DE102008017630A1 - Verfahren, mobiles Telekommunikationsendgerät und System zur Authentisierung - Google Patents

Verfahren, mobiles Telekommunikationsendgerät und System zur Authentisierung Download PDF

Info

Publication number
DE102008017630A1
DE102008017630A1 DE200810017630 DE102008017630A DE102008017630A1 DE 102008017630 A1 DE102008017630 A1 DE 102008017630A1 DE 200810017630 DE200810017630 DE 200810017630 DE 102008017630 A DE102008017630 A DE 102008017630A DE 102008017630 A1 DE102008017630 A1 DE 102008017630A1
Authority
DE
Germany
Prior art keywords
authentication
application
authentication unit
uicc
mobile phone
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE200810017630
Other languages
English (en)
Inventor
Andreas Kraft
Vivien Helmut
Klaus-Peter Hofmann
Zhiyun Ren
Jörg Heuer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Telekom AG
Original Assignee
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Telekom AG filed Critical Deutsche Telekom AG
Priority to DE200810017630 priority Critical patent/DE102008017630A1/de
Publication of DE102008017630A1 publication Critical patent/DE102008017630A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2250/00Details of telephonic subscriber devices
    • H04M2250/14Details of telephonic subscriber devices including a card reading device

Abstract

Zur vereinfachten Authentisierung mittels einer Chipkarte sieht die Erfindung ein Authentisierungsverfahren unter Verwendung eines mobilen Telekommunikationsendgerätes (4) vor, bei welchem im Speicher einer in dem mobilen Telekommunikationsendgerät (4) angeordneten Chipkarte (7) eine Authentisierungseinheit (6) bereitgestellt wird, von einer Applikation (2, 2a) eine Authentisierungsanfrage (6a) zu der Authentisierungseinheit (6) übertragen wird, die Authentisierungsanfrage (6a) durch die Authentisierungseinheit (6) geprüft wird und in Abhängigkeit von dem Ergebnis der Prüfung von der Authentisierungseinheit (6) Authentisierungsdaten (6b) zu der Applikation (2, 2a) übertragen werden. Ferner sieht die Erfindung ein mobiles Telekommunikationsendgerät (4) und ein System (10) vor, welche zum Ausführen des Verfahrens geeignet sind.

Description

  • Chipkarten werden heute in den verschiedensten Bereichen zur Authentisierung eingesetzt. Die Nutzung von Chipkarten erfolgt dabei bisher typischerweise über den Anschluss von externen Lesegeräten an einen Rechner, wobei als Schnittstelle beispielsweise USB (Universal Serial Bus), RS232 oder PCMCIA (Personal Computer Memory Card International Association – Schnittstelle für die Integration von Peripheriegeräten in mobile Geräte) eingesetzt wird. Für die Nutzung im privaten Bereich werden beispielsweise auch Kartenleser in PCs oder Set-top-Boxen integriert. Die Chipkarten werden typischerweise von einer Zertifizierungsinstanz personalisiert und ausgegeben und an die Nutzer weitergegeben.
  • Nutzer verfügen zudem häufig über Mobiltelefone, in die ebenfalls Chipkarten (SIM-Karte, UICC) eingelegt werden, die über einen integrierten Chipkartenleser angesprochen werden können. Die UICC (Universal Integrated Circuit Card) ist eine Chipkarte, die es erlaubt, mehrere Anwendungen auf einem Chip zu speichern, wobei die Applikationen voneinander unabhängig, in einer sicheren Umgebung und gleichzeitig ausgeführt werden können.
  • Für spezielle Anwendungen, wie beispielsweise Bezahlung mit dem Mobiltelefon, gibt es Ansätze, einen zweiten Kartenleser in das Mobiltelefon für eine weitere Chipkarte zu integrieren. Es entsteht somit ein doppelter Aufwand und entsprechend erhöhte Kosten für die Nutzung von Chipkarten durch Dopplung von Chipkartenleser und Chipkarte.
  • Nachteil der gängigen Lösungen für die Integration von Chipkarten ist, dass für jede einzelne Anwendung der Anwender jeweils eine spezielle Chipkarte benötigt sowie ein Kartenleser im Gerät erforderlich ist. Hierdurch entsteht erhöhter Aufwand und entsprechend erhöhte Kosten bei der Fertigung der Geräte sowie durch Verteilung und Verwaltung der vielen verschiedenen Chipkarten.
  • Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde, einen verbesserten Weg aufzuzeigen, mittels einer Chipkarte eine Authentisierung durchzuführen. Eine weitere Aufgabe der Erfindung besteht darin, die Nutzung einer Chipkarte zur Authentisierung in Verbindung mit einer auf einem Computer ablaufenden Applikation zu vereinfachen.
  • Das oben genannte technische Problem wird durch ein Verfahren gemäß Anspruch 1 sowie durch ein mobiles Telekommunikationsendgerät gemäß Anspruch 10 und ein System gemäß Anspruch 11 gelöst. Vorteilhafte Ausführungsformen und Weiterbildungen sind Gegenstand der jeweiligen Unteransprüche.
  • Ein erfindungsgemäßes Verfahren zur Authentisierung unter Verwendung eines mobilen Telekommunikationsendgerätes sieht dementsprechend vor, eine Authentisierungseinheit im Speicher einer in dem mobilen Telekommunikationsendgerät angeordneten Chipkarte bereitzustellen, eine Authentisierungsanfrage von einer Applikation zu der Authentisierungseinheit zu übertragen, die Authentisierungsanfrage durch die Authentisierungseinheit zu prüfen und in Abhängigkeit von dem Ergebnis der Prüfung Authentisierungsdaten von der Authentisierungseinheit zu der Applikation zu übertragen. Zu diesem Zweck ist die Chipkarte besonders vorteilhaft als UICC ausgebildet.
  • In einer ersten bevorzugten Ausgestaltung des Verfahrens ist die Applikation in einem Speicher eines mit dem mobilen Telekommunikationsendgerät verbindbaren Computers hinterlegt und wird auf dem Computer ausgeführt.
  • Auf diese Weise kann vorteilhaft eine Chipkarte zur Authentisierung für eine auf einem Computer ablaufende Anwendung eingesetzt werden, ohne einen zusätzlichen Chipkartenleser zu benötigen.
  • Zweckmäßigerweise erfolgt die Übertragung der Authentisierungsanfrage und der Authentisierungsdaten mittels einer ersten, im Computer angeordneten und einer zweiten, im mobilen Telekommunikationsendgerät angeordneten Kommunikationsschnittstelle, wobei die Kommunikation zwischen der ersten und der zweiten Kommunikationsschnittstelle vorteilhaft drahtlos erfolgt. Es liegt jedoch auch eine drahtgebundene Verbindung der Kommunikationsschnittstellen im Rahmen der Erfindung. Prinzipiell kann jede Art von Kommunikationsverbindung eingesetzt werden, beispielsweise basierend auf Bluetooth, GPRS, UMTS, USB, RS232, Infrarot oder NFC (Near Field Communikation).
  • In einer zweiten bevorzugten Ausgestaltung des Verfahrens ist die Applikation in einem Speicher des mobilen Telekommunikationsendgerätes hinterlegt und wird auf dem mobilen Telekommunikationsendgerät ausgeführt. Durch Ausnutzen der Funktionalität einer UICC kann bei dieser Variante des Verfahrens besonders vorteilhaft die in einem mobilen Endgerät bereits integrierte Chipkarte zur Authentisierung für eine separate, auf dem mobilen Endgerät ablaufende Anwendung eingesetzt werden, ohne einen zusätzlichen, im mobilen Endgerät integrierten. Chipkartenleser zu benötigen.
  • Zweckmäßigerweise werden die Authentisierungsanfrage und/oder die Authentisierungsdaten mittels einer oder mehrerer APDUs (Application Protocol Data Units) übertragen, deren Aufbau vom jeweiligen Kommunikationsprotokoll abhängt. Die Authentisierungseinheit ist vorteilhaft als Java-Applet ausgebildet, wobei in der Chipkarte dementsprechend ein auf Java basierendes Betriebssystem hinterlegt ist.
  • Das Bereitstellen der Authentisierungseinheit erfolgt vorzugsweise mittels OTA (Over-the-air programming), eine typischerweise vom Netzbetreiber beispielsweise zur Firmware-Aktualisierung verwendete Schnittstelle. Auf diese Weise kann zu einem beliebigen Zeitpunkt eine auf eine bestimmte Anwendung angepasste Authentisierungseinheit auf dem mobilen Telekommunikationsendgerät hinterlegt werden.
  • Ein erfindungsgemäßes mobiles Telekommunikationsendgerät zur Durchführung des oben beschriebenen Verfahrens, insbesondere der zweiten Variante, weist einen Speicher mit einer darin hinterlegten Applikation und eine integrierte Chipkarte auf, wobei im Speicher der Chipkarte eine Authentisierungseinheit hinterlegt ist, und wobei die Authentisierungseinheit dazu ausgebildet ist, eine von der Applikation erzeugte Authentisierungsanfrage zu prüfen und in Abhängigkeit von dem Ergebnis der Prüfung Authentisierungsdaten zu der Applikation zu übertragen.
  • Ein erfindungsgemäßes System zur Durchführung des oben beschriebenen, insbesondere der ersten Variante, umfasst einen Computer mit einer in dessen Speicher hinterlegten Applikation und einer ersten Kommunikationsschnittstelle und ein mobiles Telekommunikationsendgerät mit einer integrierten Chipkarte, in dessen Speicher eine Authentisierungseinheit hinterlegt ist, und einer zweiten Kommunikationsschnittstelle, wobei die Authentisierungseinheit dazu ausgebildet ist, eine von der Applikation erzeugte Authentisierungsanfrage zu prüfen und in Abhängigkeit von dem Ergebnis der Prüfung Authentisierungsdaten zu der Applikation zu übertragen.
  • Das beschriebene mobile Telekommunikationsendgerät und das System aus Computer und Endgerät sind vorteilhaft zur Durchführung der oben beschriebenen vorteilhaften Ausgestaltungen des Verfahrens ausgebildet.
  • Die Erfindung wird nachfolgend anhand von Ausführungsbeispielen in Verbindung mit den beiliegenden Zeichnungen näher erläutert. Darin zeigen:
  • 1 schematisch eine beispielhafte Ausführungsform eines Systems aus Computer und mobilem Telekommunikationsendgerät zur Durchführung einer ersten Variante eines erfindungsgemäßen Verfahrens, und
  • 2 schematisch eine beispielhafte Ausführungsform eines mobilen Telekommunikationsendgerätes zur Durchführung einer zweiten Variante eines erfindungsgemäßen Verfahrens.
  • Um von der Sicherheit von Chipkarten-Anwendungen zu profitieren, ist bei dem erfindungsgemäßen Verfahren in vorteilhafter Weise weder ein zusätzlicher Kartenleser erforderlich, noch werden zusätzliche Chipkarten benötigt. Der Nutzer benötigt nur ein Mobiltelefon mit funk- bzw. kabelgebundenen Schnittstellen. So können existierende Chipkartensysteme vollständig ersetzt werden.
  • Zu diesem Zweck wird das Mobiltelefon als Kartenleser für die darin enthaltene UICC (Universal Integrated Circuit Card) verwendet. Die Anwendungen, welche sonst auf proprietären Chipkartenbetriebssystemen implementiert würden, werden stattdessen vorteilhaft in Java codiert und auf der UICC installiert. In einer ersten Variante der Erfindung wird eine drahtlose oder kabelgebundene Verbindung zwischen Mobiltelefon und dem Gerät, für welches die Authentisierung durchgeführt werden soll, aufgebaut. Für die Realisierung der Verbindung gibt es verschiedene Möglichkeiten, wie zum Beispiel Bluetooth, GPRS/UMTS, USB, Wireless USB, RS232, Infrarot, NFC, proprietäre Funktechnik des Mobiltelefon-Herstellers oder die Verwendung eines proprietären Datenkabels des Mobiltelefon-Herstellers. Es liegt jedoch auch jede andere geeignete, auch zukünftige Verbindungsvariante im Rahmen der Erfindung. Durch Bereitstellen entsprechender Treiber können Anwendungen auf einem Computer, wie beispielsweise einem Notebook, welche Chipkarten nutzen, wie bisher weiter verwendet werden.
  • In einer zweiten Variante der Erfindung wird kein separater Computer verwendet, sondern die UICC wird direkt von einer auf dem Mobiltelefon installierten Anwendung benutzt. Die Anwendung kann dabei beispielsweise ein Java-Midlet oder eine andere Java-Anwendung, oder eine für das Betriebssystem des Mobiltelefons erstellte, passende Anwendung sein.
  • Die Erfindung geht von den folgenden Voraussetzungen aus:
    • 1. Der Nutzer hat ein Mobiltelefon oder ein anderes portables Kommunikationsgerät, welches die notwendigen Schnittstellen zum Ansprechen eigener Anwendungen auf der UICC unterstützt.
    • 2. Das Mobiltelefon des Nutzers verfügt über eine UICC mit genügend Speicherplatz und CPU-Leistung zur Realisierung der geplanten Anwendungen.
    • 3. Der Netzbetreiber erlaubt bzw. unterstützt das Aufbringen zusätzlicher Anwendungen auf die UICC des Nutzers.
    • 4. Das Mobiltelefon verfügt über Funk- oder kabelgebundene Schnittstellen zur Kommunikation mit externen Systemen wie beispielsweise Notebooks, PCs, Zutrittskontrollsystemen oder Settop-Boxen.
  • Für den Ablauf des Verfahrens werden im Folgenden zwei vorteilhafte Varianten beschrieben.
  • Bei der ersten Variante kommunizieren nutzendes Gerät 1, wie zum Beispiel PC oder Set-top-Box, und Mobiltelefon 4 über eine geeignete Schnittstelle, das Mobiltelefon 4 übernimmt die Rolle des Kartenlesers, die UICC 7 die Rolle der Smartcard. Eine zur Durchführung dieser Variante des Verfahrens ausgebildetes System 10 ist beispielhaft in 1 dargestellt.
  • Bei der zweiten Variante fallen nutzendes Gerät und Mobiltelefon 4 zusammen, d. h. die eigentliche Nutzanwendung 2a läuft ebenfalls auf dem Mobiltelefon 4. Die notwendige Schnittstelle entfällt oder wird in Software auf dem Mobiltelefon 4 realisiert. Eine zur Durchführung dieser Variante des Verfahrens ausgebildetes Mobiltelefon 4 ist beispielhaft in 2 dargestellt.
  • Statt des jeweils beispielhaft dargestellten Mobiltelefons 4 kann auch jedes andere geeignete portable und/oder mobile Kommunikationsgerät eingesetzt werden.
  • Im Folgenden wird der Ablauf der beiden oben genannten Varianten des Verfahrens mit Bezug auf die 1 und 2 näher beschrieben.
  • In der ersten Variante wird auf das Mobiltelefon 4 eine Kommunikationsanwendung 5 installiert und betrieben, die auf eingehende Datenverbindungen eines bestimmten Profils, wie zum Beispiel ein definiertes Bluetooth-Profil oder den Anschluss eines USB-Kabels oder eine andere geeignete Kommunikationsverbindung, wartet und dann APDUs 6a zu einer Authentisierungsanwendung 6 auf der UICC 7 weiterleitet. Die Antworten bzw. Ergebnisse 6b der Authentisierungsanwendung 6 werden an die Kommunikationsanwendung 5 zurückgegeben. Sobald der Nutzer 8 auf seinem PC oder Laptop 1 eine PC-Anwendung 2 startet, welche Chipkartenfunktionalität, wie beispielsweise Authentisierungs- oder Zertifizierungsfunktionalität, benötigt, baut der Treiber 3 auf dem PC eine Verbindung zum Mobiltelefon 4 auf und beginnt APDUs zur oben genannten Kommunikationsanwendung 5 auf dem Mobiltelefon zu senden sowie Antwort-APDUs an die PC-Anwendung 2 zurückzuleiten. Dementsprechend wird zur Authentisierungsanwendung 6 eine Authentisierungsanfrage 6a übertragen, die nach Prüfung entsprechende Authentisierungsdaten 6b zurückgibt.
  • In der zweiten Variante des Verfahrens wird auf das Mobiltelefon 4 wird eine Mobiltelefon-Anwendung 2a installiert und betrieben, die zum Beispiel für Authentisierungszwecke APDUs zu einer Authentisierungsanwendung 6 auf der UICC 7 weiterleitet. Die Antworten bzw. Ergebnisse der Authentisierungsanwendung 6 werden an die Mobiltelefon-Anwendung 2a zurückgegeben. Der Nutzer 8 interagiert direkt mit der Mobiltelefon-Anwendung 2a. Im Vergleich zur oben beschriebenen ersten Variante des Verfahrens ersetzt somit die Mobiltelefon-Anwendung 2a die in 1 dargestellte PC-Anwendung 2. Die Komponenten 1, 3 und 5 entfallen in diesem Szenario.
  • Das Verfahren kann für verschiedenste Anwendungen eingesetzt werden, von denen einige nachfolgend beispielhaft dargestellt werden.
  • I. Web-Seiten-Login
  • Auf der UICC wird ein Applet aufgebracht, das Smartcard-Funktionalität (Zertifikatsspeicher, sichere Ablage von Private Key, Nutzung des Keys geschützt durch PIN) erbringt. Der PC des Nutzers verwendet die UICC im Mobiltelefon als Smartcard. Der Anschluss an den PC erfolgt funk- oder kabelgebunden. Die Anbindung an den Browser erfolgt mit Betriebssystemmitteln, zum Beispiel mittels Crypto-API (Kryptographische Programmierschnittstelle auf Windows-System mit der Möglichkeit des Ansprechens von Smartcards) unter Windows oder mittels PKCS#11 (Industriestandard zur Integration von Smartcards in Anwendungen) unter UNIX.
  • Ablauf:
    • 1. Das Mobiltelefon wird vom Betriebssystem als Kartenleser mit eingelegter Smartcard erkannt.
    • 2. Der Nutzer startet den Browser und navigiert zur Web-Seite, die ein zertifikats-basiertes Login erfordert.
    • 3. Der Browser spricht das Smartcard-Applet auf der UICC nach der oben beschriebenen ersten Variante des Verfahrens an und führt die Authentisierung durch.
    • 4. Der Nutzer erhält Zugang zur geschützten Web-Seite.
  • II. VPN-Setup unter Nutzung der ersten Variante des Verfahrens
  • Auf der UICC wird ein Applet aufgebracht, das Smartcard-Funktionalität (Zertifikatsspeicher, sichere Ablage von Private Key, Nutzung des Keys geschützt durch PIN) erbringt. Der PC des Nutzers verwendet die UICC im Mobiltelefon als Smartcard. Der Anschluss an den PC erfolgt funk- oder kabelgebunden. Die für die VPN-Verbindung (Virtual Private Network) notwendige Anbindung an den IPsec-Stack erfolgt mit Betriebssystem-Mitteln, beispielsweise mittels Crypto-API unter Windows oder PKCS#11 unter UNIX. IPsec ist ein Internetstandard zur Verschlüsselung und Authentisierung von Internet-Protocol-(IP)-Verbindungen.
  • Ablauf:
    • 1. Das Mobiltelefon wird vom Betriebssystem als Kartenleser mit eingelegter Smartcard erkannt.
    • 2. Der Nutzer startet die VPN-Software.
    • 3. Im Rahmen des IPsec-Security Association Setup spricht der IPsec-Stack das Smartcard-Applet auf der UICC nach der oben beschriebenen ersten Variante des Verfahren an und führt die Authentisierung durch.
    • 4. Der Nutzer erhält VPN-Zugang zum geschützten Netz.
  • III. VPN-Setup unter Nutzung der zweiten Variante des Verfahrens
  • Auf der UICC wird ein Applet aufgebracht, das Smartcard-Funktionalität (Zertifikatsspeicher, sichere Ablage von Private Key, Nutzung des Keys geschützt durch PIN) erbringt. Die Anbindung an den IPsec-Stack erfolgt mit Betriebssystem-Mitteln (abhängig vom Mobiltelefon).
  • Ablauf:
    • 1. Das Mobiltelefon-Betriebssystem erkennt die UICC als Smartcard.
    • 2. Der Nutzer startet die VPN-Software.
    • 3. Im Rahmen des IPsec-Security Association Setup spricht der IPsec-Stack das Smartcard-Applet auf der UICC nach der oben beschriebenen zweiten Variante des Verfahrens an und führt die Authentisierung durch.
    • 4. Der Nutzer erhält VPN-Zugang zum geschützten Netz.
  • IV. Festplatten-Verschlüsselung
  • Auf der UICC wird ein Applet aufgebracht, das auf sichere Weise Schlüssel für die Festplattenverschlüsselung speichern kann (PIN-geschützt o. ä.). Der PC des Nutzers verwendet die UICC im Mobiltelefon als Smartcard. Der Anschluss an den PC erfolgt funk- oder kabelgebunden. Die Anbindung an das Festplattenverschlüsselungsmodul erfolgt mit Betriebssystem-Mitteln (z. B. Crypto-API unter Windows, PKCS#11 unter UNIX).
  • Ablauf:
    • 1. Das Mobiltelefon wird vom Betriebssystem als Kartenleser mit eingelegter Smartcard erkannt.
    • 2. Der Nutzer versucht auf die verschlüsselte Festplatte zuzugreifen.
    • 3. Das Festplattenverschlüsselungsmodul spricht das Smartcard-Applet auf der UICC nach der oben beschriebenen ersten Variante des Verfahrens an und greift auf das Schlüsselmaterial zu.
    • 4. Der Nutzer erhält Zugang zur geschützten Festplatte.
  • V. Email-Verschlüsselung und/oder -Entschlüsselung
  • Auf der UICC wird ein Applet aufgebracht, das Smartcard-Funktionalität (Zertifikatsspeicher, sichere Ablage von Private Key, Nutzung des Keys geschützt durch PIN) erbringt. Der PC des Nutzers verwendet die UICC im Mobiltelefon als Smartcard. Der Anschluss an den PC erfolgt funk- oder kabelgebunden. Die Anbindung an das Email- Programm erfolgt mit Betriebssystem-Mitteln (z. B. Crypto-API unter Windows, PKCS#11 unter UNIX).
  • Ablauf:
    • 1. Das Mobiltelefon wird vom Betriebssystem als Kartenleser mit eingelegter Smartcard erkannt.
    • 2. Der Nutzer startet das Email-Programm und wählt die Option „verschlüsselte Email” aus.
    • 3. Das Email-Programm spricht das Smartcard-Applet auf der UICC nach der oben beschriebenen ersten Variante des Verfahrens an und führt die Ver- bzw. Entschlüsselung durch.
    • 4. Der Nutzer erhält Zugang zur verschlüsselten Mail bzw. kann die Mail verschlüsselt versenden.
  • VI. Email-Signatur
  • Auf der UICC wird ein Applet aufgebracht, das Smartcard-Funktionalität (Zertifikatsspeicher, sichere Ablage von Private Key, Nutzung des Keys geschützt durch PIN) erbringt. Der PC des Nutzers verwendet die UICC im Mobiltelefon als Smartcard. Der Anschluss an den PC erfolgt funk- oder kabelgebunden. Die Anbindung an das Email-Programm erfolgt mit Betriebssystem-Mitteln (z. B. Crypto-API unter Windows, PKCS#11 unter UNIX).
  • Ablauf:
    • 1. Das Mobiltelefon wird vom Betriebsssytem als Kartenleser mit eingelegter Smartcard erkannt.
    • 2. Der Nutzer startet das Email-Programm und wählt die Option „Email signieren” aus.
    • 3. Das Email-Programm spricht das Smartcard-Applet auf der UICC nach der ersten Variante des oben beschriebenen Verfahrens an und führt die Signatur durch.
    • 4. Der Nutzer kann die signierte Mail versenden.
  • VII. Rechner-Login/Zugangsschutz
  • Auf der UICC wird ein Applet aufgebracht, das Smartcard-Funktionalität (Zertifikatsspeicher, sichere Ablage von Private Key, Nutzung des Keys geschützt durch PIN) erbringt. Der PC des Nutzers verwendet die UICC im Mobiltelefon als Smartcard. Der Anschluss an den PC erfolgt funk- oder kabelgebunden. Die Anbindung an das Zugangskontrollprogramm erfolgt mit Betriebssystem-Mitteln (z. B. Crypto-API unter Windows, PKCS#11 unter UNIX).
  • Ablauf:
    • 1. Das Mobiltelefon wird vom Betriebssystem als Kartenleser mit eingelegter Smartcard erkannt.
    • 2. Der Nutzer startet den Rechner.
    • 3. Das Zugangskontrollprogramm des Rechners spricht das Smartcard-Applet auf der UICC nach der ersten Variante des oben beschriebenen Verfahrens an und führt die Authentisierung durch.
    • 4. Der Nutzer erhält Zugang zum geschützten Rechner.
  • VIII. Zutrittskontrolle
  • Auf der UICC wird ein Applet aufgebracht, das Smartcard-Funktionalität (Zertifikatsspeicher, sichere Ablage von Private Key, Nutzung des Keys geschützt durch PIN) erbringt. Die Türen und Aufzüge der Organisation des Nutzers sprechen die UICC im Mobiltelefon als Smartcard an. Der Anschluss erfolgt funkgebunden. Die Anbindung an die Zugangskontrollsoftware erfolgt mit Betriebssystem-Mitteln und ist abhängig vom verwendeten Embedded Betriebssystem.
  • Ablauf:
    • 1. Das Mobiltelefon wird von Tür oder Aufzug als Kartenleser mit eingelegter Smartcard erkannt.
    • 2. Der Nutzer verlangt Zutritt.
    • 3. Das Zugangskontrollprogramm der Tür oder des Aufzugs spricht das Smartcard-Applet auf UICC nach der ersten Variante des oben beschriebenen Verfahrens an und führt die Authentisierung durch.
    • 4. Der Nutzer erhält Zugang zum geschützten Bereich bzw. Stockwerk.
  • IX. Gleitzeit/Stechuhr
  • Auf der UICC wird ein Applet aufgebracht, das der Verwaltung der Arbeitszeit und/oder Gleitzeit dient. Die Stechuhren der Organisation des Nutzers sprechen die UICC im Mobiltelefon als Smartcard an. Der Anschluss erfolgt funkgebunden. Die Anbindung an die Zugangskontrollsoftware erfolgt mit Betriebssystem-Mitteln (abhängig vom verwendeten Embedded Betriebssystem).
  • Ablauf:
    • 1. Das Mobiltelefon wird von der Stechuhr als Kartenleser mit eingelegter Smartcard erkannt.
    • 2. Der Nutzer betritt bzw. verlässt das Firmengelände.
    • 3. Die Stechuhr spricht das Smartcard-Applet auf der UICC nach der ersten Variante des oben beschriebenen Verfahrens an und führt die Authentisierung durch.
    • 4. Das Kommen und Gehen des Nutzers wird für die Arbeitszeitberechnung als Ereignis erfasst.
  • X. One-time Password
  • Auf der UICC wird ein Applet aufgebracht, das OTP-Funktionalität (Ablage von Schlüsselmaterial zur Generierung von One-Time Passwords, Nutzung geschützt durch PIN) erbringt.
  • Ablauf:
    • 1. Das Mobiltelefon-Betriebsssytem erkennt die UICC als Smartcard.
    • 2. Der Nutzer startet die OTP-Software auf dem Mobiltelefon.
    • 3. Die OTP-Software spricht die UICC nach der zweiten Variante des oben beschriebenen Verfahrens zwecks Generierung des One-time Passwords an.
    • 4. Der Nutzer liest das Passwort vom Display des Mobiltelefons ab und gibt es in die PC-Anwendung ein.
    • 5. Der Nutzer erhält Zugang zur OTP-geschützten (Web)-Anwendung.
  • XI. Job-Karte
  • Auf der UICC wird ein Applet aufgebracht, das Smartcard-Funktionalität (Zertifikatsspeicher, sichere Ablage von Private Key, Nutzung des Keys geschützt durch PIN) erbringt. Zusätzlich werden Schlüsselpaare für die Authentisierung für das Jobcard-Verfahren abgelegt. Der PC des Nutzers bzw. des Sachbearbeiters im Arbeitsamt verwendet die UICC im Mobiltelefon als Smartcard. Der Anschluss an den PC erfolgt funk- oder kabelgebunden. Die Anbindung an die Software im Arbeitsamt erfolgt mit Betriebssystem-Mitteln (Crypto-API unter Windows, PKCS#11 unter UNK).
  • Ablauf:
    • 1. Das Mobiltelefon wird vom Betriebssystem als Kartenleser mit eingelegter Smartcard erkannt.
    • 2. Der Sachbearbeiter startet die Fachverfahrens-Anwendung, die die Legitimation des Bürgers anfordert.
    • 3. Die Fachverfahrens-Anwendung spricht das Smartcard-Applet auf der UICC nach der ersten Variante des oben beschriebenen Verfahrens an und führt die Authentisierung durch.
    • 4. Der Sachbearbeiter erhält Zugriff zu den Daten des Arbeitsuchenden.
  • XII. Set-top Box/Jugendschutz-PIN
  • Auf der UICC wird ein Applet aufgebracht, das CA-Funktionalität (Conditional Access), beispielsweise mittels anbieter-spezifischer Kryptoverfahren und Schlüsselmaterial zur Dekodierung der ECMs (Entitlement Control Message) etc., erbringt. Die Set-top Box des Nutzers verwendet die UICC im Mobiltelefon als CA-Smartcard. Der Anschluss an die Set-top Box erfolgt funk- oder kabelgebunden. Die Anbindung an die Software der Set-top Box erfolgt mit Betriebssystem-Mitteln (abhängig vom Embedded-Betriebssystem).
  • Ablauf:
    • 1. Das Mobiltelefon wird vom Betriebssystem der Set-top Box als Kartenleser mit eingelegter Smartcard erkannt.
    • 2. Der Nutzer wählt einen verschlüsselten Kanal aus.
    • 3. Die Set-top Box spricht das CA-Smartcard-Applet auf der UICC nach der ersten Variante des oben beschriebenen Verfahrens an und entschlüsselt damit den Video-Datenstrom.

Claims (11)

  1. Verfahren zur Authentisierung unter Verwendung eines mobilen Telekommunikationsendgerätes (4), umfassend die Schritte: – Bereitstellen einer Authentisierungseinheit (6) im Speicher einer in dem mobilen Telekommunikationsendgerät (4) angeordneten Chipkarte (7), – Übertragen einer Authentisierungsanfrage (6a) von einer Applikation (2, 2a) zu der Authentisierungseinheit (6), – Prüfen der Authentisierungsanfrage (6a) durch die Authentisierungseinheit (6), und – Übertragen von Authentisierungsdaten (6b) von der Authentisierungseinheit (6) zu der Applikation (2, 2a) in Abhängigkeit von dem Ergebnis der Prüfung.
  2. Verfahren nach Anspruch 1, wobei die Applikation (2) in einem Speicher eines mit dem mobilen Telekommunikationsendgerät (4) verbindbaren Computers (1) hinterlegt ist und auf dem Computer (1) ausgeführt wird.
  3. Verfahren nach Anspruch 2, wobei die Authentisierungsanfrage und die Authentisierungsdaten mittels einer ersten, im Computer (1) angeordneten Kommunikationsschnittstelle (3) und einer zweiten, im mobilen Telekommunikationsendgerät (4) angeordneten Kommunikationsschnittstelle (5) übertragen werden.
  4. Verfahren nach einem der Ansprüche 2 oder 3, wobei die Kommunikation zwischen der ersten und der zweiten Kommunikationsschnittstelle drahtlos erfolgt.
  5. Verfahren nach Anspruch 1, wobei die Applikation (2a) in einem Speicher des mobilen Telekommunikationsendgerätes (4) hinterlegt ist und auf dem mobilen Telekommunikationsendgerät (4) ausgeführt wird.
  6. Verfahren nach einem der vorstehenden Ansprüche, wobei die Chipkarte (7) eine UICC ist.
  7. Verfahren nach einem der vorstehenden Ansprüche, wobei die Authentisierungsanfrage (6a) und die Authentisierungsdaten (6b) als APDUs (Application Protocol Data Units) übertragen werden.
  8. Verfahren nach einem der vorstehenden Ansprüche, wobei die Authentisierungseinheit (6) ein Java-Applet ist und in der Chipkarte ein auf Java basierendes Betriebssystem hinterlegt ist.
  9. Verfahren nach einem der vorstehenden Ansprüche, wobei das Bereitstellen der Authentisierungseinheit (6) mittels OTA (Over-the-air programming) erfolgt.
  10. Mobiles Telekommunikationsendgerät (4) zur Durchführung eines Verfahrens nach einem der vorstehenden Ansprüche, umfassend einen Speicher mit einer darin hinterlegten Applikation (2a) und eine integrierte Chipkarte (7), in dessen Speicher eine Authentisierungseinheit (6) hinterlegt ist, wobei die Authentisierungseinheit (6) dazu ausgebildet ist, eine von der Applikation (2a) erzeugte Authentisierungsanfrage (6a) zu prüfen und in Abhängigkeit von dem Ergebnis der Prüfung Authentisierungsdaten (6b) zu der Applikation (2a) zu übertragen.
  11. System (10) zur Durchführung eines Verfahrens nach einem der Ansprüche 3 bis 9, umfassend – einen Computer (1) mit einer in dessen Speicher hinterlegten Applikation (2) und einer ersten Kommunikationsschnittstelle (3), und – ein mobiles Telekommunikationsendgerät (4) mit einer integrierten Chipkarte, in dessen Speicher eine Authentisierungseinheit (6) hinterlegt ist, und einer zweiten Kommunikationsschnittstelle (5), wobei die Authentisierungseinheit (6) dazu ausgebildet ist, eine von der Applikation (2) erzeugte Authentisierungsanfrage (6a) zu prüfen und in Abhängigkeit von dem Ergebnis der Prüfung Authentisierungsdaten (6b) zu der Applikation (2) zu übertragen.
DE200810017630 2008-04-04 2008-04-04 Verfahren, mobiles Telekommunikationsendgerät und System zur Authentisierung Withdrawn DE102008017630A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200810017630 DE102008017630A1 (de) 2008-04-04 2008-04-04 Verfahren, mobiles Telekommunikationsendgerät und System zur Authentisierung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200810017630 DE102008017630A1 (de) 2008-04-04 2008-04-04 Verfahren, mobiles Telekommunikationsendgerät und System zur Authentisierung

Publications (1)

Publication Number Publication Date
DE102008017630A1 true DE102008017630A1 (de) 2009-10-08

Family

ID=41051531

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200810017630 Withdrawn DE102008017630A1 (de) 2008-04-04 2008-04-04 Verfahren, mobiles Telekommunikationsendgerät und System zur Authentisierung

Country Status (1)

Country Link
DE (1) DE102008017630A1 (de)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2372599A3 (de) * 2010-04-01 2012-01-04 Bundesdruckerei GmbH Elektronisches Gerät , Datenverarbeitungssystem und Verfahren zum Lesen von Daten aus einem elektronischen Gerät
EP2418601A1 (de) * 2010-08-12 2012-02-15 Samsung Electronics Co., Ltd. Computersystem und Steuerverfahren für den Computer
DE102012200043A1 (de) * 2012-01-03 2013-07-04 Vodafone Holding Gmbh Ausführung von kryptografischen Operationen mit Daten eines Nutzerendgeräts
WO2015019572A1 (en) * 2013-08-05 2015-02-12 Sony Corporation Information processing, apparatus, information processing method and computer program for displaying information corresponding to cryptographic keys
EP3051771A1 (de) 2015-01-29 2016-08-03 Giesecke & Devrient GmbH Verfahren zum entsperren eines mobilen endgerätes

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998037663A1 (en) * 1997-02-19 1998-08-27 Telefonaktiebolaget Lm Ericsson Method for authorization check
GB2370383A (en) * 2000-12-22 2002-06-26 Hewlett Packard Co Access to personal computer using password stored in mobile phone
WO2003081934A1 (en) * 2002-03-26 2003-10-02 Nokia Corporation Apparatus, method and system for authentication
EP1367843A1 (de) * 2002-05-30 2003-12-03 SCHLUMBERGER Systèmes Sichere Interaktion zwischen einem heruntergeladenen Anwendungskode und einer Chipkarte in einem Mobilkommunikationsgerät
WO2005036854A1 (en) * 2003-10-14 2005-04-21 Telecom Italia S.P.A. Method, system and computer program for managing usage of digital contents.
WO2005041605A1 (en) * 2003-10-14 2005-05-06 Telecom Italia S.P.A. Method and system for controlling resources via a mobile terminal, related network and computer program product therefor
DE69934911T2 (de) * 1998-11-24 2007-05-24 Telefonaktiebolaget Lm Ericsson (Publ) Mobiltelefon auto-pc-logon
GB2434661A (en) * 2006-01-13 2007-08-01 Deepnet Technologies Ltd Portable communication device with smart card functionality
WO2008037286A2 (en) * 2006-09-29 2008-04-03 Telecom Italia S.P.A. Use, provision, customization and billing of services for mobile users through distinct electronic apparatuses

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998037663A1 (en) * 1997-02-19 1998-08-27 Telefonaktiebolaget Lm Ericsson Method for authorization check
DE69934911T2 (de) * 1998-11-24 2007-05-24 Telefonaktiebolaget Lm Ericsson (Publ) Mobiltelefon auto-pc-logon
GB2370383A (en) * 2000-12-22 2002-06-26 Hewlett Packard Co Access to personal computer using password stored in mobile phone
WO2003081934A1 (en) * 2002-03-26 2003-10-02 Nokia Corporation Apparatus, method and system for authentication
EP1367843A1 (de) * 2002-05-30 2003-12-03 SCHLUMBERGER Systèmes Sichere Interaktion zwischen einem heruntergeladenen Anwendungskode und einer Chipkarte in einem Mobilkommunikationsgerät
WO2005036854A1 (en) * 2003-10-14 2005-04-21 Telecom Italia S.P.A. Method, system and computer program for managing usage of digital contents.
WO2005041605A1 (en) * 2003-10-14 2005-05-06 Telecom Italia S.P.A. Method and system for controlling resources via a mobile terminal, related network and computer program product therefor
GB2434661A (en) * 2006-01-13 2007-08-01 Deepnet Technologies Ltd Portable communication device with smart card functionality
WO2008037286A2 (en) * 2006-09-29 2008-04-03 Telecom Italia S.P.A. Use, provision, customization and billing of services for mobile users through distinct electronic apparatuses

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2372599A3 (de) * 2010-04-01 2012-01-04 Bundesdruckerei GmbH Elektronisches Gerät , Datenverarbeitungssystem und Verfahren zum Lesen von Daten aus einem elektronischen Gerät
EP2418601A1 (de) * 2010-08-12 2012-02-15 Samsung Electronics Co., Ltd. Computersystem und Steuerverfahren für den Computer
US9235699B2 (en) 2010-08-12 2016-01-12 Samsung Electronics Co., Ltd.. Computer system and method of controlling computer
DE102012200043A1 (de) * 2012-01-03 2013-07-04 Vodafone Holding Gmbh Ausführung von kryptografischen Operationen mit Daten eines Nutzerendgeräts
WO2015019572A1 (en) * 2013-08-05 2015-02-12 Sony Corporation Information processing, apparatus, information processing method and computer program for displaying information corresponding to cryptographic keys
CN105453099A (zh) * 2013-08-05 2016-03-30 索尼公司 用于显示对应于加密密钥的信息的信息处理设备、信息处理方法和计算机程序
US10225083B2 (en) 2013-08-05 2019-03-05 Sony Corporation Information processing apparatus and information processing method
CN105453099B (zh) * 2013-08-05 2019-03-22 索尼公司 用于显示对应于加密密钥的信息的信息处理设备、信息处理方法和计算机程序
US10516529B2 (en) 2013-08-05 2019-12-24 Sony Corporation Information processing apparatus and information processing method
EP3051771A1 (de) 2015-01-29 2016-08-03 Giesecke & Devrient GmbH Verfahren zum entsperren eines mobilen endgerätes
DE102015001107A1 (de) 2015-01-29 2016-08-04 Giesecke & Devrient Gmbh Verfahren zum Entsperren eines mobilen Endgerätes

Similar Documents

Publication Publication Date Title
DE60122612T2 (de) Authentifizierungsvorrichtung sowie Benutzer-Authentifizierungssystem und - verfahren
EP2415228B1 (de) Verfahren zum lesen von attributen aus einem id-token über eine mobilfunkverbindung
WO2013181682A1 (de) VERFAHREN UND VORRICHTUNG ZUR STEUERUNG EINES SCHLIEßMECHANISMUS MIT EINEM MOBILEN ENDGERÄT
DE102005004902A1 (de) Verfahren zur Anmeldung eines Nutzers an einem Computersystem
EP3245607B1 (de) Verfahren zum lesen von attributen aus einem id-token
DE102010041745A1 (de) Verfahren zum Lesen eines RFID-Tokens, RFID-Karte und elektronisches Gerät
DE102008017630A1 (de) Verfahren, mobiles Telekommunikationsendgerät und System zur Authentisierung
DE102004044454A1 (de) Tragbares Gerät zur Freischaltung eines Zugangs
EP1027784B2 (de) Verfahren zum digitalen signieren einer nachricht
DE19936226A1 (de) Verfahren und Vorrichtungen zur Zugangskontrolle eines Benutzers eines Benutzerrechners zu einem Zugangsrechner
EP3319003B1 (de) Verfahren und system zur authentifizierung eines mobilen telekommunikationsendgeräts an einem dienst-computersystem und mobiles telekommunikationsendgerät
EP2199944A2 (de) Verfahren zur Authentifizierung einer Person gegenüber einer elektronischen Datenverarbeitungsanlage mittels eines elektronischen Schlüssels
EP3271855B1 (de) Verfahren zur erzeugung eines zertifikats für einen sicherheitstoken
DE102013202426A1 (de) Verfahren zum Ermöglichen einer Datenkommunikation zwischen einer Kommunikationseinrichtung eines Kraftfahrzeugs und einem Internetserver und entsprechendes System
EP3882796A1 (de) Nutzerauthentifizierung unter verwendung zweier unabhängiger sicherheitselemente
EP2909779B1 (de) Verfahren zur erzeugung eines one-time-password (otp)
EP2434719A1 (de) Verfahren und Server zum Bereitstellen von Nutzerinformationen
EP2456157B1 (de) Schutz der Privatsphäre bei der Anmeldung eines Nutzers an einem gesicherten Webdienst mittels eines Mobilfunkgerätes
EP2397960B1 (de) Verfahren zum Lesen von Attributen aus einem ID-Token über eine Telekommunikations-Chipkarte und ein Server-Computersystem
EP2127317A1 (de) Verfahren, anordnung, system und softwaremittel zur sicheren datenübertragung
DE102014116060A1 (de) Verfahren zum Ausführen einer elektronischen Anwendung
EP1063862A2 (de) Verfahren und Einrichtung zum Aufbau einer Kommunikation zwischen einem Anwendergerät und einem Netz
EP3435697B1 (de) Verfahren zur authentisierung eines nutzers gegenüber einem diensteanbieter und authentisierungseinrichtung
DE102010050195A1 (de) Lesegerät als elektronischer Ausweis
EP1762998B1 (de) Steuerung von Aktorikelementen mittels mobiler Endgeräte

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
R012 Request for examination validly filed
R012 Request for examination validly filed

Effective date: 20150311

R016 Response to examination communication
R120 Application withdrawn or ip right abandoned