DE102009026953A1 - Verfahren zum Einbuchen eines Mobilfunkgeräts in ein Mobilfunknetz - Google Patents

Verfahren zum Einbuchen eines Mobilfunkgeräts in ein Mobilfunknetz Download PDF

Info

Publication number
DE102009026953A1
DE102009026953A1 DE102009026953A DE102009026953A DE102009026953A1 DE 102009026953 A1 DE102009026953 A1 DE 102009026953A1 DE 102009026953 A DE102009026953 A DE 102009026953A DE 102009026953 A DE102009026953 A DE 102009026953A DE 102009026953 A1 DE102009026953 A1 DE 102009026953A1
Authority
DE
Germany
Prior art keywords
token
computer system
attribute
user
mobile
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102009026953A
Other languages
English (en)
Inventor
Joachim Dr. Ing. Küter
Thomas Löer
Kirsten Langen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bundesdruckerei GmbH
Original Assignee
Bundesdruckerei GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bundesdruckerei GmbH filed Critical Bundesdruckerei GmbH
Priority to DE102009026953A priority Critical patent/DE102009026953A1/de
Priority to JP2012515432A priority patent/JP5601729B2/ja
Priority to KR1020117028814A priority patent/KR101676893B1/ko
Priority to PCT/EP2010/058093 priority patent/WO2010145979A1/de
Priority to EP10722138.4A priority patent/EP2443853B1/de
Priority to CN201080025670.9A priority patent/CN102461231B/zh
Priority to SG2011092475A priority patent/SG176839A1/en
Publication of DE102009026953A1 publication Critical patent/DE102009026953A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Abstract

Die Erfindung betrifft ein Verfahren zum Einbuchen eines Mobilfunkgeräts (100) in ein Mobilfunknetz (116) mit Hilfe zumindest eines in einem ID-Token (106) gespeicherten Attributs, wobei der ID-Token einem Nutzer (102) zugeordnet ist, mit folgenden Schritten: - Authentifizierung des Nutzers gegenüber dem ID-Token, - Authentifizierung eines ersten Computersystems (136) gegenüber dem ID-Token, - nach erfolgreicher Authentifizierung des Nutzers und des ersten Computersystems gegenüber dem ID-Token, Lesezugriff des ersten Computersystems auf das zumindest eine in dem ID-Token gespeicherte Attribut über das Mobilfunknetz, - Verwendung des zumindest einen Attributs für das Einbuchen.

Description

  • Die Erfindung betrifft ein Verfahren zum Einbuchen eines Mobilfunkgeräts in ein Mobilfunknetz, ein Computerprogrammprodukt, einen ID-Token und ein Mobilfunksystem.
  • Nach dem GSM-Standard erfolgt das Einbuchen eines Mobilfunkgeräts in ein GSM-Mobilfunknetz mit Hilfe der International Mobile Subscriber Identity (IMSI). Die IMSI ist in dem Subscriber Identity Module (SIM) gespeichert. Durch die IMSI wird das Home Location Register (HLR) identifiziert, in welches die Einbuchung erfolgen muss. In analoger Art und Weise erfolgt auch das Einbuchen nach dem UMTS-Standard und anderen Mobilfunkstandards.
  • Aus US 2007/0294431 A1 ist ein Verfahren zur Verwaltung der digitalen Identitäten bekannt, welches eine Nutzerregistrierung erfordert.
  • Ferner sind Token-basierte Authentifizierungsverfahren beispielsweise aus US 2001/0045451 A1 und US 6 257 486 B1 bekannt
  • Weitere Token-basierte Authentifizierungsverfahren sind in den zum Anmeldezeitpunkt unveröffentlichten Patentanmeldungen DE 10 2008 000 067.1-31 , DE 10 2008 040 416.0-31 und DE 10 2008 042 262.2-31 derselben Patentanmelderin offenbart.
  • Der Erfindung liegt die Aufgabe zugrunde, ein verbessertes Verfahren zum Einbuchen eines Mobilfunkgeräts in ein Mobilfunknetz, ein Computerprogramm, einen ID-Token und ein Mobilfunksystem zu schaffen.
  • Die der Erfindung zugrunde liegenden Aufgaben werden jeweils mit den Merkmalen der unabhängigen Patentansprüche gelöst. Ausführungsformen der Erfindung sind in den abhängigen Patentansprüchen angegeben.
  • Nach Ausführungsformen der Erfindung erfolgt das Einbuchen eines Mobilfunkgeräts in ein Mobilfunknetz mit Hilfe zumindest eines in einem ID-Token gespeicherten Attributs, wobei der ID-Token einem Nutzer zugeordnet ist, mit folgenden Schritten: Authentifizierung des Nutzers gegenüber dem ID-Token, Authentifizierung eines ersten Computersystems gegenüber dem ID-Token, nach erfolgreicher Authentifizierung des Nutzers und des ersten Computersystems gegenüber dem ID-Token, Lesezugriff des ersten Computersystems auf das zumindest eine in dem ID-Token gespeicherte Attribut über das Mobilfunknetz, Verwendung des zumindest einen Attributs für das Einbuchen.
  • Ausführungsformen der Erfindung sind besonders vorteilhaft, da für das Einbuchen des Mobilfunkgeräts keine SIM-Karte erforderlich ist, sondern ein dem Nutzer zugeordneter ID-Token, bei dem es sich zum Beispiel um ein Ausweisdokument, insbesondere einen elektronischen Personalausweis, des Nutzers handeln kann. Wenn der Nutzer über einen solchen ID-Token verfügt, wird also nicht zusätzlich eine SIM-Karte benötigt, um das Mobilfunkgerät des Nutzers in das Mobilfunknetz einzubuchen. Damit entfällt auch der technische, logistische und finanzielle Aufwand für die Herstellung, Personalisierung und Distribution der SIM-Karten an die Nutzer. Von weiterem besonderem Vorteil ist, dass ein neu hinzukommender Nutzer, d. h. ein sogenannter Subscriber, sofort sein Mobilfunkgerät in das Mobilfunknetz einbuchen kann, ohne auf die Zusendung einer SIM-Karte warten zu müssen.
  • Ausführungsformen der Erfindung ermöglichen das Lesen eines oder mehrerer der in einem ID-Token gespeicherten Attribute durch das erste Computersystem, wobei die Verbindung zwischen dem ID-Token und dem ersten Computersystem über das Mobilfunknetz, insbesondere das Internet, aufgebaut werden kann. Bei dem zumindest einem Attribut kann es sich um eine Angabe bezüglich der Identität des dem ID-Token zugeordneten Nutzers handeln, insbesondere bezüglich dessen so genannter digitaler Identität. Beispielsweise werden durch das erste Computersystem die Attribute Name, Vorname, Adresse gelesen, um diese Attribute an ein zweites Computersystem, zum Beispiel eine Mobilfunknetzkomponente des Mobilfunknetzes, insbesondere eine zentrale Datenbank oder ein Home Location Register (HLR) weiterzuleiten.
  • Nach einer Ausführungsform der Erfindung handelt es sich bei dem in dem ID-Token gespeicherten Attribut um einen Identifikator. Der Identifikator kann so ausgebildet sein, dass er den Nutzer und zusätzlich ein für diesen Nutzer zuständiges Home Location Register des Mobilfunknetzes eindeutig identifiziert. Insbesondere kann der Identifikator als Globally Unique Identifier (GUID) ausgebildet sein; beispielsweise kann es sich bei dem Identifikator um einen IMSI handeln.
  • Unter einem „Home Location Register” wird hier jede Netzwerkkomponente eines Mobilfunknetzes verstanden, die zum Einbuchen von Mobilfunkgeräten in das Mobilfunknetz dient.
  • Unter dem Vorgang der „Einbuchung” eines Mobilfunkgeräts in ein Mobilfunknetz wird hier jeder Vorgang verstanden, bei dem die Identität eines Nutzers des Mobilfunkgeräts an das Mobilfunknetz kommuniziert wird, sodass der Nutzer mit Hilfe seines Mobilfunkgeräts als aktiver Teilnehmer registriert wird, der zum Beispiel Sprachanrufe tätigen oder empfangen kann, Nachrichten senden oder empfangen kann und/oder andere über das Mobilfunknetz angebotene Dienste in Anspruch nehmen kann, wie zum Beispiel das Herunterladen von Daten über das Mobilfunknetz.
  • Bei dem ID-Token kann es sich um ein tragbares elektronisches Gerät z. B. in Form eines so genannten USB-Stick, handeln oder um ein Dokument, insbesondere ein Wert- oder Sicherheitsdokument.
  • Unter einem „Dokument” werden erfindungsgemäß papierbasierte und/oder kunststoffbasierte Dokumente verstanden, wie zum Beispiel Ausweisdokumente, insbesondere Reisepässe, Personalausweise, Visa sowie Führerscheine, Fahrzeugscheine, Fahrzeugbriefe, Firmenausweise, Gesundheitskarten oder andere ID-Dokumente sowie auch Chipkarten, Zahlungsmittel, insbesondere Bankkarten und Kreditkarten oder sonstige Berechtigungsnachweise, in die ein Datenspeicher zur Speicherung des zumindest einen Attributs integriert ist.
  • Ausführungsformen der Erfindung sind also besonders vorteilhaft, da das zumindest eine Attribut aus einem besonders vertrauenswürdigen Dokument, beispielsweise einem amtlichen Dokument, ausgelesen wird. Die Erfindung ermöglicht also ein besonders hohes Maß an Vertrauenswürdigkeit hinsichtlich der Mitteilung der zu einer digitalen Identität gehörenden Attribute, verbunden mit einem optimalen Datenschutz bei äußerst bequemer Handhabung.
  • Nach einer Ausführungsform der Erfindung hat das erste Computersystem zumindest ein Zertifikat, welches zur Authentifizierung des ersten Computersystems gegenüber dem ID-Token verwendet wird. Das Zertifikat beinhaltet eine Angabe derjenigen Attribute, für welche das erste Computersystem eine Leseberechtigung hat. Der ID-Token prüft anhand dieses Zertifikats, ob das erste Computersystem die erforderliche Leseberechtigung für den Lesezugriff auf das Attribut hat, bevor ein solcher Lesezugriff durch das erste Computersystem durchgeführt werden kann.
  • Nach einer Ausführungsform der Erfindung sendet das erste Computersystem das zumindest eine von dem ID-Token ausgelesene Attribut unmittelbar an ein zweites Computersystem. Bei dem zweiten Computersystem kann es sich zum Beispiel um eine Mobilfunknetzkomponente des Mobilfunknetzes handeln, durch welche das Einbuchen erfolgt.
  • Nach einer Ausführungsform der Erfindung erfolgt die Übertragung der aus dem ID-Token gelesenen Attribute von dem ersten Computersystem zunächst an das Mobilfunkgerät des Nutzers.
  • Nach einer Ausführungsform der Erfindung werden die aus dem ID-Token ausgelesenen Attribute von dem ersten Computersystem signiert und dann an das Mobilfunkgerät übertragen. Der Nutzer des Mobilfunkgeräts kann die Attribute also lesen, ohne sie jedoch verändern zu können. Erst nach Freigabe durch den Nutzer werden die Attribute von dem Mobilfunkgerät an das zweite Computersystem weitergeleitet.
  • Nach einer Ausführungsform der Erfindung kann der Nutzer die Attribute vor deren Weiterleitung durch weitere Daten ergänzen, beispielsweise um Attribute, die für die Erbringung eines von dem Nutzer gewünschten über das Mobilfunknetz zu erbringenden Dienstes erforderlich sind.
  • Nach einer Ausführungsform der Erfindung handelt es sich bei dem Mobilfunkgerät um ein Mobiltelefon, insbesondere ein Smartphone, einen Personal Digital Assistant mit einer Mobilfunk-Schnittstelle, einen tragbaren Computer mit einer Mobilfunk- Schnittstelle oder ein anderes tragbares elektronisches Gerät („electronic applicance”), wie z. B. eine digitale Kamera, mit einer Mobilfunk-Schnittstelle.
  • Nach einer Ausführungsform der Erfindung sind die Identifikatoren, wie zum Beispiel die IMSIs der Nutzer, in einer Datenbank gespeichert. Mit dem zumindest einen aus dem ID-Token ausgelesenen Attribut wird auf die Datenbank zugegriffen, um den dem Nutzer zugeordneten Identifikator- aus der Datenbank auszulesen. Durch den Identifikator wird auch das für den Nutzer zuständige Home Location Register identifiziert. in diesem für den Nutzer zuständigen Home Location Register wird dann das Mobilfunkgerät des Nutzers eingebucht. Der Nutzer kann danach mit seinem Mobilfunkgerät beliebige Anrufe über das Mobilfunknetz tätigen oder empfangen oder das Mobilfunknetz für andere Zwecke nutzen, wie zum Beispiel zum Herunterladen von Daten oder anderen Online-Dienste, wie zum Beispiel die Nutzung des Internets.
  • Nach einer Ausführungsform der Erfindung ist in der Datenbank auch die dem Nutzer zugeordnete Telefonnummer gespeichert. Mit Hilfe des zumindest einen Attributs wird also nicht nur der Identifikator, sondern auch die dem Nutzer zugeordnete Telefonnummer aus der Datenbank ausgelesen. Diese Telefonnummer wird dann an das durch den Identifikator identifizierte Home Location Register, das für den Nutzer zuständig ist, übertragen, und dort zumindest für die Zeitdauer, während derer das Mobilfunkgerät in dem Mobilfunknetz eingebucht ist, gespeichert. Die Telefonnummer kann aber auch permanent in dem für den Nutzer zuständigen Home Location Register gespeichert werden.
  • Von besonderem Vorteil ist dabei, dass die Telefonnummer nicht durch den Betreiber des Mobilfunknetzes vorgegeben sein muss, sondern dass der Nutzer seine Telefonnummer selbst bestimmen kann, sofern die gewünschte Telefonnummer nichts bereits vergeben ist. Die von dem Nutzer gewünschte Telefonnummer wird in die Datenbank und/oder das zuständige HLR eingegeben und gespeichert, womit sie dann für das Weitere festgelegt ist. Die Eintragung der Telefonnummer in die Datenbank und/oder das zuständige HLR kann seitens des Nutzers zum Beispiel über eine von dem Betreiber des Mobilfunknetzes zur Verfügung gestellte Internetplattform erfolgen.
  • Nach einer Ausführungsform der Erfindung ist ein erster Identifikator in dem Mobilfunkgerät des Nutzers gespeichert. Mit Hilfe eines Datenbankzugriffs wird ein zweiter Identifikator aus der Datenbank ausgelesen, wobei als Schlüssel für den Datenbankzugriff das zumindest eine aus dem ID-Token des Nutzers ausgelesene Attribut dient. Die ersten und zweiten Identifikatoren werden dann netzwerkseitig miteinander verglichen. Wenn die beiden Identifikatoren übereinstimmen, erfolgt die Einbuchung des Mobilfunkgeräts, in dem durch die ersten und zweiten Identifikatoren identifizierten Home Location Register, das für den Nutzer zuständig ist.
  • Nach einer Ausführungsform der Erfindung handelt es sich bei dem zumindest einem Attribut, das in dem ID-Token gespeichert ist, um einen Identifikator, durch den der Nutzer eindeutig identifiziert ist, sowie auch das für den Nutzer zuständige Home Location Register des Mobilfunknetzes. Beispielsweise ist der Identifikator als IMSI ausgebildet. Das erste Computersystem übergibt den aus dem ID-Token ausgelesenen Identifikator an das zuständige Home Location Register, welches durch den Identifikator identifiziert ist, sodass das Einbuchen des Mobilfunkgeräts des betreffenden Nutzers durch dieses Home Location Register erfolgen kann.
  • Nach einer Ausführungsform der Erfindung erfolgt die Kommunikation zwischen dem Mobilfunkgerät und dem ID-Token kontaktlos, insbesondere mittels eines RFID oder eines Near Field Communication (NFC)-Standards. Vorzugsweise liegt die Reichweite des für den Datenaustausch zwischen dem Mobilfunkgerät und dem ID-Token verwendeten Kommunikationsverfahrens im Bereich von weniger als 50 cm, insbesondere im Bereich von höchstens 30 cm. Der Datenaustausch zwischen dem Mobilfunkgerät und dem ID-Token mit Hilfe von Funksignalen, insbesondere nach einem RFID oder einem NFC-Standard, hat für den Nutzer besondere Handhabungsvorteile.
  • Beispielsweise führt der Nutzer den ID-Token in einer Tasche, insbesondere einer Brieftasche, mit sich. Zum Einbuchen seines Mobilfunkgeräts muss der Nutzer den ID-Token nicht aus der Tasche nehmen, da dies für die Kommunikation mittels Funksignalen nicht erforderlich ist. Aufgrund der geringen Reichweite des für den Datenaustausch verwendeten Kommunikationsverfahrens ist gleichzeitig sichergestellt, dass die Kommunikation nicht zwischen dem Mobilfunkgerät des Nutzers und dem ID-Token eines anderen Nutzers, der sich in der Nähe befindet, erfolgt.
  • In einem weiteren Aspekt betrifft die Erfindung ein Computerprogrammprodukt mit von einem Computersystem ausführbaren Instruktionen zur Durchführung eines erfindungsgemäßen Verfahrens. Das Computerprogrammprodukt kann modular aufgebaut sein, sodass bestimmte Module von dem ersten Computersystem und andere Module von dem zweiten Computersystem ausgeführt werden.
  • In einem weiteren Aspekt betrifft die Erfindung einen ID-Token, wie zum Beispiel ein Ausweisdokument, insbesondere einen elektronischen Personalausweis, mit einem geschützten Speicherbereich zur Speicherung von zumindest einem Attribut, Mitteln zur Authentifizierung eines dem ID-Token zugeordneten Nutzers gegenüber dem ID-Token, Mitteln zur Authentifizierung eines ersten Computersystems gegenüber dem ID-Token, Mitteln zum Aufbau einer geschützten Verbindung zu dem ersten Computersystem über ein Mobilfunkgerät, wobei das erste Computersystem das zumindest eine Attribut über die geschützte Verbindung auslesen kann, wobei eine notwendige Voraussetzung für das Auslesen des zumindest einen Attributs aus dem ID-Token durch das erste Computersystem die erfolgreiche Authentifizierung des Nutzers und des ersten Computersystems gegenüber dem ID-Token ist, und wobei durch das zumindest eine Attribut ein Home Location Register eines Mobilfunknetzes identifizierbar ist.
  • In einem weiteren Aspekt betrifft die Erfindung ein Mobilfunksystem zum Einbuchen eines Mobilfunkgeräts in ein Mobilfunknetz mit Hilfe zumindest eines in einem ID-Token gespeicherten Attributs, wobei der ID-Token einem Nutzer zugeordnet ist, mit Mitteln zur Authentifizierung eines ersten Computersystems (136) gegenüber dem ID-Token, Mitteln zur Durchführung eines Lesezugriffs des ersten Computersystems auf das zumindest eine in dem ID-Token gespeicherte Attribut über das Mobilfunknetz, wobei der Lesezugriff durchführbar ist, nachdem sich der Nutzer und das erste Computersystem gegenüber dem ID-Token authentifiziert haben, und Mitteln zur Verwendung des zumindest einen Attributs für das Einbuchen.
  • Nach einer Ausführungsform der Erfindung hat der ID-Token Mittel für eine Endezu-Ende-Verschlüsselung. Dies erlaubt es, die Verbindung zwischen dem ID-Token und dem ersten Computersystem über das Mobilfunkgerät des Nutzers aufzubauen, da der Nutzer aufgrund der Ende-zu-Ende-Verschlüsselung keine Änderungen der über die Verbindung übertragenen Daten vornehmen kann.
  • Im Weiteren werden Ausführungsformen der Erfindung mit Bezugnahme auf die Zeichnungen näher erläutert. Es zeigen:
  • 1 ein Blockdiagramm einer Ausführungsform eines erfindungsgemäßen ID-Tokens und eines erfindungsgemäßen Mobilfunksystems,
  • 2 ein Flussdiagramm einer Ausführungsform eines erfindungsgemäßen Verfahrens,
  • 3 ein UML-Diagramm einer. Ausführungsform eines erfindungsgemäßen Verfahrens,
  • 4 ein Blockdiagramm einer weiteren Ausführungsform eines erfindungsgemäßen ID-Tokens und eines erfindungsgemäßen Mobilfunksystems,
  • 5 ein Blockdiagramm einer weiteren Ausführungsform eines erfindungsgemäßen ID-Tokens und eines erfindungsgemäßen Mobilfunksystems,
  • 6 ein Blockdiagramm einer weiteren Ausführungsform eines erfindungsgemäßen ID-Tokens und eines erfindungsgemäßen Mobilfunksystems.
  • Elemente der nachfolgenden Ausführungsformen, die einander entsprechen, werden mit denselben Bezugszeichen gekennzeichnet.
  • Die 1 zeigt ein Mobilfunkgerät 100 eines Nutzers 102. Bei dem Mobilfunkgerät 100 kann es sich um einen tragbaren Computer, wie zum Beispiel einen Laptop oder Palmtop-Computer, einen Personal Digital Assistant, ein mobiles Telekommunikationsgerät, insbesondere ein Mobiltelephon, ein Smart Phone, oder dergleichen handeln. Das Mobilfunkgerät 100 hat eine Schnittstelle 104 zur Kommunikation mit einem ID-Token 106, der eine entsprechende Schnittstelle 108 aufweist. Bei der Schnittstelle 104 kann es sich um eine Funkschnittstelle, insbesondere eine RFID- oder eine NFC-Schnittstelle, handeln.
  • Insbesondere kann es sich bei dem ID-Token 106 um ein Dokument, insbesondere ein Wert- oder Sicherheitsdokument handeln, wie zum Beispiel um ein maschinenlesbares Reisedokument (MRTD), wie zum Beispiel einen elektronischen Reisepass oder einen elektronischen Personalausweis, oder um ein Zahlungsmittel, wie zum Beispiel eine Kreditkarte.
  • Das Mobilfunkgerät 100 hat zumindest einen Prozessor 110 zur Ausführung von Programminstruktionen 112 sowie eine Mobilfunknetz-Schnittstelle 114 zur Kommunikation über ein Mobilfunknetz 116. Bei dem Mobilfunknetz kann es sich um ein GSM, UMTS, CDMA 2000 Netz oder ein Mobilfunknetz nach einem anderen Mobilfunkstandard handeln, wie zum Beispiel 3GPP Long Term Evolution oder 4G.
  • Der ID-Token 106 hat einen elektronischen Speicher 118 mit geschützten Speicherbereichen 120, 122 und 124. Der geschützte Speicherbereich 120 dient zur Speicherung eines Referenzwerts, der für die Authentifizierung des Nutzers 102 gegenüber dem ID-Token 106 benötigt wird. Bei diesem Referenzwert handelt es sich beispielsweise um eine Kennung, insbesondere eine so genannte Personal Identification Number (PIN), oder um Referenzdaten für ein biometrisches Merkmal des Nutzers 102, welches für die Authentifizierung des Nutzers gegenüber dem ID-Token 106 verwendet werden kann.
  • Der geschützte Bereich 122 dient zur Speicherung eines privaten Schlüssels und der geschützte Speicherbereich 124 dient zur Speicherung von Attributen, zum Beispiel des Nutzers 102, wie zum Beispiel dessen Name, Wohnort, Geburtsdatum, Geschlecht, und/oder von Attributen, die den ID-Token selbst betreffen, wie zum Beispiel die Institution, die den ID-Token erstellt oder ausgegeben hat, die Gültigkeitsdauer des ID-Tokens, eine Passnummer oder eine Kreditkartennummer.
  • Alternativ oder zusätzlich kann in dem Speicherbereich 124 ein Identifikator gespeichert sein, durch den der Nutzer 102, dem der ID-Token 106 zugeordnet ist, eindeutig identifiziert ist. Durch den Identifikator kann ferner eine Netzwerkkomponente 150 des Mobilfunknetzes 116 identifiziert sein. Durch diese Netzwerkkomponente 150 wird das Einbuchen des Mobilfunkgeräts 100 in das Mobilfunknetz 116 veranlasst oder durchgeführt. Insbesondere kann der Identifikator als IMSI ausgebildet sein. Insbesondere kann der Identifikator als mehrstellige Nummer ausgebildet sein, wobei vorbestimmte Stellen dieser mehrstelligen Nummer eine HLR-Nummer bilden, durch die das für den Nutzer 102 zuständige HLR identifiziert ist.
  • Der elektronische Speicher 118 kann ferner einen Speicherbereich 126 zur Speicherung eines Zertifikats aufweisen. Das Zertifikat beinhaltet einen öffentlichen Schlüssel, der dem in dem geschützten Speicherbereich 122 gespeicherten privaten Schlüssel zugeordnet ist. Das Zertifikat kann nach einem Public Key Infrastruktur (PKI) Standard erstellt worden sein, beispielsweise nach dem X.509 Standard.
  • Das Zertifikat muss nicht zwangsläufig in dem elektronischen Speicher 118 des ID-Tokens 106 gespeichert sein. Alternativ oder zusätzlich kann das Zertifikat auch in einem öffentlichen Verzeichnisserver gespeichert sein.
  • Der ID-Token 106 hat einen Prozessor 128. Der Prozessor 128 dient zur Ausführung von Programminstruktionen 130, 132 und 134. Die Programminstruktionen 130 dienen zur Nutzerauthentifizierung, d. h. zur Authentifizierung des Nutzers 102 gegenüber dem ID-Token.
  • Bei einer Ausführungsform mit PIN gibt der Nutzer 102 seine PIN zu seiner Authentifizierung in den ID-Token 106 ein, beispielsweise über das Mobilfunkgerät 100. Durch Ausführung der Programminstruktionen 130 wird dann auf den geschützten. Speicherbereich 120 zugegriffen, um die eingegebene PIN mit dem dort gespeicherten Referenzwert der PIN zu vergleichen. Für den Fall, dass die eingegebene PIN mit dem Referenzwert der PIN übereinstimmt, gilt der Nutzer 102 als authentifiziert.
  • Alternativ wird ein biometrisches Merkmal des Nutzers 102 erfasst. Beispielsweise hat der ID-Token 106 hierzu einen Fingerabdrucksensor oder ein Fingerabdrucksensor ist an das Mobilfunkgerät 100 angeschlossen oder in dieses integriert. Die von dem Nutzer 102 erfassten biometrischen Daten werden durch Ausführung der Programminstruktionen 130 bei dieser Ausführungsform mit den in dem geschützten Speicherbereich 120 gespeicherten biometrischen Referenzdaten verglichen. Bei hinreichender Übereinstimmung der von dem Nutzer 102 erfassten biometrischen Daten mit den biometrischen Referenzdaten gilt der Nutzer 102 als authentifiziert.
  • Die Programminstruktionen 134 dienen zur Ausführung der den ID-Token 106 betreffenden Schritte eines kryptographischen Protokolls zur Authentifizierung eines ID-Provider-Computersystems 136 gegenüber dem ID-Token 106. Bei dem kryptographischen Protokoll kann es sich um ein Challenge-Response-Protokoll basierend auf einem symmetrischen Schlüssel oder einem asymmetrischen Schlüsselpaar handeln.
  • Beispielsweise wird durch das kryptographische Protokoll ein Extended Access Control-Verfahren implementiert, wie es für maschinenlesbare Reisedokumente (machine-readable travel documents – MRTD) von der internationalen Luftfahrtbehörde (ICAO) spezifiziert ist. Durch erfolgreiche Ausführung des kryptographischen Protokolls authentifiziert sich das ID-Provider-Computersystem 136 gegenüber dem ID-Token und weist dadurch seine Leseberechtigung zum Lesen der in dem geschützten Speicherbereich 124 gespeicherten Attribute nach. Die Authentifizierung kann auch gegenseitig sein, d. h. auch der ID-Token 106 muss sich dann gegenüber dem ID-Provider-Computersystem 136 nach demselben oder einem anderen kryptographischen Protokoll authentifizieren.
  • Die Programminstruktionen 132 dienen zur Ende-zu-Ende-Verschlüsselung von zwischen dem ID-Token 106 und dem ID-Provider-Computersystem 136 übertragenen Daten, zumindest aber der von dem ID-Provider-Computersystem 136 aus dem geschützten Speicherbereich 124 ausgelesenen Attribute. Für die Ende-zu-Ende-Verschlüsselung kann ein symmetrischer Schlüssel verwendet werden, der beispielsweise anlässlich der Ausführung des kryptographischen Protokolls zwischen dem ID-Token 106 und dem ID-Provider-Computersystem 136 vereinbart wird.
  • Alternativ zu der in der 1 dargestellten Ausführungsform kann das Mobilfunkgerät 100 mit seiner Schnittstelle 104 nicht unmittelbar mit der Schnittstelle 108 kommunizieren, sondern über ein an die Schnittstelle 104 angeschlossenes Lesegerät für den ID-Token 106. Über dieses Lesegerät, wie zum Beispiel einen so genannten Klasse 2-Chipkarten-Terminal, kann auch die Eingabe der PIN erfolgen.
  • Das ID-Provider-Computersystem 136 hat eine Mobilfunknetz-Schnittstelle 138 zur Kommunikation über das Mobilfunknetz 116 oder mit einer Netzwerkkomponente des Mobilfunknetz 116, insbesondere über das sog. Backbone oder das core network des Mobilfunknetz 116. Das ID-Provider-Computersystem 136 hat ferner einen Speicher 140, in dem ein privater Schlüssel 142 des ID-Provider-Computersystems 136 sowie das entsprechende Zertifikat 144 gespeichert ist. Auch bei diesem Zertifikat kann es sich beispielsweise um ein Zertifikat nach einem PKI-Standard, wie zum Beispiel X.509 handeln.
  • Das ID-Provider-Computersystem 136 hat ferner zumindest einen Prozessor 145 zur Ausführung von Programminstruktionen 146 und 148. Durch Ausführung der Programminstruktionen 146 werden die das ID-Provider-Computersystem 136 betreffende Schritte des kryptographischen Protokolls ausgeführt. Insgesamt wird also das kryptographische Protokoll durch Ausführung der Programminstruktionen 134 durch den Prozessor 128 des ID-Tokens 106 sowie durch Ausführung der Pro gramminstruktionen 146 durch den Prozessor 145 des ID-Provider-Computersystems 136 implementiert.
  • Die Programminstruktionen 148 dienen zur Implementierung der Ende-zu-Ende-Verschlüsselung auf Seiten des ID-Provider-Computersystems 136, beispielsweise basierend auf dem symmetrischen Schlüssel, der anlässlich der Ausführung des kryptographischen Protokolls zwischen dem ID-Token 106 und dem ID-Provider-Computersystem 136 vereinbart worden ist. Prinzipiell kann jedes an sich vorbekannte Verfahren zur Vereinbarung des symmetrischen Schlüssels für die Ende-zu-Ende-Verschlüsselung verwendet werden, wie zum Beispiel ein Diffie-Hellman-Schlüsselaustausch.
  • Das ID-Provider-Computersystem 136 befindet sich vorzugsweise in einer besonders geschützten Umgebung, insbesondere in einem so genannten Trust-Center, sodass das ID-Provider-Computersystem 136 in Kombination mit der Notwendigkeit der Authentifizierung des Nutzers 102 gegenüber dem ID-Token 106 den Vertrauensanker für die Authentizität der aus dem ID-Token 106 ausgelesenen Attribute bildet.
  • Nach einer weiteren Ausführungsform der Erfindung kann das ID-Provider-Computersystem 136 auch einen integralen Bestandteil der Netzwerkkomponente 150 bilden.
  • Die Netzwerkkomponente 150 kann als Home Location Register ausgebildet sein oder die Netzwerkkomponente 150 kann zur Interaktion mit den Home Location Registers des Mobilfunknetzes 116 ausgebildet sein, um das Einbuchen von Mobilfunkgeräten vorzunehmen oder zu veranlassen.
  • Die Netzwerkkomponente 150 hat eine Mobilfunknetz-Schnittstelle 152 zur Verbindung mit dem Mobilfunknetz 116 oder mit einer anderen Netzwerkkomponente des Mobilfunknetz 116, insbesondere über das sog. Backbone oder das core network des Mobilfunknetz 116. Insbesondere die Kommunikation zwischen der Netzwerk komponente 150 und dem ID-Provider-Computersystem 136 kann über das Backbone oder das core network des Mobilfunknetz 116 erfolgen.
  • Ferner hat die Netzwerkkomponente 150 zumindest einen Prozessor 154 zur Ausführung von Programminstruktionen 156. Durch Ausführung der Programminstruktionen 156 erfolgt die Einbuchung z. B. des Mobilfunkgeräts in das Mobilfunknetz 116 anhand des zumindest einen Attributs oder die Einbuchung wird hierdurch initiiert.
  • Zum Einbuchen des Mobilfunkgeräts 100 in das Mobilfunknetz 116 wird wie folgt vorgegangen:
    • 1. Authentifizierung des Nutzers 102 gegenüber dem ID-Token 106. Der Nutzer 102 authentifiziert sich gegenüber dem ID-Token 106. Bei einer Implementierung mit PIN gibt der Nutzer 102 hierzu seine PIN beispielsweise über das Mobilfunkgerät 100 oder einen daran angeschlossenen oder integrierten Chipkarten-Terminal ein. Durch Ausführung der Programminstruktionen 130 prüft dann der ID-Token 106 die Korrektheit der eingegebenen PIN. Wenn die eingegebene PIN mit dem in dem geschützten Speicherbereich 120 gespeicherten Referenzwert der PIN übereinstimmt, so gilt der Nutzer 102 als authentifiziert. Analog kann vorgegangen werden, wenn ein biometrisches Merkmal des Nutzers 102 zu dessen Authentifizierung verwendet wird, wie oben beschrieben.
    • 2. Authentifizierung des ID-Provider-Computersystems 136 gegenüber dem ID-Token 106. Hierzu wird eine Verbindung zwischen dem ID-Token 106 und dem ID-Provider-Computersystem 136 über das Mobilfunkgerät 100 und das Mobilfunknetz 116 hergestellt. Beispielsweise überträgt das ID-Provider-Computersystem 136 sein Zertifikat 144 über diese Verbindung an den ID-Token 106. Durch die Programminstruktionen 134 wird dann eine so genannte Challenge generiert, d. h. beispielsweise eine Zufallszahl. Diese Zufallszahl wird mit dem in dem Zertifikat 144 beinhalteten öffentlichen Schlüssel des ID-Provider-Computersystems 136 verschlüsselt. Das resultierende Chiffrat wird von dem ID-Token 106 über die Verbindung an das ID-Provider-Computersystem 136 gesendet. Das ID-Provider-Computersystem 136 entschlüsselt das Chiffrat mit Hilfe seines privaten Schlüssels 142 und erhält so die Zufallszahl. Die Zufallszahl sendet das ID-Provider-Computersystem 136 über die Verbindung an den ID-Token 106 zurück. Durch Ausführung der Programminstruktionen 134 wird dort geprüft, ob die von dem ID-Provider-Computersystem 136 empfangene Zufallszahl mit der ursprünglich generierten Zufallszahl, d. h. der Challenge, übereinstimmt. Ist dies der Fall, so gilt das ID-Provider-Computersystem 136 als gegenüber dem ID-Token 106 authentifiziert. Die Zufallszahl kann als symmetrischer Schlüssel für die Ende-zu-Ende Verschlüsselung verwendet werden.
    • 3. Auslesen des zumindest einen Attributs Nachdem sich der Nutzer 102 erfolgreich gegenüber dem ID-Token 106 authentifiziert hat, und nachdem sich das ID-Provider-Computersystem 136 erfolgreich gegenüber dem ID-Token 106 authentifiziert hat, erhält das ID-Provider-Computersystem 136 eine Leseberechtigung zum Auslesen, eines, mehrerer oder aller der in dem geschützten Speicherbereich 124 gespeicherten Attribute. Aufgrund eines entsprechenden Lesekommandos, welches das ID-Provider-Computersystem 136 über die Verbindung an den ID-Token 106 sendet, werden die angeforderten Attribute aus dem geschützten Speicherbereich 124 ausgelesen und durch Ausführung der Programminstruktionen 132 verschlüsselt. Die verschlüsselten Attribute werden über die Verbindung an das ID-Provider-Computersystem 136 übertragen und dort durch Ausführung der Programminstruktionen 148 entschlüsselt. Dadurch erhält das ID-Provider-Computersystem 136 Kenntnis der aus dem ID-Token 106 ausgelesenen Attribute. Diese Attribute werden von dem ID-Provider-Computersystem mit Hilfe seines Zertifikats 144 signiert und über das Mobilfunkgerät 100 oder direkt an die Netzwerkkomponente 150 übertragen. Dadurch wird die Netzwerkkomponente 150 über die aus dem ID-Token 106 ausgelesenen Attribute in Kenntnis gesetzt, sodass das Netzwerkkomponente 150 das Mobilfunkgerät 100 anhand dieser Attribute in das Mobilfunknetz 116 einbuchen kann oder die Einbuchung anhand der Attribute veranlassen kann.
  • Durch die Notwendigkeit der Authentifizierung des Nutzers 102 gegenüber dem ID-Token 106 und der Authentifizierung des ID-Provider-Computersystems 136 gegen-über dem ID-Token 106 ist der notwendige Vertrauensanker geschaffen, sodass das Netzwerkkomponente 150 sicher sein kann, dass die ihm von dem ID-Provider-Computersystem 136 mitgeteilten Attribute des Nutzers 102 zutreffend und nicht verfälscht sind.
  • Je nach Ausführungsform kann die Reihenfolge der Authentifizierung unterschiedlich sein. Beispielsweise kann vorgesehen sein, dass sich zunächst der Nutzer 102 gegenüber dem ID-Token 106 authentifizieren muss und nachfolgend das ID-Provider-Computersystem 136. Es ist aber grundsätzlich auch möglich, dass sich zunächst das ID-Provider-Computersystem 136 gegenüber dem ID-Token 106 authentifizieren muss und erst nachfolgend der Nutzer 102.
  • In dem ersten Fall ist der ID-Token 106 beispielsweise so ausgebildet, dass er nur durch Eingabe einer korrekten PIN oder eines korrekten biometrischen Merkmals durch den Nutzer 102 freigeschaltet wird. Erst diese Freischaltung ermöglicht den Start der Programminstruktionen 132 und 134 und damit die Authentifizierung des ID-Provider-Computersystems 136.
  • Im zweiten Fall ist ein Start der Programminstruktionen 132 und 134 auch bereits möglich, wenn sich der Nutzer 102 noch nicht gegenüber dem ID-Token 106 authentifiziert hat. In diesem Fall sind beispielsweise die Programminstruktionen 134 so ausgebildet, dass das ID-Provider-Computersystem 136 erst dann einen Lesezugriff auf den geschützten Speicherbereich 124 zum Auslesen eines oder mehrerer der Attribute durchführen kann, nachdem von den Programminstruktionen 130 die erfolgreiche Authentifizierung auch des Nutzers 102 signalisiert worden ist.
  • Zum Einbuchen des Mobilfunkgeräts 100 kann das Mobilfunkgerät 100 beispielsweise ein Signal 101 über seine Netzwerk-Schnittstelle 114 an das Mobilfunknetz 116 senden. Die Versendung dieses Signals 101 ist auch bereits dann möglich, wenn das Mobilfunkgerät 100 nicht in dem Mobilfunknetz 116 eingebucht ist.
  • Das Signal 101 wird von der Netzwerkkomponente 150 des Mobilfunknetzes 116 verarbeitet, indem die Netzwerkkomponente 150 eine Anforderung 103 an das ID-Provider-Computersystem 136 richtet. Aufgrund dieser Anforderung 103 liest das ID-Provider-Computersystem 136 zumindest einen Attributwert aus dem ID-Token 106, nachdem die Authentifizierung des Nutzers 102 und des ID-Provider-Computersystems 136 erfolgt ist. Das ID-Provider-Computersystem 136 antwortet dann auf die Anforderung 103 mit einer Nachricht 105, die den zumindest einen Attributwert und dessen Signatur beinhaltet. Diese Nachricht wird von der Netzwerkkomponente 150 oder einer anderen Netzwerkkomponente des Mobilfunknetzes 116 empfangen und für das Einbuchen des Mobilfunkgeräts 100 des Nutzers 102 verwendet.
  • Die Kommunikation zwischen dem ID-Token 106 und dem ID-Provider-Computersystem 136 kann auch bereits vor dem Einbuchen des Mobilfunkgeräts 100 über das Mobilfunknetz 116 erfolgen. Beispielsweise wird hierzu dem Mobilfunkgerät 100 aufgrund des Empfangs des Signals 101 seitens des Mobilfunknetzwerks 116 eine temporäre Kennung zugeordnet, die für die Kommunikation über das Mobilfunknetz 116 mit dem Mobilfunkgerät 100 verwendet wird, so lange das Mobilfunkgerät 100 noch nicht eingebucht ist.
  • Die 2 zeigt eine Ausführungsform eines erfindungsgemäßen Verfahrens.
  • Zum Einbuchen des Mobilfunkgeräts 100 des Nutzers 102 mit Hilfe von dessen ID-Token 106 wird beispielsweise wie folgt vorgegangen: In dem Schritt 200 authentifi ziert sich der Nutzer gegenüber dem ID-Token. Dies kann so erfolgen, dass der Nutzer über eine Tastatur des Mobilfunkgeräts seine PIN eingibt, die von dem Mobilfunkgerät über dessen Schnittstelle an die Schnittstelle des ID-Tokens übertragen wird. Wenn die Authentifizierung des Nutzers gegenüber dem ID-Token erfolgreich war, so wird in dem Schritt 202 eine Verbindung zwischen dem ID-Token und dem ID-Provider-Computersystem aufgebaut.
  • Hierbei handelt es sich vorzugsweise um eine gesicherte Verbindung, beispielsweise nach einem so genannten Secure Messaging-Verfahren.
  • In dem Schritt 204 erfolgt zumindest eine Authentifizierung des ID-Provider-Computersystems gegenüber dem ID-Token über die in dem Schritt 202 aufgebaute Verbindung. Zusätzlich kann eine Authentifizierung auch des ID-Tokens gegenüber dem ID-Provider-Computersystem vorgesehen sein.
  • Nachdem sowohl der Nutzer als auch das ID-Provider-Computersystem erfolgreich gegenüber dem ID-Token authentifiziert worden sind, erhält das ID-Provider-Computersystem von dem ID-Token die Zugriffsberechtigung zum Auslesen zumindest einer der Attribute. In dem Schritt 206 sendet das ID-Provider-Computersystem ein oder mehrere Lesekommandos zum Auslesen der erforderlichen Attribute aus dem ID-Token. Die Attribute werden dann mittels Ende-zu-Ende-Verschlüsselung über die gesicherte Verbindung an das ID-Provider-Computersystem übertragen und dort entschlüsselt.
  • Die ausgelesenen Attributwerte werden in dem Schritt 208 von dem ID-Provider-Computersystem signiert. In dem Schritt 210 sendet das ID-Provider-Computersystem die signierten Attributwerte an eine Netzwerkkomponente. Die Übertragung des oder der Attributwerte kann über das Mobilfunknetz erfolgen. Alternativ ist das ID-Provider-Computersystem Teil der Netzwerkkomponente, so dass keine Übertragung erforderlich ist.
  • Die signierten Attributwerte erreichen die Netzwerkkomponente entweder direkt oder über das Mobilfunkgerät. Im letzteren Fall kann der Nutzer die Möglichkeit haben, die signierten Attributwerte zur Kenntnis zu nehmen und/oder durch weitere Daten zu ergänzen. Es kann vorgesehen sein, dass die signierten Attributwerte gegebenenfalls mit den ergänzten Daten erst nach Freigabe durch den Nutzer von dem Mobilfunkgerät an die Netzwerkkomponente weitergeleitet werden. Hierdurch ist größtmögliche Transparenz für den Nutzer hinsichtlich der von dem ID-Provider-Computersystem an die Netzwerkkomponente gesendeten Attribute hergestellt.
  • In dem Schritt 212 wird dann das Mobilfunkgerät durch die Netzwerkkomponente anhand der aus dem ID-Token ausgelesenen Attributwerte in das Mobilfunknetz eingebucht.
  • Die 3 zeigt eine weitere Ausführungsform eines erfindungsgemäßen Verfahrens.
  • Zum Einbuchen seines Mobilfunkgeräts 100 in das Mobilfunknetz 116 authentifiziert sich der Nutzer 102 zunächst gegenüber dem ID-Token 106. Nach erfolgreicher Authentifizierung des Nutzers 102 gegenüber dem ID-Token 106 sendet das Mobilfunkgerät 100 über das Mobilfunknetz 116 ein Signal an die Netzwerkkomponente 150 des Mobilfunknetzes, um gegenüber dem Mobilfunknetz zu signalisieren, dass das Mobilfunkgerät 100 in das Mobilfunknetz eingebucht werden soll.
  • Die Netzwerkkomponente 150 sendet daraufhin eine Anforderung an das ID-Provider-Computersystem 136. Diese Anforderung kann über das Mobilfunknetz 116 gesendet werden. Die Anforderung kann auch unmittelbar von der Netzwerkkomponente 150 an das ID-Provider-Computersystem 136 kommuniziert werden, insbesondere dann, wenn es sich bei dem ID-Provider-Computersystem 136 um einen integralen Bestandteil der Netzwerkkomponente 150 handelt.
  • Aufgrund der von der Netzwerkkomponente 150 empfangenen Anforderung authentifiziert sich das ID-Provider-Computersystem 136 gegenüber dem ID-Token 106 und richtet eine Leseanforderung zum Lesen eines oder mehrerer der Attribute an den ID-Token 106.
  • Unter der Voraussetzung der vorherigen erfolgreichen Authentifizierung des Nutzers 102 und des ID-Provider-Computersystems 136 antwortet der ID-Token 106 auf die Leseanforderung mit den gewünschten Attributen. Das ID-Provider-Computersystem 136 signiert die Attribute und sendet die signierten Attribute an das Mobilfunkgerät 100. Nach Freigabe durch den Nutzer 102 am Mobilfunkgerät 100 werden die signierten Attribute dann an die Netzwerkkomponente 150 übertragen. Die Netzwerkkomponente 150 veranlasst dann die Einbuchung des Mobilfunkgeräts 100.
  • Die 4 zeigt eine Ausführungsform eines erfindungsgemäßen Mobilfunksystems mit einer Datenbank 158. Die Datenbank 158 beinhaltet zumindest eine Datenbanktabelle 160, in der für jeden registrierten Nutzer des Mobilfunknetzwerks 116 ein eindeutiger Identifikator und eine Telefonnummer gespeichert ist. Zum Auslesen des Identifikators und der Telefonnummer des Nutzers 102 ist die Kenntnis zumindest eines Attributwerts erforderlich, der aus dem ID-Token 106 des Nutzers 102 von dem ID-Provider-Computersystem 136 ausgelesen werden muss.
  • Die Datenbank 158 hat zumindest einen Prozessor 162 zur Ausführung von Programminstruktionen 164. Durch die Ausführung der Programminstruktionen 164 kann ein Zugriff auf die Datenbanktabelle 160 erfolgen, um mit Hilfe des aus dem ID-Token 106 des Nutzers 102 ausgelesenen Attributwerts den Identifikator und die Telefonnummer des Nutzers 102 auszulesen.
  • Durch den Identifikator wird nicht nur der Nutzer 102 eindeutig identifiziert, sondern auch ein für den Nutzer 102 zuständiges Home Location Register. In der hier betrachteten Ausführungsform hat das Mobilfunknetz 116 eine Anzahl I von Home Location Registern HLR1, HLR2, ..., HLRi, ... HLRI.
  • Die für jeden der registrierten Nutzer des Mobilfunknetzwerks 116 in der Datenbanktabelle 160 gespeicherten Identifikatoren können beispielsweise als IMSIs ausgebildet sein.
  • Zum Einbuchen des Mobilfunkgeräts 100 wird bei der hier betrachteten Ausführungsform so vorgegangen, dass zumindest ein Attributwert aus dem ID-Token 106 von dem ID-Provider-Computersystem 136 ausgelesen wird, nachdem sich der Nutzer 102 und das ID-Provider-Computersystem 136 gegenüber dem ID-Token 106 authentifiziert haben, beispielsweise so wie mit Bezug auf die 1, 2 und 3 oben beschrieben. Das ID-Provider-Computersystem 136 sendet dann die Nachricht 105 mit dem Attributwert an die Datenbank 158. Durch Ausführung der Programminstruktionen 164 wird dann mit Hilfe des Attributwerts ein Datenbankzugriff durchgeführt, um aus der Datenbanktabelle 160 unter Verwendung des Attributwerts als Schlüssel den dem Nutzer 102 zugeordneten Identifikator und die Telefonnummer des Nutzers 102 auszulesen. Die Datenbank 158 sendet dann eine Nachricht 107, um diesen Identifikator und die Telefonnummer des Nutzers 102 gegenüber dem Mobilfunknetz 116 mitzuteilen. Die Nachricht 107 wird von dem durch den Identifikator identifizierten Home Location Register empfangen, welches daraufhin das Mobilfunkgerät 100 einbucht.
  • Die 5 zeigt eine alternative Ausführungsform, bei der der Identifikator in einem Speicher 166 des Mobilfunkgeräts 100 gespeichert ist. Dieser Identifikator kann beispielsweise von dem Nutzer 102 manuell in das Mobilfunkgerät 100 eingegeben werden, sodass er in dem Speicher 166 gespeichert wird. Alternativ kann der Identifikator mit Hilfe einer Over-the-Air (OTA) Technik automatisch in den Speicher 166 des Mobilfunkgeräts 100 geschrieben werden.
  • Ergänzend zu der Ausführungsform gemäß 4 sendet das Mobilfunkgerät 100 zur Durchführung der Einbuchung den in seinem Speicher 166 gespeicherten Identifikator über das Mobilfunknetz 116 an die Datenbank 158.
  • In der Datenbanktabelle 160 sind in der hier betrachteten Ausführungsform nur die Identifikatoren, nicht aber die Telefonnummern gespeichert. Die Telefonnummern der registrierten Nutzer sind dagegen in lokalen Datenbanken der einzelnen Home Location Register gespeichert. Die 5 zeigt exemplarisch die Datenbank 168 des Home Location Registers 1, in der die Telefonnummern derjenigen registrierten Nutzer gespeichert sind, für die das Home Location Register 1 zuständig ist. Ein Zugriff auf diese Telefonnummer kann mit den Identifikatoren der betreffenden Nutzer erfolgen.
  • Der Prozessor 162 der Datenbank 158 dient bei der hier betrachteten Ausführungsform zusätzlich zur Ausführung von Programminstruktionen 170. Durch Ausführung der Programminstruktionen 170 wird überprüft, ob der von dem Mobilfunkgerät 100 empfangene Identifikator identisch ist mit dem aus der Datenbanktabelle 160 ausgelesenen Identifikator. Nur wenn dies der Fall ist, sendet die Datenbank 158 die Nachricht 107, andernfalls wird die Einbuchung abgelehnt.
  • Für die Einbuchung des Mobilfunkgeräts 100 wird hier also wie folgt vorgegangen:
    Das Mobilfunkgerät 100 sendet das Signal 101 an das Mobilfunknetz 116, wobei das Signal 101 bei dieser Ausführungsform den in dem Speicher 166 gespeicherten Identifikator trägt. Das ID-Provider-Computersystem 136 liest den zumindest einen Attributwert aus dem ID-Token 106, nachdem sich der Nutzer 102 und das ID-Provider-Computersystem 136 gegenüber dem ID-Token 106 authentifiziert haben, wie oben mit Bezugnahme auf die 1 bis 4 erläutert. Das ID-Provider-Computersystem 136 sendet dann die Nachricht 105 mit dem Attributwert an die Datenbank 158.
  • Durch Ausführung der Programminstruktionen 164 liest die Datenbank 158 aus der Datenbanktabelle 160 den Identifikator des Nutzers 102 mit Hilfe des Attributwerts aus. Ferner überprüft die Datenbank 158 durch Ausführung der Programminstruktionen 170, ob der von dem Mobilfunkgerät 100 empfangene Identifikator mit dem aus der Datenbanktabelle 160 ausgelesenen Identifikator übereinstimmt. Nur wenn dies der Fall ist, sendet die Datenbank 158 die Nachricht 107 ab, sodass die Einbuchung in dem zuständigen Home Location Register, wie zum Beispiel dem Home Location Register 1, erfolgen kann. Das zuständige Home Location Register greift mit dem Identifikator als Schlüssel auf seine lokale Datenbank 168 zu, um die Telefonnummer des Nutzers 102 zu ermitteln. Für die so ermittelte Telefonnummer wird dann die Einbuchung in das Mobilfunknetz vorgenommen.
  • Die 6 zeigt eine weitere Ausführungsform eines erfindungsgemäßen Mobilfunksystems. Bei dieser Ausführungsform ist der Identifikator, also beispielsweise die IMSI, des Nutzers 102 als Attributwert in dem geschützten Speicherbereich 124 des ID-Tokens 106 gespeichert.
  • Zum Einbuchen des Mobilfunkgeräts 100 wird dann so vorgegangen, dass das ID-Provider-Computersystem 136 den Identifikator aus dem ID-Token 106 ausliest, nachdem sich der Nutzer 102 und das ID-Provider-Computersystem 136 gegenüber dem ID-Token 106 authentifiziert haben, analog zu den oben beschriebenen Ausführungsformen der 1 bis 5. Das ID-Provider-Computersystem 136 sendet dann die Nachricht 105 mit dem Identifikator, die das durch den Identifikator identifizierte Home Location Register des Mobilfunknetzes 116 empfängt, wie zum Beispiel das HLR1. Das zuständige Home Location Register führt einen Datenbankzugriff auf seine lokale Datenbank 168 durch, um mit dem in der Nachricht 105 beinhalteten Identifikator die Telefonnummer des Nutzers 102 zu ermitteln, mit der die Einbuchung des Mobilfunkgeräts 100 dann erfolgt.
    • 100
    Mobilfunkgerät
    101
    Signal
    102
    Nutzer
    103
    Anforderung
    104
    Schnittstelle
    105
    Nachricht
    106
    ID-Token
    107
    Nachricht
    108
    Schnittstelle
    110
    Prozessor
    112
    Programminstruktionen
    114
    Mobilfunknetz-Schnittstelle
    116
    Mobilfunknetz
    118
    elektronischer Speicher
    120
    geschützter Speicherbereich
    122
    geschützter Speicherbereich
    124
    geschützter Speicherbereich
    126
    Speicherbereich
    128
    Prozessor
    130
    Programminstruktionen
    132
    Programminstruktionen
    134
    Programminstruktionen
    136
    ID-Provider-Computersystem
    138
    Mobilfunknetz-Schnittstelle
    140
    Speicher
    142
    privater Schlüssel
    144
    Zertifikat
    145
    Prozessor
    146
    Programminstruktionen
    148
    Programminstruktionen
    149
    Programminstruktionen
    150
    Netzwerkkomponente
    152
    Mobilfunknetz-Schnittstelle
    154
    Prozessor
    156
    Programminstruktionen
    158
    Datenbank
    160
    Datenbanktabelle
    162
    Prozessor
    164
    Programminstruktionen
    166
    Speicher
    168
    Datenbank
    170
    Programminstruktionen
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • - US 2007/0294431 A1 [0003]
    • - US 2001/0045451 A1 [0004]
    • - US 6257486 B1 [0004]
    • - DE 1020080000671-31 [0005]
    • - DE 102008040416.0-31 [0005]
    • - DE 102008042262.2-31 [0005]

Claims (19)

  1. Verfahren zum Einbuchen eines Mobilfunkgeräts (100) in ein Mobilfunknetz (116) mit Hilfe zumindest eines in einem ID-Token (106) gespeicherten Attributs, wobei der ID-Token einem Nutzer (102) zugeordnet ist, mit folgenden Schritten: – Authentifizierung des Nutzers gegenüber dem ID-Token, – Authentifizierung eines ersten Computersystems (136) gegenüber dem ID-Token, – nach erfolgreicher Authentifizierung des Nutzers und des ersten Computersystems gegenüber dem ID-Token, Lesezugriff des ersten Computersystems auf das zumindest eine in dem ID-Token gespeicherte Attribut über das Mobilfunknetz, – Verwendung des zumindest einen Attributs für das Einbuchen.
  2. Verfahren nach Anspruch 1, wobei die Authentifizierung des ersten Computersystems gegenüber dem ID-Token mit Hilfe eines Zertifikats (144) des ersten Computersystems erfolgt, wobei das Zertifikat eine Angabe derjenigen in dem ID-Token gespeicherten Attribute beinhaltet, für welche das erste Computersystem für den Lesezugriff berechtigt ist.
  3. Verfahren nach Anspruch 2, wobei der ID-Token die Leseberechtigung des ersten Computersystems für den Lesezugriff auf zumindest eines der Attribute mit Hilfe des Zertifikats überprüft.
  4. Verfahren nach einem der Ansprüche 1, 2 oder 3, mit folgenden weiteren Schritten: – Signierung des zumindest einen aus dem ID-Token gelesenen Attributs durch das erste Computersystem, – Übertragung des zumindest einen signierten Attributs von dem ersten Computersystem an ein zweites Computersystem (150; HLR1, HLR2, ... HLRi, ... HLRI), wobei das zweite Computersystem mit dem Mobilfunknetz gekoppelt ist, um das Einbuchen durchzuführen oder zu initieren.
  5. Verfahren nach Anspruch 4, wobei es sich bei dem zweiten Computersystem um eine Mobilfunknetzkomponente des Mobilfunknetz handelt.
  6. Verfahren nach Anspruch 4 oder 5, wobei das zumindest eine von dem ersten Computersystem aus dem ID-Token gelesene Attribut an das Mobilfunkgerät gesendet wird, von wo es nach Freigabe durch den Nutzer an das zweite Computersystem weitergeleitet wird.
  7. Verfahren nach Anspruch 6, wobei der Nutzer die Attribute vor der Weiterleitung an das zweite Computersystem durch weitere Daten ergänzen kann.
  8. Verfahren nach einem der vorhergehenden Ansprüche, wobei es sich bei dem Mobilfunkgerät um ein Mobiltelefon, insbesondere ein Smartphone, einen Personal Digital Assistant mit einer Mobilfunk-Schnittstelle, einen tragbaren Computer mit einer Mobilfunk-Schnittstelle oder ein tragbares elektronisches Gerät, wie z. B. eine digitale Kamera, mit einer Mobilfunk-Schnittstelle handelt.
  9. Verfahren nach einem der vorausgehenden Ansprüche, wobei ein Datenbankzugriff auf eine Datenbank (158) durchgeführt wird, in der Identifikatoren gespeichert sind, wobei durch jeden der Identifikatoren ein Home Location Register identifiziert wird, wobei der Identifikator eines dem Nutzer zugeordneten Home Location Register (HLR1, HLR2, ...HLRi, ... HLRI) mit Hilfe des zumindest einen Attributs aus der Datenbank ausgelesen wird, und wobei das Einbuchen des Mobilfunkgeräts in dem durch den aus der Datenbank ausgelesenen Identifikator identifizierten Home Location Register durchgeführt wird.
  10. Verfahren nach Anspruch 9, wobei in der Datenbank die Telefonnummern der Nutzer gespeichert sind.
  11. Verfahren nach einem der vorhergehenden Ansprüche, wobei ein erster Identifikator in dem Mobilfunkgerät gespeichert ist, und wobei dem Nutzer ein zweiter Identifikator zugeordnet ist, durch den ein Home Location Register identifiziert wird, und wobei mit Hilfe des zumindest einen Attributs geprüft wird, ob es sich bei dem ersten Identifikator um den zweiten Identifikator handelt, und wobei das Einbuchen in das durch die ersten und zweiten Identifikatoren identifizierte Home Location Register erfolgt, wenn die ersten und zweiten Identifikatoren übereinstimmen.
  12. Verfahren nach einem der vorhergehenden Ansprüche, wobei es sich bei dem zumindest einen Attribut um einen Identifikator handelt, durch den ein Home Location Register identifiziert wird, wobei das Einbuchen des Mobilfunkgeräts in das durch den Identifikator identifizierte Home Location Register erfolgt.
  13. Computerprogrammprodukt mit von einem Computersystem ausführbaren Instruktionen zur Durchführung eines Verfahrens nach einem der vorhergehenden Ansprüche.
  14. ID-Token mit – einem geschützten Speicherbereich (124) zur Speicherung von zumindest einem Attribut, – Mitteln (120, 130) zur Authentifizierung eines dem ID-Token zugeordneten Nutzers (102) gegenüber dem ID-Token, – Mitteln (134) zur Authentifizierung eines ersten Computersystems (136) gegenüber dem ID-Token, – Mitteln (132) zum Aufbau einer geschützten Verbindung zu dem ersten Computersystem über ein Mobilfunkgerät, wobei das erste Computersystem das zumindest eine Attribut über die geschützte Verbindung auslesen kann, wobei eine notwendige Voraussetzung für das Auslesen des zumindest einen Attributs aus dem ID-Token durch das erste Computersystem die erfolgreiche Authentifizierung des Nutzers und des ersten Computersystems gegenüber dem ID-Token ist, und wobei durch das zumindest eine Attribut ein Home Location Register (HLR1, HLR2, ...HLRi, ...HLRI) eines Mobilfunknetzes identifizierbar ist.
  15. ID-Token nach Anspruch 14, mit Mitteln (132) zur Ende-zu-Ende-Verschlüsselung der Verbindung für eine geschützte Übertragung des zumindest einen der Attribute zu dem ersten Computersystem.
  16. ID-Token nach Anspruch 14 oder 15, wobei es sich um ein elektronisches Gerät, insbesondere einen USB-Stick, oder ein Dokument, insbesondere ein Wert- oder Sicherheitsdokument, handelt.
  17. Mobilfunksystem zum Einbuchen eines Mobilfunkgeräts (100) in ein Mobilfunknetz (116) mit Hilfe zumindest eines in einem ID-Token (106) gespeicherten Attributs, wobei der ID-Token einem Nutzer (102) zugeordnet ist, mit – Mitteln (142, 144, 146) zur Authentifizierung eines ersten Computersystems (136) gegenüber dem ID-Token, – Mitteln (138, 148) zur Durchführung eines Lesezugriffs des ersten Computersystems auf das zumindest eine in dem ID-Token gespeicherte Attribut über das Mobilfunknetz, wobei der Lesezugriff durchführbar ist, nachdem sich der Nutzer und das erste Computersystem gegenüber dem ID-Token authentifiziert haben, – Mitteln (150) zur Verwendung des zumindest einen Attributs für das Einbuchen.
  18. Mobilfunksystem nach Anspruch 17, wobei das erste Computersystem Mittel (144) zum Signieren des zumindest einen Attributs aufweist, und mit einer Netzwerkkomponente (150), die zum Empfang des zumindest einen signierten Attributs von dem ersten Computersystem ausgebildet ist.
  19. Mobilfunksystem nach Anspruch 18, wobei die Netzwerkkomponente eine Datenbank (158) aufweist, wobei in der Datenbank Identifikatoren gespeichert sind, wobei durch jeden der Identifikatoren ein Home Location Register (HLR1, HLR2, ...HLRi, ... HLRI) des Mobilfunknetzes identifiziert wird, wobei ein Lesezugriff auf einen dem Nutzer zugeordneten Identifikator mit Hilfe des zumindest einen Attributs durchführbar ist.
DE102009026953A 2009-06-16 2009-06-16 Verfahren zum Einbuchen eines Mobilfunkgeräts in ein Mobilfunknetz Withdrawn DE102009026953A1 (de)

Priority Applications (7)

Application Number Priority Date Filing Date Title
DE102009026953A DE102009026953A1 (de) 2009-06-16 2009-06-16 Verfahren zum Einbuchen eines Mobilfunkgeräts in ein Mobilfunknetz
JP2012515432A JP5601729B2 (ja) 2009-06-16 2010-06-09 移動無線機の移動無線網へのログイン方法
KR1020117028814A KR101676893B1 (ko) 2009-06-16 2010-06-09 이동 무선 네트워크에 이동 무선 장치를 등록하기 위한 방법
PCT/EP2010/058093 WO2010145979A1 (de) 2009-06-16 2010-06-09 Verfahren zum einbuchen eines mobilfunkgeräts in ein mobilfunknetz
EP10722138.4A EP2443853B1 (de) 2009-06-16 2010-06-09 Verfahren zum einbuchen eines mobilfunkgeräts in ein mobilfunknetz
CN201080025670.9A CN102461231B (zh) 2009-06-16 2010-06-09 在无线移动通讯网络注册无线移动通讯设备的程序
SG2011092475A SG176839A1 (en) 2009-06-16 2010-06-09 Method for registering a mobile radio in a mobile radio network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102009026953A DE102009026953A1 (de) 2009-06-16 2009-06-16 Verfahren zum Einbuchen eines Mobilfunkgeräts in ein Mobilfunknetz

Publications (1)

Publication Number Publication Date
DE102009026953A1 true DE102009026953A1 (de) 2010-12-23

Family

ID=42797225

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102009026953A Withdrawn DE102009026953A1 (de) 2009-06-16 2009-06-16 Verfahren zum Einbuchen eines Mobilfunkgeräts in ein Mobilfunknetz

Country Status (7)

Country Link
EP (1) EP2443853B1 (de)
JP (1) JP5601729B2 (de)
KR (1) KR101676893B1 (de)
CN (1) CN102461231B (de)
DE (1) DE102009026953A1 (de)
SG (1) SG176839A1 (de)
WO (1) WO2010145979A1 (de)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009027676A1 (de) 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Kommunikationsverfahren, Computerprogrammprodukt, Vorrichtung und Computersystem
DE102009027681A1 (de) 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Verfahren und Lesen von Attributen aus einem ID-Token
WO2011006864A2 (de) 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Verfahren zum lesen von attributen aus einem id-token
WO2011006790A1 (de) 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Verfahren zur erzeugung eines soft-tokens
DE102009027723A1 (de) 2009-07-15 2011-01-27 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102009046205A1 (de) 2009-10-30 2011-05-12 Bundesdruckerei Gmbh Verfahren zur Erzeugung einer Web-Seite
DE102010028133A1 (de) 2010-04-22 2011-10-27 Bundesdruckerei Gmbh Verfahren zum Lesen eines Attributs aus einem ID-Token
WO2013030060A1 (de) 2011-09-02 2013-03-07 Bundesdruckerei Gmbh Verfahren zur erzeugung eines soft-tokens, computerprogrammprodukt und dienst-computersystem
WO2014063990A1 (de) 2012-10-26 2014-05-01 Bundesdruckerei Gmbh Verfahren zur erzeugung eines soft-tokens, computerprogrammprodukt und dienst-computersystem
DE102015017060A1 (de) 2015-01-13 2016-07-14 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102015200313A1 (de) 2015-01-13 2016-07-14 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102015017061A1 (de) 2015-01-13 2016-07-28 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
WO2016184767A1 (de) 2015-05-18 2016-11-24 Bundesdruckerei Gmbh Verfahren zum lesen von attributen aus einem id-token
DE102015213312A1 (de) 2015-07-15 2017-01-19 Bundesdruckerei Gmbh Verfahren zum Verwalten von Attributen aus einem ID-Token, ID-Token, Attribut-Provider-Computersystem und Computersystem
EP3244332A1 (de) 2016-05-10 2017-11-15 Bundesdruckerei GmbH Verfahren zum lesen von attributen aus einem id-token
EP3244331A1 (de) 2016-05-10 2017-11-15 Bundesdruckerei GmbH Verfahren zum lesen von attributen aus einem id-token
EP3321832A1 (de) 2016-11-11 2018-05-16 Bundesdruckerei GmbH Verteilen zum lesen von attributen aus einem id-token

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015103048A1 (en) 2014-01-03 2015-07-09 Mcafee, Inc. Mechanisms for conserving resources of wearable devices
CN104219650B (zh) * 2014-09-22 2017-12-12 北京电子科技学院 发送用户身份认证信息的方法及用户设备
CN105530094B (zh) * 2014-09-28 2019-04-23 中国移动通信集团公司 一种身份认证方法、装置、系统以及密码器
DE102015222347B4 (de) 2015-11-12 2017-07-06 Bundesdruckerei Gmbh Elektronisches Bezahlverfahren und Servercomputer
DE102016206916B4 (de) 2016-04-22 2023-07-06 Bundesdruckerei Gmbh Elektronisches Verfahren zur kryptographisch gesicherten Überweisung eines Betrags einer Kryptowährung
DE102016208512A1 (de) 2016-05-18 2017-11-23 Bundesdruckerei Gmbh Zugangskontrolle mit einem Mobilfunkgerät
CN108769043B (zh) * 2018-06-06 2021-02-02 中国联合网络通信集团有限公司 可信应用认证系统和可信应用认证方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6257486B1 (en) 1998-11-23 2001-07-10 Cardis Research & Development Ltd. Smart card pin system, card, and reader
US20010045451A1 (en) 2000-02-28 2001-11-29 Tan Warren Yung-Hang Method and system for token-based authentication
DE60310968T2 (de) * 2002-10-07 2007-10-11 Telefonaktiebolaget Lm Ericsson (Publ) Sicherheits- und Privatsphärenverbesserungen für Sicherheitseinrichtungen
US20070294431A1 (en) 2004-10-29 2007-12-20 The Go Daddy Group, Inc. Digital identity validation
EP2009934A1 (de) * 2006-04-20 2008-12-31 Huawei Technologies Co., Ltd. System, einrichtung und verfahren für ein mobilbenutzergerät (ue) in leitungsvermittlungsnetzen zum zugang zu ims
DE102008000067A1 (de) 2008-01-16 2009-07-23 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102008040416A1 (de) 2008-07-15 2010-01-21 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102008042262A1 (de) 2008-09-22 2010-04-08 Bundesdruckerei Gmbh Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10177552A (ja) * 1996-12-17 1998-06-30 Fuji Xerox Co Ltd 認証応答方法およびその方法を用いた認証応答装置
JP4313171B2 (ja) * 2003-12-09 2009-08-12 株式会社日立製作所 認証制御装置および認証制御方法
JP2005311520A (ja) * 2004-04-19 2005-11-04 Sony Ericsson Mobilecommunications Japan Inc 携帯端末装置
DE102004027311B4 (de) * 2004-06-04 2016-02-11 Giesecke & Devrient Gmbh Telekommunikationsanordnung
JP2006113872A (ja) * 2004-10-15 2006-04-27 Toshiba Tec Corp 登録者idカード、個人情報登録サーバ及び個人情報要求装置並びにこれらを使用した個人情報提供システム
EP2259539B1 (de) * 2005-02-04 2013-10-09 QUALCOMM Incorporated Sicheres bootstrapping für die drahtlose kommunikation
CN1929492A (zh) * 2006-09-26 2007-03-14 华为技术有限公司 移动终端号码实名制的实现系统及方法
DE102007012965A1 (de) * 2007-03-14 2008-10-16 Bundesdruckerei Gmbh Verfahren zur Authentifizierung einer Person gegenüber einer Kontrolleinrichtung
JP4849116B2 (ja) * 2008-11-10 2012-01-11 大日本印刷株式会社 端末装置、プログラム、及び記録媒体

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6257486B1 (en) 1998-11-23 2001-07-10 Cardis Research & Development Ltd. Smart card pin system, card, and reader
US20010045451A1 (en) 2000-02-28 2001-11-29 Tan Warren Yung-Hang Method and system for token-based authentication
DE60310968T2 (de) * 2002-10-07 2007-10-11 Telefonaktiebolaget Lm Ericsson (Publ) Sicherheits- und Privatsphärenverbesserungen für Sicherheitseinrichtungen
US20070294431A1 (en) 2004-10-29 2007-12-20 The Go Daddy Group, Inc. Digital identity validation
EP2009934A1 (de) * 2006-04-20 2008-12-31 Huawei Technologies Co., Ltd. System, einrichtung und verfahren für ein mobilbenutzergerät (ue) in leitungsvermittlungsnetzen zum zugang zu ims
DE102008000067A1 (de) 2008-01-16 2009-07-23 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102008040416A1 (de) 2008-07-15 2010-01-21 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102008042262A1 (de) 2008-09-22 2010-04-08 Bundesdruckerei Gmbh Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem

Cited By (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9461990B2 (en) 2009-07-14 2016-10-04 Bundesdruckerei Gmbh Method for reading attributes from an ID token
DE102009027681A1 (de) 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Verfahren und Lesen von Attributen aus einem ID-Token
WO2011006864A2 (de) 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Verfahren zum lesen von attributen aus einem id-token
WO2011006790A1 (de) 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Verfahren zur erzeugung eines soft-tokens
DE102009027686A1 (de) 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102009027682A1 (de) 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Verfahren zur Erzeugung eines Soft-Tokens
EP3582126A1 (de) 2009-07-14 2019-12-18 Bundesdruckerei GmbH Kommunikationsverfahren, computerprogrammprodukt und computersystem
DE102009027676A1 (de) 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Kommunikationsverfahren, Computerprogrammprodukt, Vorrichtung und Computersystem
EP3261011A1 (de) 2009-07-14 2017-12-27 Bundesdruckerei GmbH Verfahren zum lesen von attributen aus einem id-token
DE102009027723A1 (de) 2009-07-15 2011-01-27 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102009046205A1 (de) 2009-10-30 2011-05-12 Bundesdruckerei Gmbh Verfahren zur Erzeugung einer Web-Seite
WO2011131715A1 (de) 2010-04-22 2011-10-27 Bundesdruckerei Gmbh Verfahren zum lesen eines attributs aus einem id-token
DE102010028133A1 (de) 2010-04-22 2011-10-27 Bundesdruckerei Gmbh Verfahren zum Lesen eines Attributs aus einem ID-Token
EP4357945A2 (de) 2010-04-22 2024-04-24 Bundesdruckerei GmbH Verfahren zum lesen eines attributs aus einem id-token
US9130931B2 (en) 2010-04-22 2015-09-08 Bundesdruckerei Gmbh Method for reading an attribute from an ID token
WO2013030060A1 (de) 2011-09-02 2013-03-07 Bundesdruckerei Gmbh Verfahren zur erzeugung eines soft-tokens, computerprogrammprodukt und dienst-computersystem
DE102011082101A1 (de) 2011-09-02 2013-03-07 Bundesdruckerei Gmbh Verfahren zur Erzeugung eines Soft-Tokens, Computerprogrammprodukt und Dienst-Computersystem
US9413753B2 (en) 2011-09-02 2016-08-09 Bundesdruckerei Gmbh Method for generating a soft token, computer program product and service computer system
DE102012219618B4 (de) * 2012-10-26 2016-02-18 Bundesdruckerei Gmbh Verfahren zur Erzeugung eines Soft-Tokens, Computerprogrammprodukt und Dienst-Computersystem
DE102012219618A1 (de) 2012-10-26 2014-05-15 Bundesdruckerei Gmbh Verfahren zur Erzeugung eines Soft-Tokens, Computerprogrammprodukt und Dienst-Computersystem
WO2014063990A1 (de) 2012-10-26 2014-05-01 Bundesdruckerei Gmbh Verfahren zur erzeugung eines soft-tokens, computerprogrammprodukt und dienst-computersystem
US9647840B2 (en) 2012-10-26 2017-05-09 Bundesdruckerei Gmbh Method for producing a soft token, computer program product and service computer system
WO2016113154A1 (de) 2015-01-13 2016-07-21 Bundesdruckerei Gmbh Verfahren zum lesen von attributen aus einem id-token
DE102015017060A1 (de) 2015-01-13 2016-07-14 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
EP3748521A1 (de) 2015-01-13 2020-12-09 Bundesdruckerei GmbH Verfahren zum lesen von attributen aus einem id-token
DE102015200313A1 (de) 2015-01-13 2016-07-14 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102015017061A1 (de) 2015-01-13 2016-07-28 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102015209073B4 (de) 2015-05-18 2019-02-07 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
WO2016184767A1 (de) 2015-05-18 2016-11-24 Bundesdruckerei Gmbh Verfahren zum lesen von attributen aus einem id-token
DE102015209073A1 (de) 2015-05-18 2016-11-24 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102015213312A1 (de) 2015-07-15 2017-01-19 Bundesdruckerei Gmbh Verfahren zum Verwalten von Attributen aus einem ID-Token, ID-Token, Attribut-Provider-Computersystem und Computersystem
WO2017009019A1 (de) 2015-07-15 2017-01-19 Bundesdruckerei Gmbh Verfahren zum lesen von attributen aus einem id-token, id-token, attribut-provider-computersystem und computersystem
DE102016208040A1 (de) 2016-05-10 2017-11-16 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102016208038A1 (de) 2016-05-10 2017-11-16 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
EP3244331A1 (de) 2016-05-10 2017-11-15 Bundesdruckerei GmbH Verfahren zum lesen von attributen aus einem id-token
EP3244332A1 (de) 2016-05-10 2017-11-15 Bundesdruckerei GmbH Verfahren zum lesen von attributen aus einem id-token
DE102016222170A1 (de) 2016-11-11 2018-05-17 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
EP3321832A1 (de) 2016-11-11 2018-05-16 Bundesdruckerei GmbH Verteilen zum lesen von attributen aus einem id-token

Also Published As

Publication number Publication date
KR20120037380A (ko) 2012-04-19
CN102461231B (zh) 2016-08-03
EP2443853A1 (de) 2012-04-25
WO2010145979A1 (de) 2010-12-23
SG176839A1 (en) 2012-02-28
JP2012530311A (ja) 2012-11-29
JP5601729B2 (ja) 2014-10-08
KR101676893B1 (ko) 2016-11-16
CN102461231A (zh) 2012-05-16
EP2443853B1 (de) 2016-08-10

Similar Documents

Publication Publication Date Title
EP2443853B1 (de) Verfahren zum einbuchen eines mobilfunkgeräts in ein mobilfunknetz
EP3289508B1 (de) Verfahren zur erzeugung einer elektronischen signatur
EP2454703B1 (de) Verfahren zum lesen von attributen aus einem id-token
DE102008000067C5 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
DE102008042262B4 (de) Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem
EP2338255B1 (de) Verfahren, computerprogrammprodukt und system zur authentifizierung eines benutzers eines telekommunikationsnetzwerkes
EP3261011B1 (de) Verfahren zum lesen von attributen aus einem id-token
EP2415228B1 (de) Verfahren zum lesen von attributen aus einem id-token über eine mobilfunkverbindung
DE102010028133A1 (de) Verfahren zum Lesen eines Attributs aus einem ID-Token
DE102008040416A1 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
DE102009027682A1 (de) Verfahren zur Erzeugung eines Soft-Tokens
DE102009027723A1 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
EP3246839B1 (de) Zugangskontrolle mit einem mobilfunkgerät
EP4128695B1 (de) Personalisierter, serverindividueller authentifizierungsmechanismus
EP3528159B1 (de) Verfahren zur erzeugung eines pseudonyms mit hilfe eines id-tokens
EP3319003B1 (de) Verfahren und system zur authentifizierung eines mobilen telekommunikationsendgeräts an einem dienst-computersystem und mobiles telekommunikationsendgerät
DE102008042582A1 (de) Telekommunikationsverfahren, Computerprogrammprodukt und Computersystem
EP3289509B1 (de) Verfahren zur erzeugung einer elektronischen signatur
EP3271855B1 (de) Verfahren zur erzeugung eines zertifikats für einen sicherheitstoken
EP2381712B1 (de) Sicheres Auslesen von Daten aus einem Funkgerät mit festintegriertem TPM
EP2397960B1 (de) Verfahren zum Lesen von Attributen aus einem ID-Token über eine Telekommunikations-Chipkarte und ein Server-Computersystem

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R002 Refusal decision in examination/registration proceedings
R016 Response to examination communication
R125 Request for further processing filed
R126 Request for further processing allowed
R016 Response to examination communication
R120 Application withdrawn or ip right abandoned