endgerät This identifier may be for example an IMEI number (IMEI = International Mobile Equipment Identity), the terminal, the 16 16 dem Authentisierungsmodul the authentication module 20 20 übermittelt. transmitted.
  • Das Authentisierungsmodul The authentication module 20 20 baut nun in Schritt is now expanding in step 34 34 einen gesicherten Datenübertragungskanal a secure data transmission channel 36 36 zu dem Authentisierungsserver to the authentication server 28 28 auf. on. Der Datenübertragungskanal The data transmission channel 36 36 nutzt die Hardware – zB Sender, Empfänger, digitale Signalprozessoren – und manche Softwaremodule des Endgeräts uses hardware - such as transmitters, receivers, digital signal processors - and some software modules of the terminal 16 16 . , Jedoch ist der Datenübertragungskanal However, the data transmission channel 36 36 durch geeignete Maßnahmen gegen eine Ausspähung und/oder Verfälschung der darauf übertragenen Informationen durch das Endgerät by suitable measures against spying and / or corruption of the transmitted information thereon by the terminal 16 16 geschützt. protected. Solche Maßnahmen sind aus dem Gebiet der virtuellen privaten Netze an sich bekannt; Such measures are known from the field of virtual private networks per se; beispielsweise kann ein SSL-Protokoll (SSL = Secure Socket Layer) eingesetzt werden. for example, an SSL (SSL = Secure Socket Layer) can be used.
  • Die Reihenfolge der Schritte The sequence of steps 30 30 , . 32 32 und and 34 34 ist in is in 2 2 lediglich beispielhaft gezeigt. merely exemplified. Es versteht sich, dass in Ausführungsalternativen der gesicherte Datenübertragungskanal It is understood that in alternative embodiments, the secure data transmission channel 36 36 schon zu Beginn des Authentisierungsvorgangs oder parallel zu den Schritten des Einlesens der biometrischen Merkmale und des Bestimmens der Authentisierungsdaten aufgebaut werden kann. can be established at the beginning of the authentication process or in parallel with steps of reading the biometric features and determining the authentication data.
  • In Schritt in step 38 38 sendet das Authentisierungsmodul sends the authentication module 20 20 die Authentisierungsdaten the authentication data 24 24 über den gesicherten Datenübertragungskanal via the secure communication channel 36 36 an den Authentisierungsserver to the authentication server 28 28 . , Diese Datenübermittlung kann durch das Endgerät This data transmission can be by the terminal 16 16 weder abgehört noch manipuliert werden. neither intercepted nor manipulated.
  • Der Authentisierungsserver The authentication server 28 28 führt in Schritt leads in step 40 40 die eigentliche Authentisierung durch. the actual authentication by. Hierbei vergleicht der Authentisierungsserver Here, the authentication server compares 28 28 auf an sich bekannte Weise die in den Authentisierungsdaten in a known manner in the authentication data 24 24 enthaltenen biometrischen Merkmale mit mindestens einem vorgegebenen Referenzmuster contained biometric features with at least one predetermined reference pattern 42 42 . , In unterschiedlichen Ausgestaltungen kann die Identität des Benutzers in den Authentisierungsdaten In various embodiments, the identity of the user can in the authentication data 24 24 angegeben sein oder zusammen mit den Authentisierungsdaten be given or together with the authentication data 24 24 an den Authentisierungsserver to the authentication server 28 28 gesendet werden oder vom Authentisierungsserver are sent from the authentication server, or 28 28 aus den biometrischen Merkmalen – gegebenenfalls unter zusätzlicher Verwendung einer in den Authentisierungsdaten from the biometric features - optionally with the additional use of the authentication data 24 24 enthaltenen Gerätekennung – ermittelt werden. be determined - device ID contained.
  • Nach Abschluss der Authentisierung wird in einem optionalen Schritt After completing the authentication is in an optional step 44 44 das Ergebnis in Form von Ergebnisdaten the result in the form of result data 46 46 an das Authentisierungsmodul to the authentication module 20 20 zurückgemeldet. returned. Die Ergebnisdaten The result data 46 46 enthalten in manchen Ausgestaltungen lediglich die Information, ob die Authentisierung erfolgreich war oder nicht, während in anderen Ausführungsformen bei einer erfolgreichen Authentisierung bereits eine Transaktionsbestätigung und/ oder angeforderte Inhalte in den Ergebnisdaten in some embodiments, only the information whether the authentication was successful or not, while in other embodiments in a successful authentication already a transaction confirmation and / or requested content through the results 46 46 enthalten sein kann/können. can / may be included.
  • In dem Ausführungsbeispiel gemäß In the embodiment according to 2 2 werden die Ergebnisdaten be the result data 46 46 über den gesicherten Datenübertragungskanal via the secure communication channel 36 36 gesendet und allenfalls vom Authentisierungsmodul sent from the authentication module and possibly 20 20 zum Endgerät to the terminal 16 16 weitergeleitet. forwarded. Es sind jedoch auch Ausführungsvarianten vorgesehen, bei denen der Authentisierungsserver However, there are also variants provided in which the authentication server 28 28 die Ergebnisdaten the result data 46 46 außerhalb des gesicherten Datenübertragungskanals outside the secure data transmission channel 36 36 zum Authentisierungsmodul the authentication module 20 20 oder unmittelbar zum Endgerät or directly to the terminal 16 16 überträgt. transfers.
  • Falls die Authentisierung in Schritt If the authentication in step 40 40 erfolgreich war und der vom Benutzer gewünschte Vorgang durch die Rückmeldung der Ergebnisdaten was successful and the user's desired operation by the feedback of the result data 46 46 noch nicht abgeschlossen ist, gibt der Authentisierungsserver is not yet complete, is the authentication server 28 28 in Schritt in step 48 48 den Netzzugang und/oder den Zugriff auf die angeforderten Inhalte für das Endgerät network access and / or access to the requested content for the terminal 16 16 frei. free. Diese Freigabe wird im Authentisierungsserver This release is the authentication server 28 28 oder an einer anderen Stelle des Netzes, auf das zugegriffen werden soll, unter Angabe der Gerätekennung, also des eindeutigen Bezeichners des Endgeräts or at some other point in the network to be accessed, indicating the device ID, so the unique identifier of the terminal 16 16 , gespeichert. , saved. Der Benutzer kann nun über das Endgerät The user can now via the terminal 16 16 den gewünschten Vorgang ausführen. perform the desired operation. In dem hier beschriebenen Ausführungsbeispiel ist dies ein Kommunikationsvorgang, zB ein Telefonat, während dessen Dauer die Authentisierung gültig ist. In the embodiment described here, this is a communication process, such as a phone call, during which time the authentication is valid. Für einen neuen Kommunikationsaufbau müsste sich der Anmelder erneut authentisieren. For a new communications structure, the applicant would have to authenticate again.
  • In vorteilhaften Ausgestaltungen, die sich insbesondere für Kommunikationsdienste eignen, erfordert jede aktive Netznutzung, also sowohl das Senden als auch das Empfangen von Sprache und/oder Daten, eine biometrische Authentisierung. In advantageous embodiments, which are particularly suitable for communication services, requires each active network usage, so both the sending and receiving of voice and / or data, a biometric authentication. Ein erster Benutzer bleibt so lange an einem Endgerät A first user remains at a terminal 16 16 , . 18 18 angemeldet, bis sich entweder ein zweiter Benutzer an diesem Endgerät logged until either a second user at this terminal 16 16 , . 18 18 anmeldet oder sich der erste Benutzer an einem anderen Endgerät logs on or the first user to a different terminal 16 16 , . 18 18 anmeldet oder sich der erste Benutzer aktiv abmeldet. logs or the first user logs off active. Jeder Benutzer muss sich authentisieren und damit auch identifizieren, bevor der Empfang von Sprache und/oder Daten möglich ist. Each user must be authenticated and therefore identify before the reception of voice and / or data is possible. Eingehende Anrufe, die nicht entgegengenommen werden, werden zu einer Mailbox umgeleitet. Incoming calls that are not answered are forwarded to a mailbox.
  • Auch für den Zugang zu der Mailbox eines Benutzers ist in diesen Ausgestaltungen eine Authentisierung erforderlich. For access to a user's mailbox authentication is required in these embodiments. Wenn zB an einem Endgerät For example, if at a terminal 16 16 , . 18 18 der Eingang einer Sprach- und/ oder Datennachricht für einen ersten Benutzer angezeigt wird, können diese Informationen von einem zweiten Benutzer, der sich an diesem Endgerät the input of a voice and / or data message is displayed for a first user, this information can be from a second user who is at this terminal 16 16 , . 18 18 anmeldet, nicht entgegengenommen werden. logs, will not be accepted. Der erste Benutzer kann dagegen unmittelbar auf die Mailbox zugreifen, wenn er sich an einem beliebigen – gegebenenfalls auch einem anderen als dem ursprünglichen – Endgerät wieder anmeldet. The first user can however, have immediate access to the mailbox if it at any - logs terminal again - possibly also other than the original.
  • 3 3 zeigt eine Ausführungsalternative, bei der eine als Mobiltelefon ausgestaltete Telefonstation shows an alternative embodiment in which a designed as a mobile phone station 50 50 über Funk mit dem Kommunikationsnetz by radio to the communication network 14 14 in Verbindung steht. communicates. Ebenso wie bei den bereits beschriebenen Ausführungs beispielen weist die Telefonstation Similarly, examples like those already described execution, the telephone station 50 50 ein Endgerät a terminal 52 52 und ein Authentisierungsmodul and an authentication module 54 54 auf. on. Bei der Netzstruktur gemäß In the network structure according to 3 3 sind mehrere Authentisierungsserver Several authentication server 56 56 , . 58 58 , . 60 60 vorgesehen, die zB unterschiedlichen Dienstanbietern oder unterschiedlichen Ländergruppen zugeordnet sein können. provided which can be associated with, for example, different service providers or different groups of countries. Ein Vermittlungsserver Mediation Server 62 62 sorgt für die Datenkommunikation zwischen dem Kommunikationsnetz provides for data communication between the communication network 14 14 und den Authentisierungsservern and the authentication servers 56 56 , . 58 58 , . 60 60 . ,
  • Bei dem in In the in 3 3 gezeigten Ausführungsbeispiel verschlüsselt das Authentisierungsmodul Embodiment shown encrypts the authentication module 54 54 die zu übertragenden Authentisierungsdaten durch ein als sicher geltendes, symmetrisches Verschlüsselungsverfahren. to be transmitted authentication data by a valid as safe, symmetric encryption method. Während die biometrischen Merkmale eingelesen werden, baut das Authentisierungsmodul While the biometric features are read in, builds the authentication module 54 54 – genauer gesagt, dessen VPN-Einheit – einen sicheren Datenübertragungskanal ("Tunnel") zu dem Vermittlungsserver - more specifically, the VPN Unit - a secure data transmission channel ( "tunnel") to the switching server 62 62 auf. on. Dieser Datenübertragungskanal wird mittels einer asymmetrischen Verschlüsselung abgesichert, wobei im öffentlichen Schlüssel die eindeutige Zuordnung zu einem Dienstanbieter hinterlegt ist. This data transmission channel is secured by means of an asymmetric encryption, said public key in the unambiguous assignment is stored to a service provider.
  • Der Vermittlungsserver The Mediation Server 62 62 entschlüsselt die asymmetrisch verschlüsselten Authentisierungsdaten und leitet die dann immer noch symmetrisch verschlüsselten Daten an den Authentisierungsserver decrypts the asymmetrically-encrypted authentication data, and passes the then still symmetrically encrypted data to the authentication server 56 56 , . 58 58 , . 60 60 des jeweiligen Dienstanbieters weiter. of the respective service provider on. Dort werden die Daten durch das symmetrische Verfahren entschlüsselt, und der Netzzugang wird bei einer erfolgreichen Authentisierung gestattet bzw. bei einem Fehlschlag der Authentisierung abgelehnt. There, the data is decrypted by symmetric methods, and network access is permitted in successful authentication or rejected in case of failure of the authentication.
  • Zusammenfassend sind also bei dem Ausführungsbeispiel gemäß In summary, in accordance with the embodiment 3 3 die Authentisierungsdaten während ihres gesamten Weges vom Authentisierungsmodul the authentication data throughout its path from the authentication module 54 54 zum zugeordneten Authentisierungsserver to the associated authentication server 56 56 , . 58 58 , . 60 60 symmetrisch verschlüsselt, und zusätzlich erfolgt eine asymmetrische Verschlüsselung bei der über das Endgerät symmetrically encrypted, and additionally carried out in the asymmetric encryption via the terminal 52 52 und das Kommunikationsnetz and the communications network 14 14 verlaufenden Datenübermittlung vom Authentisierungsmodul passing of data from the authentication module 54 54 zum Vermittlungsserver to the connection server 62 62 . ,
  • Die hier beschriebenen Ausführungsbeispiele der Erfindung sollen als Erläuterung und nicht als Einschränkung des Erfindungsbereichs verstanden werden. The herein described embodiments of the invention are to be understood as illustrative and not as limiting the invention range. Weitere Abwandlungen sind möglich und für den Fachmann offensichtlich; Further modifications are possible and obvious to those skilled in the art; beispielsweise können durch Kombination der einzelnen Merkmale der hier beschriebenen Ausführungsbeispiele weitere erfindungsgemäße Ausführungsformen erhalten werden. for example, further embodiments of the invention may be obtained by combination of the individual features of the embodiments described herein.

Claims (19)

  1. Verfahren zur Authentisierung eines Benutzers eines Endgeräts ( A method of authenticating a user of a terminal ( 16 16 , . 18 18 , . 52 52 ) unter Verwendung eines Authentisierungsmoduls ( ) (Using an authentication module 20 20 , . 22 22 , . 54 54 ), wobei das Authentisierungsmodul ( ), Wherein the authentication module ( 20 20 , . 22 22 , . 54 54 ) mit dem Endgerät ( ) (With the terminal 16 16 , . 18 18 , . 52 52 ) in Verbindung steht und eine Eingabeeinheit aufweist, mit den Schritten: – durch das Authentisierungsmodul ( ) Is connected and having an input unit, comprising the steps of: - (by the authentication module 20 20 , . 22 22 , . 54 54 ) durchgeführtes Bestimmen von Authentisierungsdaten ( ) Run by determining authentication data ( 24 24 , . 26 26 ) in Abhängigkeit von Signalen, die von der Eingabeeinheit ansprechend auf eine Aktion das Benutzers erzeugt werden, und – Senden der Authentisierungsdaten ( ) In response to signals generated by the input unit in response to an action the user, and - (sending the authentication data 24 24 , . 26 26 ) an einen vom Endgerät ( ) To a (by the terminal 16 16 , . 18 18 , . 52 52 ) entfernt befindlichen Authentisierungsserver ( Authentication server remotely located) ( 28 28 , . 56 56 , . 58 58 , . 60 60 ) über ein Kommunikationsnetz ( ) (Via a communications network 14 14 ) zum Zwecke einer durch den Authentisierungsserver ( ) For the purpose of (by the authentication server 28 28 , . 56 56 , . 58 58 , . 60 60 ) erfolgenden Authentisierung des Benutzers, wobei die Authentisierungsdaten ( ) Taking place authentication of the user, wherein the authentication data ( 24 24 , . 26 26 ) zumindest gegen eine Ausspähung und/ oder Verfälschung durch das Endgerät ( ) At least (against spying and / or distortion by the terminal 16 16 , . 18 18 , . 52 52 ) gesichert werden. ) Are backed up.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Authentisierungsdaten ( A method according to claim 1, characterized in that the authentication data ( 24 24 , . 26 26 ) mindestens ein biometrisches Merkmal des Benutzers angeben. ) Specify at least one biometric feature of the user.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die Identität des Benutzers aus dem mindestens einen biometrischen Merkmal abgeleitet wird. A method according to claim 2, characterized in that the user's identity is derived from the at least one biometric feature.
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Eingabeeinheit einen biometrischen Sensor, insbesondere einen Fingerabdruck-Sensor, aufweist. A method according to any one of claims 1 to 3, characterized in that the input unit comprises a biometric sensor, in particular a fingerprint sensor.
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass zusammen mit den Authentisierungsdaten ( A method according to any one of claims 1 to 4, characterized in that together with the authentication data ( 24 24 , . 26 26 ) oder in den Authentisierungsdaten ( () Or in the authentication data 24 24 , . 26 26 ) Informationen über das Endgerät ( ) Information on the terminal ( 16 16 , . 18 18 , . 52 52 ), insbesondere eine Gerätekennung, an den Authentisierungsserver ( ), In particular a device identifier, (to the authentication server 28 28 , . 56 56 , . 58 58 , . 60 60 ) übertragen werden. ) be transmitted.
  6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass zusammen mit den Authentisierungsdaten ( A method according to any one of claims 1 to 5, characterized in that together with the authentication data ( 24 24 , . 26 26 ) oder in den Authentisierungsdaten ( () Or in the authentication data 24 24 , . 26 26 ) den Benutzer betreffende Identitätsdaten, insbesondere eine Benutzerkennung, an den Authentisierungsserver ( ) Identity data relating in particular a user ID the user, (to the authentication server 28 28 , . 56 56 , . 58 58 , . 60 60 ) übertragen werden. ) be transmitted.
  7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass das Authentisierungsmodul ( Method according to one of claims 1 to 6, characterized in that said authentication module ( 20 20 , . 22 22 , . 54 54 ) über eine Leitung oder drahtlos mit dem Endgerät ( ) (Via a line or wirelessly with the terminal 16 16 , . 18 18 , . 52 52 ) in Verbindung steht. ) Is in communication.
  8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass das Endgerät ( A method according to any one of claims 1 to 7, characterized in that the terminal ( 16 16 , . 18 18 , . 52 52 ) und das Authentisierungsmodul ( ) And the authentication module ( 20 20 , . 22 22 , . 54 54 ) baulich fest miteinander verbunden sind. ) Are structurally fixed to one another.
  9. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass das Endgerät ( A method according to any one of claims 1 to 7, characterized in that the terminal ( 16 16 , . 18 18 , . 52 52 ) und das Authentisierungsmodul ( ) And the authentication module ( 20 20 , . 22 22 , . 54 54 ) als separate Geräte ausgestaltet sind. ) Are designed as separate devices.
  10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass die Authentisierungsdaten ( A method according to any one of claims 1 to 9, characterized in that the authentication data ( 24 24 , . 26 26 ) unter Verwendung von Mitteln des Endgeräts ( ) (Using means of the terminal 16 16 , . 18 18 , . 52 52 ) an den Authentisierungsserver ( ) (To the authentication server 28 28 , . 56 56 , . 58 58 , . 60 60 ) gesendet werden. ) Are sent.
  11. Verfahren nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass die Authentisierungsdaten ( A method according to any one of claims 1 to 10, characterized in that the authentication data ( 24 24 , . 26 26 ) verschlüsselt zum Authentisierungsserver ( ) Encrypts the authentication server ( 28 28 , . 56 56 , . 58 58 , . 60 60 ) übertragen werden. ) be transmitted.
  12. Verfahren nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass die Authentisierungsdaten ( A method according to any one of claims 1 to 11, characterized in that the authentication data ( 24 24 , . 26 26 ) über einen Vermittlungsserver ( ) (Via a mediation server 62 62 ) zum Authentisierungsserver ( ) (For authentication server 56 56 , . 58 58 , . 60 60 ) gesendet werden. ) Are sent.
  13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass die Authentisierungsdaten ( A method according to claim 12, characterized in that the authentication data ( 24 24 , . 26 26 ) symmetrisch verschlüsselt vom Authentisierungsmodul ( ) Symmetrically encrypted (by the authentication module 54 54 ) zum Authentisierungsserver ( ) (For authentication server 56 56 , . 58 58 , . 60 60 ) übertragen werden, und dass zusätzlich eine asymmetrische Verschlüsselung für die Übertragung der Authentisierungsdaten ( to be transferred), and that in addition an asymmetric encryption for the transmission of the authentication data ( 24 24 , . 26 26 ) vom Authentisierungsmodul ( ) (By the authentication module 54 54 ) zum Vermittlungsserver ( ) (To the connection server 62 62 ) verwendet wird. ) is used.
  14. Verfahren nach einem der Ansprüche 1 bis 13, dadurch gekennzeichnet, dass zum Übertragen der Authentisierungsdaten ( A method according to any one of claims 1 to 13, characterized in that (for transmitting the authentication data 24 24 , . 26 26 ) ein gesicherter Datenübertragungskanal ( ) A secure data transmission channel ( 36 36 ) zwischen dem Authentisierungsmodul ( ) (Between the authentication module 20 20 , . 22 22 , . 54 54 ) und dem Authentisierungsserver ( ) And the authentication server ( 28 28 , . 56 56 , . 58 58 , . 60 60 ) aufgebaut wird. ) Will be established.
  15. Verfahren nach Anspruch 14, dadurch gekennzeichnet, dass der Datenübertragungskanal ( A method according to claim 14, characterized in that the data transmission channel ( 36 36 ) physisch über das Endgerät ( ) Physical (via the terminal 16 16 , . 18 18 , . 52 52 ) verläuft. ) Runs.
  16. Verfahren nach einem der Ansprüche 1 bis 15, dadurch gekennzeichnet, dass die Authentisierung ohne Verwendung eines Authentisierungstokens erfolgt. A method according to any one of claims 1 to 15, characterized in that the authentication without using an authentication tokens takes place.
  17. Verfahren nach einem der Ansprüche 1 bis 16, dadurch gekennzeichnet, dass die Authentisierung den Zugang zu einem Netz und/oder den Zugriff auf Inhalte betrifft. A method according to any one of claims 1 to 16, characterized in that the authentication relates to access to a network and / or access to content.
  18. Authentisierungsmodul ( Authentication module ( 20 20 , . 22 22 , . 54 54 ), das zur Verwendung in einem Verfahren nach einem der Ansprüche 1 bis 17 eingerichtet ist. ), Which is adapted for use in a method according to any one of claims 1 to 17.
  19. Endgerät ( terminal ( 16 16 , . 18 18 , . 52 52 ), das zur Verwendung in einem Verfahren nach einem der Ansprüche 1 bis 17 eingerichtet ist. ), Which is adapted for use in a method according to any one of claims 1 to 17.
DE200510003208 2005-01-24 2005-01-24 Authentication of user Active DE102005003208B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200510003208 DE102005003208B4 (en) 2005-01-24 2005-01-24 Authentication of user

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200510003208 DE102005003208B4 (en) 2005-01-24 2005-01-24 Authentication of user

Publications (2)

Publication Number Publication Date
DE102005003208A1 true true DE102005003208A1 (en) 2006-07-27
DE102005003208B4 DE102005003208B4 (en) 2015-11-12

Family

ID=36650569

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200510003208 Active DE102005003208B4 (en) 2005-01-24 2005-01-24 Authentication of user

Country Status (1)

Country Link
DE (1) DE102005003208B4 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011056038A1 (en) * 2011-12-05 2013-06-06 Hochschule Darmstadt Authentication of subscribers of a telephone service
DE102014212038A1 (en) * 2014-06-24 2015-12-24 Qsc Ag Network system with end-to-end encryption

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016225354A1 (en) * 2016-12-16 2018-06-21 Bundesdruckerei Gmbh User authentication with a plurality of features

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0935221A2 (en) * 1998-02-05 1999-08-11 Mitsubishi Denki Kabushiki Kaisha Remote authentication system
DE19809043A1 (en) * 1998-03-04 1999-09-09 Deutsche Telekom Ag Method and apparatus for universal and secured access to telephone networks
WO2001088857A1 (en) * 2000-05-16 2001-11-22 Swisscom Mobile Ag Biometric method for identification and authorisation
US20010044900A1 (en) * 2000-05-16 2001-11-22 Nec Corporation Identification system and method for authenticating user transaction requests from end terminals
US20020056043A1 (en) * 1999-01-18 2002-05-09 Sensar, Inc. Method and apparatus for securely transmitting and authenticating biometric data over a network
EP1229496A2 (en) * 2001-02-02 2002-08-07 Matsushita Electric Industrial Co., Ltd. Information terminal apparatus and authenticating system
US20020152391A1 (en) * 2001-04-13 2002-10-17 Bruce Willins Cryptographic architecture for secure, private biometric identification
US20030051138A1 (en) * 2001-06-25 2003-03-13 Ntt Docomo, Inc. Mobile terminal authentication method and a mobile terminal therefor
US20030220097A1 (en) * 2002-04-23 2003-11-27 Ntt Docomo, Inc. Portable terminal, access control method, and access control program
GB2391992A (en) * 2002-08-12 2004-02-18 Domain Dynamics Ltd Method of authentication
WO2004019190A1 (en) * 2002-08-08 2004-03-04 Nanyang Technological University Distributed processing in authentication
US20040120552A1 (en) * 2002-12-19 2004-06-24 Frank Borngraber Mobile communication terminal with built-in camera
EP1486913A1 (en) * 2002-03-15 2004-12-15 Matsushita Electric Industrial Co., Ltd. Individual authentication device and cellular terminal apparatus
US20040255168A1 (en) * 2003-06-16 2004-12-16 Fujitsu Limited Biometric authentication system

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2950307B2 (en) * 1997-11-28 1999-09-20 日本電気株式会社 Personal authentication device and the personal authentication method
US6636973B1 (en) * 1998-09-08 2003-10-21 Hewlett-Packard Development Company, L.P. Secure and dynamic biometrics-based token generation for access control and authentication
US6778688B2 (en) * 2001-05-04 2004-08-17 International Business Machines Corporation Remote authentication of fingerprints over an insecure network

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0935221A2 (en) * 1998-02-05 1999-08-11 Mitsubishi Denki Kabushiki Kaisha Remote authentication system
DE19809043A1 (en) * 1998-03-04 1999-09-09 Deutsche Telekom Ag Method and apparatus for universal and secured access to telephone networks
US20020056043A1 (en) * 1999-01-18 2002-05-09 Sensar, Inc. Method and apparatus for securely transmitting and authenticating biometric data over a network
WO2001088857A1 (en) * 2000-05-16 2001-11-22 Swisscom Mobile Ag Biometric method for identification and authorisation
US20010044900A1 (en) * 2000-05-16 2001-11-22 Nec Corporation Identification system and method for authenticating user transaction requests from end terminals
EP1229496A2 (en) * 2001-02-02 2002-08-07 Matsushita Electric Industrial Co., Ltd. Information terminal apparatus and authenticating system
US20020152391A1 (en) * 2001-04-13 2002-10-17 Bruce Willins Cryptographic architecture for secure, private biometric identification
US20030051138A1 (en) * 2001-06-25 2003-03-13 Ntt Docomo, Inc. Mobile terminal authentication method and a mobile terminal therefor
EP1486913A1 (en) * 2002-03-15 2004-12-15 Matsushita Electric Industrial Co., Ltd. Individual authentication device and cellular terminal apparatus
US20030220097A1 (en) * 2002-04-23 2003-11-27 Ntt Docomo, Inc. Portable terminal, access control method, and access control program
WO2004019190A1 (en) * 2002-08-08 2004-03-04 Nanyang Technological University Distributed processing in authentication
GB2391992A (en) * 2002-08-12 2004-02-18 Domain Dynamics Ltd Method of authentication
US20040120552A1 (en) * 2002-12-19 2004-06-24 Frank Borngraber Mobile communication terminal with built-in camera
US20040255168A1 (en) * 2003-06-16 2004-12-16 Fujitsu Limited Biometric authentication system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011056038A1 (en) * 2011-12-05 2013-06-06 Hochschule Darmstadt Authentication of subscribers of a telephone service
DE102011056038B4 (en) * 2011-12-05 2015-06-03 Hochschule Darmstadt Authentication of subscribers of a telephone service
DE102014212038A1 (en) * 2014-06-24 2015-12-24 Qsc Ag Network system with end-to-end encryption

Also Published As

Publication number Publication date Type
DE102005003208B4 (en) 2015-11-12 grant

Similar Documents

Publication Publication Date Title
US6430407B1 (en) Method, apparatus, and arrangement for authenticating a user to an application in a first communications network by means of a mobile station communicating with the application through a second communications network
US6161182A (en) Method and apparatus for restricting outbound access to remote equipment
DE102009027723A1 (en) A method of reading attributes of an ID-token
DE102008000067A1 (en) A method of reading attributes of an ID-token
DE102008042262A1 (en) Method for storing data for managing digital identity of user, involves writing data from provider computer system to token via connection to store data in token, and providing connections with connection-oriented protocol
DE102009027681A1 (en) Process and reading of attributes of an ID-token
EP1337119A1 (en) Network server for storage of SIM data
EP0689368A1 (en) Message transmission arrangement in a mobile communication system
DE19724901A1 (en) Mobile phone as well as those with a coupled computer or network for Internet applications and methods of operating such a combination of devices
DE19527715A1 (en) Smart card for access to global mobile communication system - has integrated circuit chip using identification and authentication data to control access
DE102010028133A1 (en) A method for reading an attribute of an ID-token
EP1336937A1 (en) Access control system, access control method and devices suitable therefore
DE102009027686A1 (en) A method of reading attributes of an ID-token
EP0063794A2 (en) Apparatus and process for checking identity
DE4406602A1 (en) Security system for identification and authentication of communication partners
DE19722424C1 (en) Secure access method
DE102013202001A1 (en) A method for providing a mobile terminal with an authentication certificate
DE102009026953A1 (en) A method for logging a mobile telephone in a mobile radio network
EP0717578A2 (en) Method for linking subscriber stations to a mobile radio system
DE102011089580B3 (en) Method for reading e.g. attribute stored in passport, for electronic-commerce application, involves examining whether attribute of security assertion markup language response fulfills criterion as premiss for contribution of service
JP2003058507A (en) Method and apparatus for restricting access of user using cellular telephone
DE19645937A1 (en) Authorised user control method for telecommunications device
KR20100038990A (en) Apparatus and method of secrity authenticate in network authenticate system
DE19818846A1 (en) Method of protecting mobile telephone services from misuse using duplicated GSM-SIM cards
EP1351536A1 (en) Method and system for authentication in a wireless local network

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
R012 Request for examination validly filed

Effective date: 20110912

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE

Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE