-
Chipkarten
werden heute in den verschiedensten Bereichen zur Authentisierung
eingesetzt. Die Nutzung von Chipkarten erfolgt dabei bisher typischerweise über den
Anschluss von externen Lesegeräten
an einen Rechner, wobei als Schnittstelle beispielsweise USB (Universal
Serial Bus), RS232 oder PCMCIA (Personal Computer Memory Card International
Association – Schnittstelle
für die
Integration von Peripheriegeräten
in mobile Geräte)
eingesetzt wird. Für
die Nutzung im privaten Bereich werden beispielsweise auch Kartenleser
in PCs oder Set-top-Boxen integriert. Die Chipkarten werden typischerweise
von einer Zertifizierungsinstanz personalisiert und ausgegeben und
an die Nutzer weitergegeben.
-
Nutzer
verfügen
zudem häufig über Mobiltelefone,
in die ebenfalls Chipkarten (SIM-Karte, UICC) eingelegt werden,
die über
einen integrierten Chipkartenleser angesprochen werden können. Die
UICC (Universal Integrated Circuit Card) ist eine Chipkarte, die
es erlaubt, mehrere Anwendungen auf einem Chip zu speichern, wobei
die Applikationen voneinander unabhängig, in einer sicheren Umgebung
und gleichzeitig ausgeführt
werden können.
-
Für spezielle
Anwendungen, wie beispielsweise Bezahlung mit dem Mobiltelefon,
gibt es Ansätze,
einen zweiten Kartenleser in das Mobiltelefon für eine weitere Chipkarte zu
integrieren. Es entsteht somit ein doppelter Aufwand und entsprechend
erhöhte Kosten
für die
Nutzung von Chipkarten durch Dopplung von Chipkartenleser und Chipkarte.
-
Nachteil
der gängigen
Lösungen
für die
Integration von Chipkarten ist, dass für jede einzelne Anwendung der
Anwender jeweils eine spezielle Chipkarte benötigt sowie ein Kartenleser
im Gerät
erforderlich ist. Hierdurch entsteht erhöhter Aufwand und entsprechend
erhöhte
Kosten bei der Fertigung der Geräte
sowie durch Verteilung und Verwaltung der vielen verschiedenen Chipkarten.
-
Der
vorliegenden Erfindung liegt daher die Aufgabe zugrunde, einen verbesserten
Weg aufzuzeigen, mittels einer Chipkarte eine Authentisierung durchzuführen. Eine
weitere Aufgabe der Erfindung besteht darin, die Nutzung einer Chipkarte
zur Authentisierung in Verbindung mit einer auf einem Computer ablaufenden
Applikation zu vereinfachen.
-
Das
oben genannte technische Problem wird durch ein Verfahren gemäß Anspruch
1 sowie durch ein mobiles Telekommunikationsendgerät gemäß Anspruch
10 und ein System gemäß Anspruch
11 gelöst.
Vorteilhafte Ausführungsformen
und Weiterbildungen sind Gegenstand der jeweiligen Unteransprüche.
-
Ein
erfindungsgemäßes Verfahren
zur Authentisierung unter Verwendung eines mobilen Telekommunikationsendgerätes sieht
dementsprechend vor, eine Authentisierungseinheit im Speicher einer
in dem mobilen Telekommunikationsendgerät angeordneten Chipkarte bereitzustellen,
eine Authentisierungsanfrage von einer Applikation zu der Authentisierungseinheit
zu übertragen,
die Authentisierungsanfrage durch die Authentisierungseinheit zu
prüfen und
in Abhängigkeit
von dem Ergebnis der Prüfung Authentisierungsdaten
von der Authentisierungseinheit zu der Applikation zu übertragen.
Zu diesem Zweck ist die Chipkarte besonders vorteilhaft als UICC
ausgebildet.
-
In
einer ersten bevorzugten Ausgestaltung des Verfahrens ist die Applikation
in einem Speicher eines mit dem mobilen Telekommunikationsendgerät verbindbaren
Computers hinterlegt und wird auf dem Computer ausgeführt.
-
Auf
diese Weise kann vorteilhaft eine Chipkarte zur Authentisierung
für eine
auf einem Computer ablaufende Anwendung eingesetzt werden, ohne einen
zusätzlichen
Chipkartenleser zu benötigen.
-
Zweckmäßigerweise
erfolgt die Übertragung der
Authentisierungsanfrage und der Authentisierungsdaten mittels einer
ersten, im Computer angeordneten und einer zweiten, im mobilen Telekommunikationsendgerät angeordneten
Kommunikationsschnittstelle, wobei die Kommunikation zwischen der ersten
und der zweiten Kommunikationsschnittstelle vorteilhaft drahtlos
erfolgt. Es liegt jedoch auch eine drahtgebundene Verbindung der
Kommunikationsschnittstellen im Rahmen der Erfindung. Prinzipiell kann
jede Art von Kommunikationsverbindung eingesetzt werden, beispielsweise
basierend auf Bluetooth, GPRS, UMTS, USB, RS232, Infrarot oder NFC (Near
Field Communikation).
-
In
einer zweiten bevorzugten Ausgestaltung des Verfahrens ist die Applikation
in einem Speicher des mobilen Telekommunikationsendgerätes hinterlegt
und wird auf dem mobilen Telekommunikationsendgerät ausgeführt. Durch
Ausnutzen der Funktionalität
einer UICC kann bei dieser Variante des Verfahrens besonders vorteilhaft
die in einem mobilen Endgerät
bereits integrierte Chipkarte zur Authentisierung für eine separate,
auf dem mobilen Endgerät ablaufende
Anwendung eingesetzt werden, ohne einen zusätzlichen, im mobilen Endgerät integrierten. Chipkartenleser
zu benötigen.
-
Zweckmäßigerweise
werden die Authentisierungsanfrage und/oder die Authentisierungsdaten mittels
einer oder mehrerer APDUs (Application Protocol Data Units) übertragen,
deren Aufbau vom jeweiligen Kommunikationsprotokoll abhängt. Die
Authentisierungseinheit ist vorteilhaft als Java-Applet ausgebildet,
wobei in der Chipkarte dementsprechend ein auf Java basierendes
Betriebssystem hinterlegt ist.
-
Das
Bereitstellen der Authentisierungseinheit erfolgt vorzugsweise mittels
OTA (Over-the-air programming), eine typischerweise vom Netzbetreiber
beispielsweise zur Firmware-Aktualisierung verwendete Schnittstelle.
Auf diese Weise kann zu einem beliebigen Zeitpunkt eine auf eine
bestimmte Anwendung angepasste Authentisierungseinheit auf dem mobilen
Telekommunikationsendgerät
hinterlegt werden.
-
Ein
erfindungsgemäßes mobiles
Telekommunikationsendgerät
zur Durchführung
des oben beschriebenen Verfahrens, insbesondere der zweiten Variante,
weist einen Speicher mit einer darin hinterlegten Applikation und
eine integrierte Chipkarte auf, wobei im Speicher der Chipkarte
eine Authentisierungseinheit hinterlegt ist, und wobei die Authentisierungseinheit
dazu ausgebildet ist, eine von der Applikation erzeugte Authentisierungsanfrage
zu prüfen und
in Abhängigkeit
von dem Ergebnis der Prüfung Authentisierungsdaten
zu der Applikation zu übertragen.
-
Ein
erfindungsgemäßes System
zur Durchführung
des oben beschriebenen, insbesondere der ersten Variante, umfasst
einen Computer mit einer in dessen Speicher hinterlegten Applikation
und einer ersten Kommunikationsschnittstelle und ein mobiles Telekommunikationsendgerät mit einer
integrierten Chipkarte, in dessen Speicher eine Authentisierungseinheit
hinterlegt ist, und einer zweiten Kommunikationsschnittstelle, wobei
die Authentisierungseinheit dazu ausgebildet ist, eine von der Applikation
erzeugte Authentisierungsanfrage zu prüfen und in Abhängigkeit
von dem Ergebnis der Prüfung
Authentisierungsdaten zu der Applikation zu übertragen.
-
Das
beschriebene mobile Telekommunikationsendgerät und das System aus Computer
und Endgerät
sind vorteilhaft zur Durchführung
der oben beschriebenen vorteilhaften Ausgestaltungen des Verfahrens
ausgebildet.
-
Die
Erfindung wird nachfolgend anhand von Ausführungsbeispielen in Verbindung
mit den beiliegenden Zeichnungen näher erläutert. Darin zeigen:
-
1 schematisch
eine beispielhafte Ausführungsform
eines Systems aus Computer und mobilem Telekommunikationsendgerät zur Durchführung einer
ersten Variante eines erfindungsgemäßen Verfahrens, und
-
2 schematisch
eine beispielhafte Ausführungsform
eines mobilen Telekommunikationsendgerätes zur Durchführung einer
zweiten Variante eines erfindungsgemäßen Verfahrens.
-
Um
von der Sicherheit von Chipkarten-Anwendungen zu profitieren, ist
bei dem erfindungsgemäßen Verfahren
in vorteilhafter Weise weder ein zusätzlicher Kartenleser erforderlich,
noch werden zusätzliche
Chipkarten benötigt.
Der Nutzer benötigt nur
ein Mobiltelefon mit funk- bzw. kabelgebundenen Schnittstellen.
So können
existierende Chipkartensysteme vollständig ersetzt werden.
-
Zu
diesem Zweck wird das Mobiltelefon als Kartenleser für die darin
enthaltene UICC (Universal Integrated Circuit Card) verwendet. Die
Anwendungen, welche sonst auf proprietären Chipkartenbetriebssystemen
implementiert würden,
werden stattdessen vorteilhaft in Java codiert und auf der UICC installiert.
In einer ersten Variante der Erfindung wird eine drahtlose oder
kabelgebundene Verbindung zwischen Mobiltelefon und dem Gerät, für welches die
Authentisierung durchgeführt
werden soll, aufgebaut. Für
die Realisierung der Verbindung gibt es verschiedene Möglichkeiten,
wie zum Beispiel Bluetooth, GPRS/UMTS, USB, Wireless USB, RS232,
Infrarot, NFC, proprietäre
Funktechnik des Mobiltelefon-Herstellers oder die Verwendung eines
proprietären
Datenkabels des Mobiltelefon-Herstellers. Es liegt jedoch auch jede
andere geeignete, auch zukünftige
Verbindungsvariante im Rahmen der Erfindung. Durch Bereitstellen
entsprechender Treiber können
Anwendungen auf einem Computer, wie beispielsweise einem Notebook,
welche Chipkarten nutzen, wie bisher weiter verwendet werden.
-
In
einer zweiten Variante der Erfindung wird kein separater Computer
verwendet, sondern die UICC wird direkt von einer auf dem Mobiltelefon
installierten Anwendung benutzt. Die Anwendung kann dabei beispielsweise
ein Java-Midlet oder eine andere Java-Anwendung, oder eine für das Betriebssystem
des Mobiltelefons erstellte, passende Anwendung sein.
-
Die
Erfindung geht von den folgenden Voraussetzungen aus:
- 1. Der Nutzer hat ein Mobiltelefon oder ein anderes portables
Kommunikationsgerät,
welches die notwendigen Schnittstellen zum Ansprechen eigener Anwendungen
auf der UICC unterstützt.
- 2. Das Mobiltelefon des Nutzers verfügt über eine UICC mit genügend Speicherplatz
und CPU-Leistung zur Realisierung der geplanten Anwendungen.
- 3. Der Netzbetreiber erlaubt bzw. unterstützt das Aufbringen zusätzlicher
Anwendungen auf die UICC des Nutzers.
- 4. Das Mobiltelefon verfügt über Funk-
oder kabelgebundene Schnittstellen zur Kommunikation mit externen
Systemen wie beispielsweise Notebooks, PCs, Zutrittskontrollsystemen
oder Settop-Boxen.
-
Für den Ablauf
des Verfahrens werden im Folgenden zwei vorteilhafte Varianten beschrieben.
-
Bei
der ersten Variante kommunizieren nutzendes Gerät 1, wie zum Beispiel
PC oder Set-top-Box, und Mobiltelefon 4 über eine
geeignete Schnittstelle, das Mobiltelefon 4 übernimmt
die Rolle des Kartenlesers, die UICC 7 die Rolle der Smartcard.
Eine zur Durchführung
dieser Variante des Verfahrens ausgebildetes System 10 ist
beispielhaft in 1 dargestellt.
-
Bei
der zweiten Variante fallen nutzendes Gerät und Mobiltelefon 4 zusammen,
d. h. die eigentliche Nutzanwendung 2a läuft ebenfalls
auf dem Mobiltelefon 4. Die notwendige Schnittstelle entfällt oder wird
in Software auf dem Mobiltelefon 4 realisiert. Eine zur
Durchführung
dieser Variante des Verfahrens ausgebildetes Mobiltelefon 4 ist
beispielhaft in 2 dargestellt.
-
Statt
des jeweils beispielhaft dargestellten Mobiltelefons 4 kann
auch jedes andere geeignete portable und/oder mobile Kommunikationsgerät eingesetzt
werden.
-
Im
Folgenden wird der Ablauf der beiden oben genannten Varianten des
Verfahrens mit Bezug auf die 1 und 2 näher beschrieben.
-
In
der ersten Variante wird auf das Mobiltelefon 4 eine Kommunikationsanwendung 5 installiert und
betrieben, die auf eingehende Datenverbindungen eines bestimmten
Profils, wie zum Beispiel ein definiertes Bluetooth-Profil oder
den Anschluss eines USB-Kabels oder eine andere geeignete Kommunikationsverbindung,
wartet und dann APDUs 6a zu einer Authentisierungsanwendung 6 auf
der UICC 7 weiterleitet. Die Antworten bzw. Ergebnisse 6b der Authentisierungsanwendung 6 werden
an die Kommunikationsanwendung 5 zurückgegeben. Sobald der Nutzer 8 auf
seinem PC oder Laptop 1 eine PC-Anwendung 2 startet,
welche Chipkartenfunktionalität,
wie beispielsweise Authentisierungs- oder Zertifizierungsfunktionalität, benötigt, baut
der Treiber 3 auf dem PC eine Verbindung zum Mobiltelefon 4 auf
und beginnt APDUs zur oben genannten Kommunikationsanwendung 5 auf
dem Mobiltelefon zu senden sowie Antwort-APDUs an die PC-Anwendung 2 zurückzuleiten.
Dementsprechend wird zur Authentisierungsanwendung 6 eine
Authentisierungsanfrage 6a übertragen, die nach Prüfung entsprechende
Authentisierungsdaten 6b zurückgibt.
-
In
der zweiten Variante des Verfahrens wird auf das Mobiltelefon 4 wird
eine Mobiltelefon-Anwendung 2a installiert und betrieben,
die zum Beispiel für Authentisierungszwecke
APDUs zu einer Authentisierungsanwendung 6 auf der UICC 7 weiterleitet. Die
Antworten bzw. Ergebnisse der Authentisierungsanwendung 6 werden
an die Mobiltelefon-Anwendung 2a zurückgegeben. Der Nutzer 8 interagiert direkt
mit der Mobiltelefon-Anwendung 2a.
Im Vergleich zur oben beschriebenen ersten Variante des Verfahrens
ersetzt somit die Mobiltelefon-Anwendung 2a die
in 1 dargestellte PC-Anwendung 2. Die Komponenten 1, 3 und 5 entfallen
in diesem Szenario.
-
Das
Verfahren kann für
verschiedenste Anwendungen eingesetzt werden, von denen einige nachfolgend
beispielhaft dargestellt werden.
-
I. Web-Seiten-Login
-
Auf
der UICC wird ein Applet aufgebracht, das Smartcard-Funktionalität (Zertifikatsspeicher,
sichere Ablage von Private Key, Nutzung des Keys geschützt durch
PIN) erbringt. Der PC des Nutzers verwendet die UICC im Mobiltelefon
als Smartcard. Der Anschluss an den PC erfolgt funk- oder kabelgebunden.
Die Anbindung an den Browser erfolgt mit Betriebssystemmitteln,
zum Beispiel mittels Crypto-API (Kryptographische Programmierschnittstelle
auf Windows-System mit der Möglichkeit
des Ansprechens von Smartcards) unter Windows oder mittels PKCS#11
(Industriestandard zur Integration von Smartcards in Anwendungen)
unter UNIX.
-
Ablauf:
-
- 1. Das Mobiltelefon wird vom Betriebssystem
als Kartenleser mit eingelegter Smartcard erkannt.
- 2. Der Nutzer startet den Browser und navigiert zur Web-Seite, die ein zertifikats-basiertes
Login erfordert.
- 3. Der Browser spricht das Smartcard-Applet auf der UICC nach
der oben beschriebenen ersten Variante des Verfahrens an und führt die
Authentisierung durch.
- 4. Der Nutzer erhält
Zugang zur geschützten Web-Seite.
-
II. VPN-Setup unter Nutzung der ersten
Variante des Verfahrens
-
Auf
der UICC wird ein Applet aufgebracht, das Smartcard-Funktionalität (Zertifikatsspeicher,
sichere Ablage von Private Key, Nutzung des Keys geschützt durch
PIN) erbringt. Der PC des Nutzers verwendet die UICC im Mobiltelefon
als Smartcard. Der Anschluss an den PC erfolgt funk- oder kabelgebunden.
Die für
die VPN-Verbindung (Virtual Private Network) notwendige Anbindung
an den IPsec-Stack erfolgt mit Betriebssystem-Mitteln, beispielsweise
mittels Crypto-API unter Windows oder PKCS#11 unter UNIX. IPsec
ist ein Internetstandard zur Verschlüsselung und Authentisierung
von Internet-Protocol-(IP)-Verbindungen.
-
Ablauf:
-
- 1. Das Mobiltelefon wird vom Betriebssystem
als Kartenleser mit eingelegter Smartcard erkannt.
- 2. Der Nutzer startet die VPN-Software.
- 3. Im Rahmen des IPsec-Security Association Setup spricht der
IPsec-Stack das Smartcard-Applet auf der UICC nach der oben beschriebenen
ersten Variante des Verfahren an und führt die Authentisierung durch.
- 4. Der Nutzer erhält
VPN-Zugang zum geschützten
Netz.
-
III. VPN-Setup unter Nutzung der zweiten
Variante des Verfahrens
-
Auf
der UICC wird ein Applet aufgebracht, das Smartcard-Funktionalität (Zertifikatsspeicher,
sichere Ablage von Private Key, Nutzung des Keys geschützt durch
PIN) erbringt. Die Anbindung an den IPsec-Stack erfolgt mit Betriebssystem-Mitteln
(abhängig
vom Mobiltelefon).
-
Ablauf:
-
- 1. Das Mobiltelefon-Betriebssystem erkennt
die UICC als Smartcard.
- 2. Der Nutzer startet die VPN-Software.
- 3. Im Rahmen des IPsec-Security Association Setup spricht der
IPsec-Stack das Smartcard-Applet auf der UICC nach der oben beschriebenen
zweiten Variante des Verfahrens an und führt die Authentisierung durch.
- 4. Der Nutzer erhält
VPN-Zugang zum geschützten
Netz.
-
IV. Festplatten-Verschlüsselung
-
Auf
der UICC wird ein Applet aufgebracht, das auf sichere Weise Schlüssel für die Festplattenverschlüsselung
speichern kann (PIN-geschützt
o. ä.).
Der PC des Nutzers verwendet die UICC im Mobiltelefon als Smartcard.
Der Anschluss an den PC erfolgt funk- oder kabelgebunden. Die Anbindung
an das Festplattenverschlüsselungsmodul
erfolgt mit Betriebssystem-Mitteln (z. B. Crypto-API unter Windows,
PKCS#11 unter UNIX).
-
Ablauf:
-
- 1. Das Mobiltelefon wird vom Betriebssystem
als Kartenleser mit eingelegter Smartcard erkannt.
- 2. Der Nutzer versucht auf die verschlüsselte Festplatte zuzugreifen.
- 3. Das Festplattenverschlüsselungsmodul
spricht das Smartcard-Applet auf der UICC nach der oben beschriebenen
ersten Variante des Verfahrens an und greift auf das Schlüsselmaterial
zu.
- 4. Der Nutzer erhält
Zugang zur geschützten
Festplatte.
-
V. Email-Verschlüsselung und/oder -Entschlüsselung
-
Auf
der UICC wird ein Applet aufgebracht, das Smartcard-Funktionalität (Zertifikatsspeicher,
sichere Ablage von Private Key, Nutzung des Keys geschützt durch
PIN) erbringt. Der PC des Nutzers verwendet die UICC im Mobiltelefon
als Smartcard. Der Anschluss an den PC erfolgt funk- oder kabelgebunden.
Die Anbindung an das Email- Programm
erfolgt mit Betriebssystem-Mitteln (z. B. Crypto-API unter Windows, PKCS#11 unter UNIX).
-
Ablauf:
-
- 1. Das Mobiltelefon wird vom Betriebssystem
als Kartenleser mit eingelegter Smartcard erkannt.
- 2. Der Nutzer startet das Email-Programm und wählt die
Option „verschlüsselte Email” aus.
- 3. Das Email-Programm spricht das Smartcard-Applet auf der UICC
nach der oben beschriebenen ersten Variante des Verfahrens an und führt die
Ver- bzw. Entschlüsselung
durch.
- 4. Der Nutzer erhält
Zugang zur verschlüsselten Mail
bzw. kann die Mail verschlüsselt
versenden.
-
VI. Email-Signatur
-
Auf
der UICC wird ein Applet aufgebracht, das Smartcard-Funktionalität (Zertifikatsspeicher,
sichere Ablage von Private Key, Nutzung des Keys geschützt durch
PIN) erbringt. Der PC des Nutzers verwendet die UICC im Mobiltelefon
als Smartcard. Der Anschluss an den PC erfolgt funk- oder kabelgebunden.
Die Anbindung an das Email-Programm
erfolgt mit Betriebssystem-Mitteln (z. B. Crypto-API unter Windows, PKCS#11 unter UNIX).
-
Ablauf:
-
- 1. Das Mobiltelefon wird vom Betriebsssytem
als Kartenleser mit eingelegter Smartcard erkannt.
- 2. Der Nutzer startet das Email-Programm und wählt die
Option „Email
signieren” aus.
- 3. Das Email-Programm spricht das Smartcard-Applet auf der UICC
nach der ersten Variante des oben beschriebenen Verfahrens an und führt die
Signatur durch.
- 4. Der Nutzer kann die signierte Mail versenden.
-
VII. Rechner-Login/Zugangsschutz
-
Auf
der UICC wird ein Applet aufgebracht, das Smartcard-Funktionalität (Zertifikatsspeicher,
sichere Ablage von Private Key, Nutzung des Keys geschützt durch
PIN) erbringt. Der PC des Nutzers verwendet die UICC im Mobiltelefon
als Smartcard. Der Anschluss an den PC erfolgt funk- oder kabelgebunden.
Die Anbindung an das Zugangskontrollprogramm erfolgt mit Betriebssystem-Mitteln
(z. B. Crypto-API unter Windows, PKCS#11 unter UNIX).
-
Ablauf:
-
- 1. Das Mobiltelefon wird vom Betriebssystem
als Kartenleser mit eingelegter Smartcard erkannt.
- 2. Der Nutzer startet den Rechner.
- 3. Das Zugangskontrollprogramm des Rechners spricht das Smartcard-Applet
auf der UICC nach der ersten Variante des oben beschriebenen Verfahrens
an und führt
die Authentisierung durch.
- 4. Der Nutzer erhält
Zugang zum geschützten Rechner.
-
VIII. Zutrittskontrolle
-
Auf
der UICC wird ein Applet aufgebracht, das Smartcard-Funktionalität (Zertifikatsspeicher,
sichere Ablage von Private Key, Nutzung des Keys geschützt durch
PIN) erbringt. Die Türen
und Aufzüge der
Organisation des Nutzers sprechen die UICC im Mobiltelefon als Smartcard
an. Der Anschluss erfolgt funkgebunden. Die Anbindung an die Zugangskontrollsoftware
erfolgt mit Betriebssystem-Mitteln und ist abhängig vom verwendeten Embedded
Betriebssystem.
-
Ablauf:
-
- 1. Das Mobiltelefon wird von Tür oder Aufzug
als Kartenleser mit eingelegter Smartcard erkannt.
- 2. Der Nutzer verlangt Zutritt.
- 3. Das Zugangskontrollprogramm der Tür oder des Aufzugs spricht
das Smartcard-Applet auf UICC nach der ersten Variante des oben
beschriebenen Verfahrens an und führt die Authentisierung durch.
- 4. Der Nutzer erhält
Zugang zum geschützten
Bereich bzw. Stockwerk.
-
IX. Gleitzeit/Stechuhr
-
Auf
der UICC wird ein Applet aufgebracht, das der Verwaltung der Arbeitszeit
und/oder Gleitzeit dient. Die Stechuhren der Organisation des Nutzers sprechen
die UICC im Mobiltelefon als Smartcard an. Der Anschluss erfolgt
funkgebunden. Die Anbindung an die Zugangskontrollsoftware erfolgt
mit Betriebssystem-Mitteln (abhängig
vom verwendeten Embedded Betriebssystem).
-
Ablauf:
-
- 1. Das Mobiltelefon wird von der Stechuhr als
Kartenleser mit eingelegter Smartcard erkannt.
- 2. Der Nutzer betritt bzw. verlässt das Firmengelände.
- 3. Die Stechuhr spricht das Smartcard-Applet auf der UICC nach
der ersten Variante des oben beschriebenen Verfahrens an und führt die
Authentisierung durch.
- 4. Das Kommen und Gehen des Nutzers wird für die Arbeitszeitberechnung
als Ereignis erfasst.
-
X. One-time Password
-
Auf
der UICC wird ein Applet aufgebracht, das OTP-Funktionalität (Ablage von Schlüsselmaterial
zur Generierung von One-Time Passwords, Nutzung geschützt durch
PIN) erbringt.
-
Ablauf:
-
- 1. Das Mobiltelefon-Betriebsssytem erkennt
die UICC als Smartcard.
- 2. Der Nutzer startet die OTP-Software auf dem Mobiltelefon.
- 3. Die OTP-Software spricht die UICC nach der zweiten Variante
des oben beschriebenen Verfahrens zwecks Generierung des One-time
Passwords an.
- 4. Der Nutzer liest das Passwort vom Display des Mobiltelefons
ab und gibt es in die PC-Anwendung ein.
- 5. Der Nutzer erhält
Zugang zur OTP-geschützten (Web)-Anwendung.
-
XI. Job-Karte
-
Auf
der UICC wird ein Applet aufgebracht, das Smartcard-Funktionalität (Zertifikatsspeicher,
sichere Ablage von Private Key, Nutzung des Keys geschützt durch
PIN) erbringt. Zusätzlich
werden Schlüsselpaare
für die
Authentisierung für
das Jobcard-Verfahren abgelegt. Der PC des Nutzers bzw. des Sachbearbeiters
im Arbeitsamt verwendet die UICC im Mobiltelefon als Smartcard.
Der Anschluss an den PC erfolgt funk- oder kabelgebunden. Die Anbindung
an die Software im Arbeitsamt erfolgt mit Betriebssystem-Mitteln
(Crypto-API unter Windows, PKCS#11 unter UNK).
-
Ablauf:
-
- 1. Das Mobiltelefon wird vom Betriebssystem
als Kartenleser mit eingelegter Smartcard erkannt.
- 2. Der Sachbearbeiter startet die Fachverfahrens-Anwendung, die die
Legitimation des Bürgers
anfordert.
- 3. Die Fachverfahrens-Anwendung spricht das Smartcard-Applet auf der UICC
nach der ersten Variante des oben beschriebenen Verfahrens an und
führt die
Authentisierung durch.
- 4. Der Sachbearbeiter erhält
Zugriff zu den Daten des Arbeitsuchenden.
-
XII. Set-top Box/Jugendschutz-PIN
-
Auf
der UICC wird ein Applet aufgebracht, das CA-Funktionalität (Conditional Access), beispielsweise
mittels anbieter-spezifischer Kryptoverfahren und Schlüsselmaterial
zur Dekodierung der ECMs (Entitlement Control Message) etc., erbringt. Die
Set-top Box des Nutzers verwendet die UICC im Mobiltelefon als CA-Smartcard.
Der Anschluss an die Set-top Box erfolgt funk- oder kabelgebunden.
Die Anbindung an die Software der Set-top Box erfolgt mit Betriebssystem-Mitteln (abhängig vom
Embedded-Betriebssystem).
-
Ablauf:
-
- 1. Das Mobiltelefon wird vom Betriebssystem
der Set-top Box als Kartenleser mit eingelegter Smartcard erkannt.
- 2. Der Nutzer wählt
einen verschlüsselten
Kanal aus.
- 3. Die Set-top Box spricht das CA-Smartcard-Applet auf der UICC
nach der ersten Variante des oben beschriebenen Verfahrens an und
entschlüsselt
damit den Video-Datenstrom.