DE102010046973A1 - Method for identification of radio frequency identification (RFID)/near field communication (NFC) device, involves comparing data sets generated in RFID/NFC application unit and RFID/NFC device - Google Patents

Method for identification of radio frequency identification (RFID)/near field communication (NFC) device, involves comparing data sets generated in RFID/NFC application unit and RFID/NFC device Download PDF

Info

Publication number
DE102010046973A1
DE102010046973A1 DE201010046973 DE102010046973A DE102010046973A1 DE 102010046973 A1 DE102010046973 A1 DE 102010046973A1 DE 201010046973 DE201010046973 DE 201010046973 DE 102010046973 A DE102010046973 A DE 102010046973A DE 102010046973 A1 DE102010046973 A1 DE 102010046973A1
Authority
DE
Germany
Prior art keywords
rfid
record
nfc
server
nfc device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE201010046973
Other languages
German (de)
Inventor
René Kampschulte
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Visavi Ug (haftungsbeschrankt)
VISAVI UG HAFTUNGSBESCHRAENKT
Original Assignee
Visavi Ug (haftungsbeschrankt)
VISAVI UG HAFTUNGSBESCHRAENKT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Visavi Ug (haftungsbeschrankt), VISAVI UG HAFTUNGSBESCHRAENKT filed Critical Visavi Ug (haftungsbeschrankt)
Priority to DE201010046973 priority Critical patent/DE102010046973A1/en
Publication of DE102010046973A1 publication Critical patent/DE102010046973A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

The method involves inquiring record to server by RFID/NFC application unit. The record is encrypted with private key in RFID/NFC device based on random data set generated in server to generate new record. The extended data with public key is encrypted. The encrypted data is decrypted in server using the public key corresponding to private key. The data is encrypted with the private key of the retrieved ID to generate data set in application unit. The ID code is verified based on comparison between data sets generated in application unit and device.

Description

Die Erfindung betrifft ein Verfahren zur Identifikation von RFID-/NFC-Geräten im technischen Gebiet der kontaktlosen Übertragung von Daten im Nahbereich.The invention relates to a method for the identification of RFID / NFC devices in the technical field of contactless transmission of data at close range.

RFID-Geräte (RFID: „Radio Frequency Identification”) und NFC-Geräte (NFC: „Near Field Communication”) werden zunehmend einzeln in verschiedenen Bauformen, oder in anderen Geräten integriert, verwendet. Beispiele sind RFID-Tags als Schlüsselanhänger, kontaktlose Chipkarten (Smart Cards) oder mit NFC-Bauteilen ausgestattete Mobiltelefone (Smartphones). Mit diesen Geräten werden verschiedene Anwendungen realisiert.RFID devices (RFID: "Radio Frequency Identification") and NFC devices (NFC: "Near Field Communication") are increasingly being used individually in different designs or integrated in other devices. Examples are RFID tags as key fobs, contactless smart cards or mobile phones (smartphones) equipped with NFC components. With these devices, various applications are realized.

Diese Anwendungen ergeben sich generell aus der Interaktion der RFID-/NFC-Geräte mit entsprechenden RFID-/NFC-Anwendungseinheiten als Gegenstelle. Diese RFID-/NFC-Anwendungseinheiten werden häufig auch als „RFID-Reader” bezeichnet. Die Bezeichnung „RFID-/NFC-Anwendungseinheit” ist dabei weiter zu verstehen, da hiermit ein komplettes System, bestehend aus eigentlichem RFID-Reader zur Übertragung von Funksignalen, sowie weiteren Komponenten zur Verarbeitung von Daten, gemeint ist.These applications generally result from the interaction of the RFID / NFC devices with corresponding RFID / NFC application units as the remote site. These RFID / NFC application units are often referred to as "RFID readers". The term "RFID / NFC application unit" is to be understood further, as hereby a complete system, consisting of actual RFID reader for the transmission of radio signals, as well as other components for the processing of data, meant.

Den meisten Anwendungen ist gemein, dass sie eine Identifikation der RFID-/NFC-Geräte gegenüber den RFID-/NFC-Anwendungseinheiten erfordern. Beispielsweise soll ein elektronischer Ausweis sicher als solcher identifiziert werden können.Common to most applications is that they require identification of the RFID / NFC devices over the RFID / NFC application devices. For example, an electronic ID card should be securely identified as such.

Ein bekanntes Verfahren zur Identifikation stellt die Übertragung eines Identifikationskennzeichens vom RFID-/NFC-Gerät an die RFID-/NFC-Anwendungseinheit vor. Weitere bekannte Verfahren basieren auf dem Austausch von Schlüsseln und verschlüsselten Datensätzen zwischen dem RFID-/NFC-Gerät und der RFID-/NFC-Anwendungseinheit. Eine Darstellung klassischer Verfahren ist erfolgt durch: BUNDESAMT FÜR SICHERHEIT IN DER INFORMATIONSTECHNIK: Risiken und Chancen des Einsatzes von RFID-Systemen, Ingelheim: SecuMedia, 2004, S. 41–64 .One known method of identification involves the transmission of an identification tag from the RFID / NFC device to the RFID / NFC application unit. Other known methods are based on the exchange of keys and encrypted data records between the RFID / NFC device and the RFID / NFC application unit. A presentation of classical methods is done by: FEDERAL OFFICE FOR SECURITY IN INFORMATION TECHNOLOGY: Risks and Opportunities of the Use of RFID Systems, Ingelheim: SecuMedia, 2004, p. 41-64 ,

Bekannte Verfahren ermöglichen nur teilweise die Erfüllung von nachstehenden Merkmalen.

  • a) Vermeidung der möglichen Identifikation des RFID-/NFC-Gerätes durch Dritte, häufig als „Eavesdropping-Angriff” bezeichnet.
  • b) Vermeidung einer auf Datenmanipulation basierenden Vortäuschung einer falschen Identität durch ein RFID-/NFC-Gerät gegenüber einer RFID-/NFC-Anwendungseinheit, häufig als „Spoofing-Angriff” bezeichnet.
  • c) Vermeidung einer auf zeitlicher Verzögerung basierenden Vortäuschung einer falschen Identität durch ein RFID-/NFC-Gerät gegenüber einer RFID-/NFC-Anwendungseinheit, häufig als „Replay-Angriff” bezeichnet.
  • d) Vermeidung des unbemerkten Verfolgens eines RFID-/NFC-Gerätes durch Dritte, häufig als „Tracking-Angriff” bezeichnet.
Known methods only partially allow the fulfillment of the following features.
  • a) Avoidance of possible identification of the RFID / NFC device by third parties, often referred to as "Eavesdropping attack".
  • b) Prevention of a data manipulation based spoofing of a false identity by an RFID / NFC device towards an RFID / NFC application unit, often referred to as a "spoofing attack".
  • c) Prevention of a time delay based spoofing of a false identity by an RFID / NFC device towards an RFID / NFC application unit, often referred to as a "replay attack".
  • d) avoidance of unnoticed tracking of an RFID / NFC device by third parties, often referred to as "tracking attack".

Die simultane Erfüllung der Merkmale stellt einen Mangel derzeitiger Verfahren da.The simultaneous fulfillment of the features represents a lack of current methods.

Ein Verfahren zur Identifikation von NFC-Geräten, dass sich des Einsatzes eines Servers zur Identifikation bedient, wurde veröffentlicht durch Patentschrift CN000101707772A , China. Das Verfahren erfüllt nicht das oben genannte Merkmal c), da es auf unidirektionaler Übertragung von Daten durch das NFC-Gerät an den Server basiert.A method of identifying NFC devices that use a server for identification has been published by patent CN000101707772A , China. The method does not fulfill the above-mentioned feature c) since it is based on unidirectional transmission of data by the NFC device to the server.

Die Erfüllung der oben genannten Merkmale stellt besonders in einem Anwendungsumfeld, dem dynamisch RFID-/NFC-Reader und RFID-/NFC-Anwendungseinheiten zugefügt und entfernt werden, sowie durch unterschiedliche Personengruppen und Institutionen betrieben werden, einen Mangel dar.Fulfillment of the above features is a deficiency particularly in an application environment where dynamic RFID / NFC readers and RFID / NFC application units are added and removed, as well as operated by different groups of people and institutions.

Das erfindungsgemäße Verfahren behandelt das Problem, eine Identifikation in einem eben solchen Anwendungsumfeld bereit zu stellen.The method according to the invention deals with the problem of providing an identification in just such an application environment.

Dieses Problem wird durch das Verfahren in den jeweils durch die Patentansprüche 1–8 spezifizierten Ausführungsarten, gelöst. Das Verfahren und die einzelnen Ausführungsarten werden Folgend näher beschrieben. Ausführungsarten gemäß den Patentansprüchen 1–7 werden anhand von , die Ausführungsart gemäß Patentanspruch 8 anhand , beschrieben.This problem is solved by the method in each of the embodiments specified by the patent claims 1-8. The method and the individual embodiments are described in more detail below. Embodiments according to claims 1-7 are based on , the embodiment according to claim 8 based , described.

Das erfindungsgemäße Verfahren bedient sich des Einsatzes eines Kommunikationsnetzwerkes, um eine Verbindung zwischen der RFID-/NFC-Anwendungseinheit und einem weiteren Server zu ermöglichen. Bei dem Kommunikationsnetzwerk kann es sich um das Internet oder ein anderes Netzwerk handeln. Die Anbindung der RFID-/NFC-Anwendungseinheit und des Servers an das Netzwerk kann auf verschiedenen Wegen erfolgen. Die technischen Mittel zur Anbindung und dem Betrieb eines solchen Netzwerkes sind bekannt.The method according to the invention makes use of a communication network in order to enable a connection between the RFID / NFC application unit and another server. The communication network may be the Internet or another network. The connection of the RFID / NFC application unit and the server to the network can take place in various ways. The technical means for connecting and operating such a network are known.

Bei dem Server handelt es sich um eine technische Einrichtungen zur Datenverarbeitung. Es kann sich auch um eine Gruppe von Einrichtungen zur Datenverarbeitungen, ein so genanntes „Cluster”, handeln. Die technischen Mittel zum Betrieb und die möglichen Ausführungen und Variationen solcher Einrichtungen zur Datenverarbeitung sind bekannt.The server is a technical device for data processing. It can also be a group of data processing facilities, a so-called "cluster". The technical means of operation and the possible designs and variations of such data processing equipment are known.

Die Kommunikation zwischen RFID-/NFC-Anwendungseinheit und RFID-/NFC-Gerät erfolgt über die Luftschnittstelle mittels RFID- beziehungsweise NFC-Technologie. Die Funktionsweise dieser Technologien ist bekannt.The communication between RFID / NFC application unit and RFID / NFC device takes place via the air interface using RFID or NFC technology. The operation of these technologies is known.

Bei dem erfindungsgemäßen Verfahren werden Datensätze verwendet. Diese folgend einzeln in ihrer Funktion näher beschriebenen Datensätze sind grundsätzlich als Sequenz digitaler Zeichenketten zu verstehen. Dabei ist die Länge der Zeichenketten an den Stand der Technik anzupassen. Dem heutigen Stand der Technik entsprechend wäre für die kryptografischen Funktionen der Einsatz von mindestens 256 Bit langen Zeichenketten zweckmäßig.In the method according to the invention, data sets are used. These data sets, which are described below individually in their function, are basically to be understood as a sequence of digital character strings. The length of the strings should be adapted to the state of the art. According to the current state of the art, the use of at least 256-bit strings would be expedient for the cryptographic functions.

Erläuterung des erfindungsgemäßen Verfahrens anhand eines AusführungsbeispielsExplanation of the method according to the invention with reference to an embodiment

Die RFID-/NFC-Anwendungseinheit fragt bei dem Server einen Datensatz an und startet dadurch den eigentlichen Identifikationsvorgang ( : a). Vorhergehend kann der Identifikationsvorgang auch durch ein anderes System, beispielsweise einen Server, initiiert werden.The RFID / NFC application unit queries the server for a data record and thereby starts the actual identification process ( : a). Previously, the identification process can also be initiated by another system, for example a server.

Der Server generiert daraufhin einen zufälligen Datensatz (A) und schickt diesen an die RFID-/NFC-Anwendungseinheit ( : b).The server then generates a random record (A) and sends it to the RFID / NFC application unit ( : b).

Gemäß Patentanspruch 5 kann der Datensatz (A) ebenso nicht-zufällig erzeugt werden oder aus einer Quelle abgerufen werden.According to claim 5, the record (A) may also be generated non-randomly or retrieved from a source.

Die RFID-/NFC-Anwendungseinheit empfängt diesen Datensatz und leitet ihn unverändert an das RFID-/NFC-Gerät weiter ( : c).The RFID / NFC application unit receives this data record and forwards it unchanged to the RFID / NFC device ( : c).

Das RFID-/NFC-Gerät verarbeitet diesen Datensatz indem es ihn mit einem privaten Schlüssel (KS), gemäß einem symmetrischen Verschlüsselungsverfahren, verschlüsselt ( : d). Hierbei können verschiedene Verschlüsselungsverfahren, wie beispielsweise AES, eingesetzt werden. Entsprechende Verfahren sind bekannt. Der Schlüssel (KS) ist in dem RFID-/NFC-Gerät gespeichert.The RFID / NFC device processes this record by encrypting it with a private key (KS) according to a symmetric encryption method ( : d). In this case, various encryption methods, such as AES, can be used. Corresponding methods are known. The key (KS) is stored in the RFID / NFC device.

Der entstehende Datensatz (B) wird im Folgenden erweitert. In einem ersten Schritt wird eine fest im RFID-/NFC-Gerät gespeicherte Identifikationskennung (ID) angehängt ( : e) Gemäß Patentanspruch 2 kann es sich bei der ID auch um den privaten Schlüssel (KS) handeln.The resulting data record (B) is expanded in the following. In a first step, an identification identifier (ID) permanently stored in the RFID / NFC device is attached ( : e) According to claim 2, the ID may also be the private key (KS).

Folgend wird der Datensatz um eine Zufallszahl (R) erweitert ( : f). Die Zufallszahl wird dynamisch von dem RFID-/NFC-Gerät erzeugt oder ist bereits in ihm gespeichert. Verfahren zur Erzeugung entsprechender Zufallszahlen sind bekannt.Subsequently, the record is extended by a random number (R) ( : f). The random number is generated dynamically by the RFID / NFC device or is already stored in it. Methods for generating corresponding random numbers are known.

Gemäß Patentanspruch 3 kann die Erweiterung des Datensatzes ebenso zuerst um die Zufallszahl und dann um die Identifikationskennung geschehen.According to claim 3, the extension of the record can also be done first by the random number and then by the identification code.

Gemäß Patentanspruch 6 kann die Erweiterung um eine Zufallszahl ebenso nicht erfolgen. Es kann die Erweiterung um einen nicht-zufälligen oder keinen Datensatz erfolgen.According to claim 6, the extension by a random number also can not be done. The extension can be done by a non-random or no record.

Gemäß Patentanspruch 4 kann der Datensatz (A) ebenso anfänglich durch das RFID-/NFC-Gerät dynamisch erzeugt werden, oder auf ihm gespeichert sein. Die Anfrage beim Server, die Erzeugung durch den Server und die Weiterleitung an das RFID-/NFC-Gerät entfallen entsprechend. Der Datensatz (A) wird bei dieser Verfahrensvariante zusätzlich an den erweiterten Datensatz (B) angehängt.According to claim 4, the record (A) may also be initially generated dynamically by, or stored on, the RFID / NFC device. The request to the server, the generation by the server and the forwarding to the RFID / NFC device are eliminated accordingly. The data record (A) is additionally appended to the extended data record (B) in this method variant.

Darauf folgend wird der erweiterte Datensatz gemäß einem asymmetrischen Verschlüsselungsverfahren verschlüsselt ( : g). Hierbei können verschiedene Verschlüsselungsverfahren wie beispielsweise RSA eingesetzt werden. Entsprechende Verfahren sind bekannt. Der öffentliche Schlüssel (KPU) zum verschlüsseln des Datensatzes ist in dem RFID-/NFC-Gerät gespeichert. Durch die Verschlüsselung des erweiterten Datensatzes (B) entsteht Datensatz (C).Subsequently, the extended data set is encrypted according to an asymmetric encryption method ( : g). Various encryption methods such as RSA can be used here. Corresponding methods are known. The public key (KPU) for encrypting the record is stored in the RFID / NFC device. Encryption of the extended data record (B) produces data record (C).

Folgend schickt das RFID-/NFC-Gerät den Datensatz (C) an die RFID-/NFC-Anwendungseinheit ( : h).Subsequently, the RFID / NFC device sends the data record (C) to the RFID / NFC application unit ( : H).

Die RFID-/NFC-Anwendungseinheit leitet den empfangenen Datensatz (C) unverändert an den Server weiter ( : l).The RFID / NFC application unit forwards the received data record (C) unchanged to the server ( : l).

Folgend entschlüsselt der Server den verschlüsselten Datensatz (C), sodass er den erweiterten Datensatz (B) in Klartext erhält ( : j). Dazu wendet er das entsprechende asymmetrische Verschlüsselungsverfahren, das zur Verschlüsselung von der RFID-/NFC-Anwendungseinheit verwendet wurde, zur Entschlüsselung an. Den dafür notwendigen privaten Schlüssel (KPR), der zu dem öffentlichen Schlüssel (KPU) passt und der nur dem Server bekannt ist, ist auf dem Server gespeichert.Subsequently, the server decrypts the encrypted record (C) so that it receives the extended record (B) in plain text ( : j). For this purpose, he uses the appropriate asymmetric encryption method, which was used for encryption by the RFID / NFC application unit, for decryption. The necessary private key (KPR) that matches the public key (KPU) and that is known only to the server is stored on the server.

Anschließend verarbeitet der Server den erweiterten Datensatz in mehreren Schritten. Die Zufallszahlen sind für die Weiterverarbeitung irrelevant. Ihre Funktion ist lediglich die Pseudonymisierung des Datensatzes (C). Dieser ist durch die Zufallszahlen bei jedem Aufruf der RFID-/NFC-Anwendungseinheit unterschiedlich, auch wenn der Datensatz (A) gleich ist. Auf diese Weise werden „Tracking-Angriffe” verhindert.The server then processes the extended record in several steps. The random numbers are irrelevant for further processing. Their function is merely the pseudonymization of the record (C). This is different due to the random numbers with each call of the RFID / NFC application unit, even if the record (A) is the same. This prevents "tracking attacks".

Der Server extrahiert die Identifikationskennung (ID) aus dem Datensatz ( : k) und sucht aus einer ihm zugänglichen Quelle, beispielsweise einer Datenbank, den zu der Identifikationskennung (ID) passenden privaten Schlüssel (KS) ( : l).The server extracts the identification tag (ID) from the record ( : k) and searches from an accessible source, for example a database, the private key (KS) matching the identifier (ID) ( : l).

Darauf folgend verschlüsselt der Server den Datensatz (A), gemäß dem ebenfalls vom RFID-/NFC-Gerät angewendeten synchronen Verschlüsselungsverfahren, unter Verwendung des herausgesuchten Schlüssels (KS). Gemäß Patentanspruch 4 ist eine Extraktion des Datensatzes (A) erforderlich, sofern gemäß dieser Ausführungsart der Datensatz (A) durch das RFID-/NFC-Gerät und nicht durch den Server erzeugt wurde. Es entsteht der Datensatz (D) ( : m).Subsequently, the server encrypts the record (A) according to the synchronous encryption method also used by the RFID / NFC device, using the retrieved key (KS). According to claim 4, an extraction of the record (A) is required, if, according to this embodiment, the record (A) was generated by the RFID / NFC device and not by the server. The data record (D) is created ( : m).

Folgend vergleicht der Server den von ihm erzeugten Datensatz (D) mit dem erhaltenen Datensatz (B) ( : n).Subsequently, the server compares the record (D) generated by it with the received record (B) ( : n).

Stimmen die Datensätze überein, so hat der Server das RFID-/NFC-Gerät identifiziert und die Identität validiert. Stimmen die Datensätze nicht überein wird die Identifikation als gescheitert betrachtet.If the records match, the server has identified the RFID / NFC device and validated the identity. If the records do not match, the identification is considered failed.

Gemäß Patentanspruch 7 können sämtliche serverseitigen Verfahrensschritte durch den Server auf weitere Server ausgelagert werden. Es kann somit anstelle der Identifikation durch einen zentralen Server ein Server-Netzwerk oder ein Cluster eingesetzt werden.According to claim 7, all server-side process steps can be outsourced by the server to other servers. It can thus be used instead of identification by a central server, a server network or a cluster.

Bei dem erfindungsgemäßen Verfahren in seiner Ausführungsart gemäß Patentanspruch 8 findet die Verifikation der Identität des RFID-/NFC-Gerätes nicht durch den Vergleich von den jeweils durch den Server und durch das RFID-/NFC-Gerät mithilfe des privaten Schlüssels (KS) erzeugten Datensätzen (B) und (D) statt. Anstelle des symmetrischen Verschlüsselungsverfahrens kommt ein asymmetrisches Verschlüsselungsverfahren zur Anwendung. Die Verifikation findet statt, indem der Server eine Signierung des Datensatzes (A) durch das RFID-/NFC-Gerät überprüft. Die übrigen Verfahrensschritte gleichen denen der Ausführungsarten gemäß der Patentansprüche 1–7. Zur Signierung wendet das RFID-/NFC-Gerät ein asymmetrisches Verschlüsselungsverfahren an. Hierbei können verschiedene Verschlüsselungsverfahren, wie beispielsweise RSA, eingesetzt werden. Entsprechende Verfahren sind bekannt. Der private Schlüssel (KPR2) zum signieren des Datensatzes (A) ist analog zu dem privaten Schlüssel (KS) in dem RFID-/NFC-Gerät gespeichert. Durch Anwendung des privaten Schlüssels (KPR2) zur Signierung des Datensatzes (A) entsteht analog zu den anderen Ausführungsarten ein Datensatz (B) ( : d). Der Server sucht nach Extraktion der Identifikationskennung (ID) aus dem erhaltenen Datensatz (C) aus einer ihm zugänglichen Quelle, beispielsweise einer Datenbank, den zu der Identifikationskennung (ID) passenden öffentlichen Schlüssel (KPU2) ( : l). Dies geschieht analog zu der Suche nach dem Schlüssel (KS) bei den anderen Ausführungsarten. Folgend kann der Server durch Anwendung des zum Signieren eingesetzten Verschlüsselungsverfahrens mithilfe der Datensätze (B) und (A), sowie des herausgesuchten Schlüssels (KPU2), die Signatur überprüfen. Durch Überprüfung der Signatur kann der Server das RFID-/NFC-Gerät identifizieren und die Identität validieren. lässt sich die Signatur nicht validieren wird die Identifikation als gescheitert betrachtet.In the method according to the invention in its embodiment according to claim 8, the verification of the identity of the RFID / NFC device does not take place by the comparison of the records respectively generated by the server and by the RFID / NFC device using the private key (KS) (B) and (D) take place. Instead of the symmetric encryption method, an asymmetric encryption method is used. The verification takes place by the server checking a signing of the data record (A) by the RFID / NFC device. The other method steps are similar to those of the embodiments according to claims 1-7. For signing, the RFID / NFC device uses an asymmetric encryption method. Here, various encryption methods, such as RSA, can be used. Corresponding methods are known. The private key (KPR2) for signing the record (A) is stored analogously to the private key (KS) in the RFID / NFC device. By using the private key (KPR2) to sign the record (A), a record (B) (analogously to the other embodiments) is created (FIG. : d). The server searches for extraction of the identification code (ID) from the received data record (C) from a source accessible to it, for example a database, the public key (KPU2) matching the identification code (ID) ( : l). This is analogous to the search for the key (KS) in the other embodiments. Subsequently, the server can verify the signature by using the encryption method used for signing using the records (B) and (A) and the key (KPU2) retrieved. By verifying the signature, the server can identify the RFID / NFC device and validate the identity. If the signature can not be validated, the identification is considered as failed.

Vorteile des erfindungsgemäßen VerfahrensAdvantages of the method according to the invention

Die Identifikation des RFID-/NFC-Gerätes durch den Server kann als Ausgangspunkt für verschiedene Anwendungen genutzt werden. Beispielsweise könnte der Server die Identität des RFID-/NFC-Gerätes, nach über das Netzwerk und durch entsprechende Technologien erfolgten Authentifizierung der RFID-/NFC-Anwendungseinheit, der RFID-/NFC-Anwendungseinheit offenbaren. Im beispielhaften Fall eines elektronisches Ausweises könnte die RFID-/NFC-Anwendungseinheit so die Ausweisnummer erhalten.The identification of the RFID / NFC device by the server can be used as a starting point for various applications. For example, the server could reveal the identity of the RFID / NFC device, after authentication of the RFID / NFC application unit, the RFID / NFC application unit via the network and by appropriate technologies. In the exemplary case of an electronic badge, the RFID / NFC application unit could thus obtain the badge number.

Vorteil des erfindungsgemäßen Verfahrens in einer Ausführungsart gemäß einem der Patentansprüche 1, 2, 3, 4, 5, 7 oder 8 ist, dass unbefugte RFID-/NFC-Anwendungseinheiten keinerlei Zugriff auf Daten erhalten oder eine Identifikation der RFID-/NFC-Geräte vornehmen können. Dadurch werden sogenannte „Eavesdropping-Angriffe” und „Tracking-Angriffe” verhindert. Bei der Ausführungsart gemäß Patentanspruch 6 kann eine Identifikation des RFID-/NFC-Gerätes direkt durch die RFID-/NFC-Anwendungseinheit erfolgen, wenn gezielt mehrmalig derselbe Datensatz (A) an das RFID-/NFC-Gerät gesendet wird.Advantage of the method according to the invention in one embodiment according to one of the claims 1, 2, 3, 4, 5, 7 or 8 is that unauthorized RFID / NFC application units receive no access to data or make an identification of the RFID / NFC devices can. This prevents so-called "eavesdropping attacks" and "tracking attacks". In the embodiment according to claim 6, an identification of the RFID / NFC device can be carried out directly by the RFID / NFC application unit, if the same set of data (A) is sent repeatedly to the RFID / NFC device.

Das erfindungsgemäße Verfahren sieht eine exklusive Identifikation durch den Server vor. Erst im Anschluss kann die Identität durch den Server gegenüber Anwendungseinheiten offenbart werden. Da hierfür das RFID-/NFC-Gerät nicht gebraucht wird, können signifikant sicherere Authentifizierung-Verfahren genutzt werden. Entsprechende Verfahren sind bekannt.The inventive method provides for exclusive identification by the server. Only then can the identity be revealed by the server to application units. Since the RFID / NFC device is not needed for this, significantly safer authentication methods can be used. Corresponding methods are known.

Durch das erfindungsgemäße Verfahren in einer Ausführungsart gemäß einem der Patentansprüche 1–8 ist sichergestellt, dass ein Vortäuschen einer falschen Identität durch ein RFID-/NFC-Gerät auf Basis von Datenmanipulation verhindert werden kann.The method according to the invention in one embodiment according to one of the claims 1-8 ensures that it is possible to prevent a false identity from being spoofed by an RFID / NFC device based on data manipulation.

Durch das erfindungsgemäße Verfahren in einer Ausführungsart gemäß einem der Patentansprüche 1, 2, 3, 5, 6, 7 oder 8 ist sichergestellt, dass ein Vortäuschen einer falschen Identität durch ein RFID-/NFC-Gerät auf Basis zeitlicher Verzögerung verhindert werden kann. Bei der Ausführungsart gemäß Patentanspruch 4 können von dem RFID-/NFC-Geräte mehrmals gezielt Datensätze (C) angefragt werden. Werden diese Datensätze gespeichert und zu einem späteren Zeitpunkt gegenüber einer RFID-/NFC-Anwendungseinheit präsentiert („Replay”) kann dadurch die Identität des ursprünglich angefragten RFID-/NFC-Gerätes vorgetäuscht werden.The method according to the invention in one embodiment according to one of the claims 1, 2, 3, 5, 6, 7 or 8 ensures that a false identity is simulated by an RFID / NFC device based on a time delay can be prevented. In the embodiment according to claim 4, data sets (C) can be requested several times selectively from the RFID / NFC devices. If these data records are stored and presented to a RFID / NFC application unit at a later time ("replay"), this can simulate the identity of the RFID / NFC device originally requested.

Durch den Einsatz entsprechender Verfahren zur Authentifizierung der Anwendungseinheiten, bei denen durch Einsatz des erfindungsgemäßen Verfahrens nicht mehr auf das RFID-/NFC-Gerät zugegriffen werden muss, ist es möglich, ein Anwendungsumfeld zu schaffen, in dem dynamisch RFID-/NFC-Geräte und RFID-/NFC-Anwendungseinheiten zugefügt und entfernt werden können. In jedem Fall bleiben dabei die zuvor erläuterten Sicherheitsmerkmale erhalten.By using appropriate methods for authenticating the application units in which no longer needs to be accessed by using the method according to the invention on the RFID / NFC device, it is possible to create an application environment in the dynamic RFID / NFC devices and RFID / NFC application units can be added and removed. In any case, the previously explained security features are retained.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • CN 000101707772 A [0008] CN 000101707772 A [0008]

Zitierte Nicht-PatentliteraturCited non-patent literature

  • BUNDESAMT FÜR SICHERHEIT IN DER INFORMATIONSTECHNIK: Risiken und Chancen des Einsatzes von RFID-Systemen, Ingelheim: SecuMedia, 2004, S. 41–64 [0005] FEDERAL OFFICE FOR SECURITY IN INFORMATION TECHNOLOGY: Risks and Opportunities of the Use of RFID Systems, Ingelheim: SecuMedia, 2004, p. 41-64 [0005]

Claims (8)

Verfahren zur Identifikation von RFID-/NFC-Geräten, dadurch gekennzeichnet, dass a) Eine RFID-/NFC-Anwendungseinheit einen Datensatz bei einem Server anfragt. b) Der Server einen zufälligen Datensatz (A) erzeugt und an die RFID-/NFC-Anwendungseinheit übermittelt. c) Danach die RFID-/NFC-Anwendungseinheit den Datensatz (A) an ein RFID-/NFC-Gerät weiterleitet. d) Danach das RFID-/NFC-Gerät den Datensatz (A) mit einem privaten Schlüssel (KS), gemäß einem symmetrischen Verschlüsselungsverfahren verschlüsselt und daraus einen neuen Datensatz (B) erzeugt. e) Danach das RFID-/NFC-Gerät den erzeugten Datensatz (B) um eine im RFID-/NFC-Gerät gespeicherte Identifikationskennung (ID) erweitert. f) Danach das RFID-/NFC-Gerät den erzeugten Datensatz (B) um eine Zufallszahl (R) erweitert. g) Danach das RFID-/NFC-Gerät den erweiterten Datensatz mit einem öffentlichen Schlüssel des Servers (KPU), gemäß einem asymmetrischen Verschlüsselungsverfahren, verschlüsselt. h) Danach das RFID-/NFC-Gerät den verschlüsselten Datensatz (C) an die RFID-/NFC-Anwendungseinheit schickt. i) Danach die RFID-/NFC-Anwendungseinheit den verschlüsselten Datensatz (C) an den Server schickt. j) Danach der Server den verschlüsselten Datensatz (C) mit dem zum öffentlichen Schlüssel (KPU) passenden privaten Schlüssel (KPR), gemäß einem asymmetrischen Verschlüsselungsverfahren, entschlüsselt. k) Danach der Server die Identifikationskennung (ID) aus dem Datensatz extrahiert. l) Danach der Server gemäß der Identifikationskennung (ID) den entsprechenden privaten Schlüssel (KS) des RFID-/NFC-Gerätes aus ihm zugänglichen Quellen heraussucht. m) Danach der Server den Datensatz (A) mit dem herausgesuchten privaten Schlüssel des RFID-/NFC-Gerätes (KS), gemäß einem symmetrischen Verschlüsselungsverfahren verschlüsselt und daraus einen eigenen Datensatz (D) erzeugt. n) Danach der Server den von ihm erzeugten eigenen Datensatz (D) mit dem durch das RFID-/NFC-Gerät erzeugten und verschlüsselt über die RFID-/NFC-Anwendungseinheit übertragenen Datensatz (B) vergleicht. o) Danach der Server die Identität gemäß übermittelter Identifikationskennung anhand des Vergleiches der Datensätze verifiziert oder nicht verifiziert.Method for identifying RFID / NFC devices, characterized in that a) An RFID / NFC application unit requests a data record from a server. b) The server generates a random record (A) and transmits it to the RFID / NFC application unit. c) Thereafter, the RFID / NFC application unit forwards the record (A) to an RFID / NFC device. d) Thereafter, the RFID / NFC device the record (A) with a private key (KS), encrypted according to a symmetric encryption method and generates a new record (B). e) After that, the RFID / NFC device expands the generated data record (B) by an identification code (ID) stored in the RFID / NFC device. f) Then the RFID / NFC device extends the generated data set (B) by a random number (R). g) Thereafter, the RFID / NFC device encrypts the extended data set with a public key of the server (KPU) according to an asymmetric encryption method. h) Thereafter, the RFID / NFC device sends the encrypted data record (C) to the RFID / NFC application unit. i) Thereafter, the RFID / NFC application unit sends the encrypted data record (C) to the server. j) Then the server decrypts the encrypted record (C) with the public key (KPU) matching private key (KPR) according to an asymmetric encryption method. k) Thereafter, the server extracts the identification tag (ID) from the record. l) Thereafter, the server according to the identification identifier (ID), the corresponding private key (KS) of the RFID / NFC device from sources accessible to him searches. m) Then the server encrypts the record (A) with the selected private key of the RFID / NFC device (KS), according to a symmetric encryption method and generates a separate data record (D). n) Thereafter, the server compares the generated by him own record (D) with the generated by the RFID / NFC device and encrypted transmitted via the RFID / NFC application unit record (B). o) Thereafter, the server verifies the identity according to the transmitted identification identifier based on the comparison of the records or not verified. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der private Schlüssel auf dem RFID-/NFC-Gerät und die Identifikationskennung (ID) gleich sind oder es sich um den gleichen Datensatz handelt.A method according to claim 1, characterized in that the private key on the RFID / NFC device and the identification identifier (ID) are the same or it is the same record. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Verfahrensschritte e) und f) vertauscht sind.A method according to claim 1 or 2, characterized in that the method steps e) and f) are reversed. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Erzeugung des Datensatzes (A) anstelle der Verfahrensschritte a), b), c) durch das RFID-/NFC-Gerät erfolgt.Method according to one of the preceding claims, characterized in that the generation of the data set (A) takes place in place of the method steps a), b), c) by the RFID / NFC device. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Datensatz (A) nicht zufällig erzeugt wird oder als bereits erzeugter Datensatz abgerufen wird.Method according to one of the preceding claims, characterized in that the data record (A) is not generated randomly or is retrieved as an already generated data record. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Datensatz (B) um anstelle der Zufallszahl (R), eine nicht zufällige Zahl oder keine Zahl erweitert wid.Method according to one of the preceding claims, characterized in that the data set (B) is extended instead of the random number (R), a non-random number or no number. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Server zur Verarbeitung von Daten sowie dem Abruf von Daten auf andere Server zugreift.Method according to one of the preceding claims, characterized in that the server accesses for processing data and the retrieval of data to other servers. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Schritte d) sowie l)–o) abweichend wie folgt ablaufen: d) Danach das RFID-/NFC-Gerät den Datensatz (A) mit einem privaten Schlüssel (KPR2), gemäß einem asymmetrischen Verschlüsselungsverfahren signiert und somit als signierten Datensatz den Datensatz (B) erzeugt. l) Danach der Server gemäß der Identifikationskennung (ID) den entsprechenden öffentlichen Schlüssel (KPU2) des RFID-/NFC-Gerätes aus ihm zugänglichen Quellen heraussucht. m) Danach der Server anhand des öffentlichen Schlüssels (KPU2), des Datensatzes (B), sowie des Datensatzes (A) überprüft, ob der Datensatz (A) mit dem zum öffentlichen Schlüssel (KPU2) passenden privaten Schlüssel (KPR2) signiert wurde. n) -entfällt- o) Danach der Server die Identität gemäß übermittelter Identifikationskennung anhand der vorhergegangenen Überprüfung der Signatur verifiziert oder nicht verifiziert.Method according to one of the preceding claims, characterized in that the steps d) and l) -o) proceed differently as follows: d) Thereafter, the RFID / NFC device, the record (A) with a private key (KPR2), signed according to an asymmetric encryption method and thus as a signed record the record (B). l) Thereafter, the server according to the identification identifier (ID), the corresponding public key (KPU2) of the RFID / NFC device from sources accessible to him searches. m) Then the server using the public key (KPU2), the record (B), as well as the record (A) checks whether the record (A) with the public key (KPU2) matching private key (KPR2) was signed. n) -declared- o) Thereafter, the server verified or unverified the identity according to the transmitted identifier identification based on the previous verification of the signature.
DE201010046973 2010-09-29 2010-09-29 Method for identification of radio frequency identification (RFID)/near field communication (NFC) device, involves comparing data sets generated in RFID/NFC application unit and RFID/NFC device Withdrawn DE102010046973A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201010046973 DE102010046973A1 (en) 2010-09-29 2010-09-29 Method for identification of radio frequency identification (RFID)/near field communication (NFC) device, involves comparing data sets generated in RFID/NFC application unit and RFID/NFC device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201010046973 DE102010046973A1 (en) 2010-09-29 2010-09-29 Method for identification of radio frequency identification (RFID)/near field communication (NFC) device, involves comparing data sets generated in RFID/NFC application unit and RFID/NFC device

Publications (1)

Publication Number Publication Date
DE102010046973A1 true DE102010046973A1 (en) 2012-03-29

Family

ID=45804745

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201010046973 Withdrawn DE102010046973A1 (en) 2010-09-29 2010-09-29 Method for identification of radio frequency identification (RFID)/near field communication (NFC) device, involves comparing data sets generated in RFID/NFC application unit and RFID/NFC device

Country Status (1)

Country Link
DE (1) DE102010046973A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016107435A1 (en) * 2016-04-21 2017-10-26 Süleyman Sirma Time recording system with a mobile terminal
CN111711945A (en) * 2020-06-16 2020-09-25 易兆微电子(杭州)股份有限公司 System and method for executing secure communication based on NFC protocol

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101707772A (en) 2009-11-10 2010-05-12 宇龙计算机通信科技(深圳)有限公司 Identification method based on NFC and system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101707772A (en) 2009-11-10 2010-05-12 宇龙计算机通信科技(深圳)有限公司 Identification method based on NFC and system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
BUNDESAMT FÜR SICHERHEIT IN DER INFORMATIONSTECHNIK: Risiken und Chancen des Einsatzes von RFID-Systemen, Ingelheim: SecuMedia, 2004, S. 41-64

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016107435A1 (en) * 2016-04-21 2017-10-26 Süleyman Sirma Time recording system with a mobile terminal
CN111711945A (en) * 2020-06-16 2020-09-25 易兆微电子(杭州)股份有限公司 System and method for executing secure communication based on NFC protocol
CN111711945B (en) * 2020-06-16 2023-09-22 易兆微电子(杭州)股份有限公司 System and method for executing secure communication based on NFC protocol

Similar Documents

Publication Publication Date Title
DE102011120968B4 (en) Create secure keys on demand
DE112018003825T5 (en) BLOCKCHAIN AUTHORIZATION CHECK BY HARD / SOFT TOKEN CHECK
DE102012110499B4 (en) Safety access procedure for electronic automotive control units
EP2765752B1 (en) Method for equipping a mobile terminal with an authentication certificate
EP2689553B1 (en) Motor vehicle control unit having a cryptographic device
DE112011100182T5 (en) Transaction check for data security devices
DE102016220656A1 (en) Provision and verification of the validity of a virtual document
DE112015002508T5 (en) Key exchange system, key exchange method, key exchange apparatus, control method therefor, and recording medium for storing control program
DE102018101479A1 (en) CONTROL INTERFACE FOR AN AUTONOMOUS VEHICLE
WO2015180867A1 (en) Production of a cryptographic key
CN110865793B (en) Method for generating random number based on blockchain intelligent contract
CN103858377A (en) Method for managing and checking data from different identity domains organized into a structured set
CN114090994A (en) Face recognition authentication method and system based on block chain
EP3767513B1 (en) Method for secure execution of a remote signature, and security system
DE102010046973A1 (en) Method for identification of radio frequency identification (RFID)/near field communication (NFC) device, involves comparing data sets generated in RFID/NFC application unit and RFID/NFC device
DE102011117931A1 (en) Method and system for identifying an RFID tag by a reader
EP3485603A1 (en) Token-based authentication with signed message
DE112020000268T5 (en) SECURE LOGGING OF EVENTS FROM DATA STORAGE DEVICES
WO2007099026A1 (en) Method and device for the authentication of a public key
DE102022000857B3 (en) Procedure for the secure identification of a person by a verification authority
DE102004059265A1 (en) Securing digital data on data medium involves encrypting data using externally inaccessible secret value, writing data to non-volatile memory in mobile device, decoding encrypted data and feeding it to computer for further use
DE102018004306A1 (en) Method for encrypting information transmission between a vehicle and a data server
CH708466A2 (en) Apparatus and method for detecting a customized reference services of a service system.
DE102014212219A1 (en) Method for authentication and connection of a device to a network and network participants established for this purpose
DE202021003324U1 (en) Personal biometric authenticator

Legal Events

Date Code Title Description
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20130403