DE102013001733A1 - Method for accessing a service of a server via an application of a terminal - Google Patents

Method for accessing a service of a server via an application of a terminal Download PDF

Info

Publication number
DE102013001733A1
DE102013001733A1 DE102013001733.5A DE102013001733A DE102013001733A1 DE 102013001733 A1 DE102013001733 A1 DE 102013001733A1 DE 102013001733 A DE102013001733 A DE 102013001733A DE 102013001733 A1 DE102013001733 A1 DE 102013001733A1
Authority
DE
Germany
Prior art keywords
service
application
security element
terminal
authentication token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102013001733.5A
Other languages
German (de)
Inventor
Alexander Summerer
Denny Brandl
Bernhard Inderst
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE102013001733.5A priority Critical patent/DE102013001733A1/en
Priority to PCT/EP2014/000246 priority patent/WO2014117939A1/en
Priority to EP14701919.4A priority patent/EP2952029A1/en
Publication of DE102013001733A1 publication Critical patent/DE102013001733A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Zugriff auf einen Dienst (SR) eines Servers (SV) über eine Applikation (AP) eines Endgeräts (MD), wobei dem Endgerät (MD) ein Sicherheitselement (SE) zugeordnet ist, mit dem das Endgerät (MD) kommunizieren kann, und das Sicherheitselement (SE) eine Teilnehmeridentifikation (MSI) eines Mobilfunkteilnehmers in einem Mobilfunknetz enthält. Die Applikation (AP) des Endgeräts (MD) übermittelt über einen ersten Kanal eines IP-basierten Netzes basierend auf einer IP-basierten Übertragung eine Identifikation (SID, TN) an den Dienst (SR) des Servers (SV). Im Falle, dass der Dienst (SR) die Identifikation (SID, TN) erfolgreich verifizieren kann, wird ein Authentisierungstoken (AT) von dem Dienst (SR) über einen zweiten Kanal des Mobilfunknetzes basierend auf einer sich vom ersten Kanal unterscheidenden Übertragung verschlüsselt an das Sicherheitselement (SE) übermittelt. Anschließend wird der Applikation (AP) automatisch der an das Sicherheitselement (SE) übermittelte Authentisierungstoken (AT) bereitgestellt. Schließlich greift die Applikation (AP) auf den Dienst (SR) mittels einer verschlüsselten Kommunikation über den ersten Kanal zu, wobei die Applikation (AP) Anfragen (RE, RE'), welche im Rahmen der verschlüsselten Kommunikation von der Applikation (AP) an den Dienst (SR) übermittelt werden, automatisch mit dem bereitgestellten Authentisierungstoken (AT) versieht, wobei Anfragen (RE, RE') durch den Dienst (SR) nur bei erfolgreicher Verifikation des Authentisierungstokens (AT) weiterverarbeitet werden.The invention relates to a method for accessing a service (SR) of a server (SV) via an application (AP) of a terminal (MD), wherein the terminal (MD) is assigned a security element (SE) with which the terminal (MD ), and the security element (SE) contains a subscriber identification (MSI) of a mobile radio subscriber in a mobile radio network. The application (AP) of the terminal (MD) transmits an identification (SID, TN) to the service (SR) of the server (SV) via a first channel of an IP-based network based on an IP-based transmission. In the event that the service (SR) can successfully verify the identification (SID, TN), an authentication token (AT) is encrypted by the service (SR) over a second channel of the mobile network based on a transmission different from the first channel Security element (SE) transmitted. Subsequently, the application (AP) is automatically provided the authentication token (AT) transmitted to the security element (SE). Finally, the application (AP) accesses the service (SR) by means of an encrypted communication via the first channel, the application (AP) queries (RE, RE '), which in the context of the encrypted communication from the application (AP) the service (SR) is automatically provided with the provided authentication token (AT), whereby requests (RE, RE ') are further processed by the service (SR) only upon successful verification of the authentication token (AT).

Description

Die Erfindung betrifft ein Verfahren zum Zugriff auf einen Dienst eines Servers über eine Applikation eines Endgeräts. Ferner betrifft die Erfindung ein entsprechendes System zum Zugriff auf einen Dienst.The invention relates to a method for accessing a service of a server via an application of a terminal. Furthermore, the invention relates to a corresponding system for accessing a service.

Aus dem Stand der Technik sind Authentisierungs-Verfahren für Zugriffe auf Server bekannt, welche auf Authentisierungstoken beruhen. Eine Applikation, welche sich im Besitz eines solchen Authentisierungstokens befindet, kann sich über diesen Token Zugriff zu einem Dienst bzw. einer Ressource verschaffen. Bekannte Token-basierte Authentisierungs-Verfahren sind die Protokolle OAuth 1.0 bzw. OAuth 2.0.Authentication methods for access to servers based on authentication tokens are known from the prior art. An application in possession of such an authentication token can gain access to a service or a resource via this token. Well-known token-based authentication methods are the OAuth 1.0 and OAuth 2.0 protocols.

In den Authentisierungs-Protokollen OAuth 1.0 bzw. OAuth 2.0 wird der Austausch der Authentisierungstoken rein über IP-basierte Übertragungstechnologie zwischen Applikation und Dienst ausgetauscht. Um dabei eine ausreichende Sicherheit gegenüber Zugriffen unautorisierter Applikationen zu gewährleisten, wird in der Regel eine Benutzerauthentisierung durchgeführt, welche jedoch Benutzerinteraktionen, z. B. die Eingabe von Benutzernamen und Passwort, erfordern.In the authentication protocols OAuth 1.0 and OAuth 2.0, the exchange of authentication tokens is exchanged purely via IP-based transmission technology between application and service. In order to ensure sufficient security against accesses of unauthorized applications, usually a user authentication is performed, which, however, user interactions, eg. As the input of user name and password require.

Aufgabe der Erfindung ist es, ein Verfahren zum Zugriff auf einen Dienst eines Servers über eine Applikation zu schaffen, welches gegenüber Angriffen unbefugter Dritter gut geschützt ist und dabei wenige bzw. gegebenenfalls keine Benutzerinteraktionen zur Authentisierung erfordert.The object of the invention is to provide a method for accessing a service of a server via an application, which is well protected against attacks by unauthorized third parties and requires few or possibly no user interaction for authentication.

Diese Aufgabe wird durch das Verfahren gemäß Patentanspruch 1 bzw. das System gemäß Patentanspruch 12 gelöst. Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen definiert.This object is achieved by the method according to claim 1 and the system according to claim 12. Further developments of the invention are defined in the dependent claims.

Das erfindungsgemäße Verfahren dient zum Zugriff auf einen Dienst eines Servers über eine Applikation eines Endgeräts, wobei dem Endgerät ein Sicherheitselement zugeordnet ist, mit dem das Endgerät kommunizieren kann. Das Sicherheitselement enthält dabei eine Teilnehmeridentifikation eines Mobilfunkteilnehmers in einem Mobilfunknetz. Das Endgerät hat Zugriff auf eine Mobilfunk-Schnittstelle und kann je nach Ausgestaltung ein tragbares Mobilfunkgerät, wie z. B. ein Mobiltelefon, Smart-Phone, Tablet-PC oder ein tragbarer Computer, sein. Ebenfalls kann das Endgerät auch ein stationäres Gerät, wie z. B. ein Desktop-Computer, sein.The inventive method is used to access a service of a server via an application of a terminal, wherein the terminal is associated with a security element with which the terminal can communicate. The security element contains a subscriber identification of a mobile subscriber in a mobile network. The terminal has access to a mobile interface and, depending on the configuration, a portable mobile device such. A mobile phone, smart phone, tablet PC or a portable computer. Likewise, the terminal can also be a stationary device, such. A desktop computer.

Das Sicherheitselement ist vorzugsweise ein Hardwaresicherheitselement. Das Sicherheitselement ist je nach Anwendungsfall eine UICC-Karte bzw. SIM/USIM-Karte (UICC = Universal Integrated Circuit Card, USIM = Universal Subscriber Identity Module). Diese Karten können in das entsprechende Endgerät eingesetzt werden, ebenso könnten andere tragbare Datenträger wie USB-Token, sichere Massenspeicherkarte oder RFID-Transponder als Sicherheitselement dienen. Gegebenenfalls kann das Sicherheitselement auch ein fest in dem Endgerät verbautes Element sein (Sicherheitsmodul), insbesondere in der Form einer sog. embedded UICC-Karte bzw. embedded SIM/USIM-Karte, aber auch als NFC-Modul oder TPM-Modul. Die Zuordnung des Endgeräts zu dem Sicherheitselement kann somit durch Einsetzen des Sicherheitselements in das Endgerät bzw. durch den festen Einbau des Sicherheitselements in dem Endgerät erreicht werden. Ebenso kann eine solche Zuordnung auch über eine andere Kopplung zwischen Endgerät und Sicherheitselement gewährleistet werden, z. B. indem ein Mobilfunk-Stick oder ein anderes Gerät, welches das Sicherheitselement enthält, drahtgebunden (z. B. über USB) oder drahtlos (z. B. über Bluetooth) mit dem Endgerät verbunden wird.The security element is preferably a hardware security element. Depending on the application, the security element is a UICC card or SIM / USIM card (UICC = Universal Integrated Circuit Card). These cards can be inserted into the appropriate terminal, as well as other portable media such as USB tokens, secure mass storage card or RFID transponder could serve as a security element. Optionally, the security element may also be a permanently installed in the terminal element (security module), in particular in the form of a so-called. Embedded UICC card or embedded SIM / USIM card, but also as an NFC module or TPM module. The assignment of the terminal to the security element can thus be achieved by inserting the security element into the terminal or by the fixed installation of the security element in the terminal. Likewise, such an association can also be ensured via a different coupling between the terminal and the security element, for. B. by a wireless stick or other device that contains the security element, wired (eg, via USB) or wirelessly (eg, via Bluetooth) is connected to the terminal.

Das im erfindungsgemäßen Verfahren verwendete Mobilfunknetz kann auf beliebigen Technologien beruhen, z. B. kann es sich um ein GSM-Netz (GSM = Global System for Mobile Communications) oder um ein 3G-Netz bzw. auch um ein LTE-Netz (LTE = Long Term Evolution) handeln.The mobile network used in the method according to the invention can be based on any technologies, eg. B. it may be a GSM network (GSM = Global System for Mobile Communications) or a 3G network or even an LTE network (LTE = Long Term Evolution).

In dem erfindungsgemäßen Verfahren übermittelt die Applikation des Endgeräts in einem Schritt a) über einen ersten Kanal eines IP-basierten Netzes basierend auf einer IP-basierten Übertragung (IP = Internet Protocol) eine Identifikation an den Dienst des Servers. In einer besonders bevorzugten Variante wird die Identifikation dabei verschlüsselt über den ersten Kanal übertragen, z. B. unter Verwendung des TLS-Protokolls (TLS = Transport Layer Security). In einem Schritt b) des erfindungsgemäßen Verfahrens wird im Falle, dass der Dienst die Identifikation erfolgreich verifizieren kann, ein Authentisierungstoken von dem Dienst über einen zweiten Kanal des Mobilfunknetzes basierend auf einer sich vom ersten Kanal unterscheidenden Übertragung (d. h. mittels einer anderen Art der Übertragung) verschlüsselt an das Sicherheitselement übermittelt. Der zweite Kanal beruht somit auf einer Übertragungstechnologie, welche nicht auf dem Internet-Protokoll beruht. Die Verifikation der entsprechenden Identifikation kann je nach Ausgestaltung unterschiedlich erfolgen, wobei bei nicht erfolgreicher Identifikation das Verfahren abgebrochen wird. In einer bevorzugten Variante sind eine oder mehrere vorbestimmte Identifikationen in dem Server hinterlegt, wobei im Falle, dass die über den ersten Kanal empfangene Identifikation mit einer der vorbestimmten Identifikationen übereinstimmt, die Identifikation erfolgreich verifiziert wird. Der Begriff des Authentisierungstokens ist hier und im Folgenden weit zu verstehen und kann beliebige Arten von Authentisierungsdaten basierend auf beliebigen Datenformaten umfassen.In the method according to the invention, the application of the terminal transmits an identification to the service of the server in a step a) via a first channel of an IP-based network based on an IP-based transmission (IP = Internet Protocol). In a particularly preferred variant, the identification is encrypted transmitted over the first channel, z. Using the TLS (Transport Layer Security) protocol. In a step b) of the method according to the invention, in the event that the service can successfully verify the identification, an authentication token from the service is transmitted via a second channel of the mobile network based on a transmission different from the first channel (ie by means of another type of transmission). encrypted transmitted to the security element. The second channel is thus based on a transmission technology which is not based on the Internet Protocol. The verification of the corresponding identification can be done differently depending on the configuration, in case of unsuccessful identification of the method is aborted. In a preferred variant, one or more predetermined identifications are stored in the server, wherein in case the identification received via the first channel matches one of the predetermined identifications, the identification is successfully verified. The term of the authentication token is here and in the following to understand widely and can arbitrary Types of authentication data based on any data formats include.

In einem Schritt c) wird der Applikation automatisch (d. h. ohne eine Benutzerinteraktion) der an das Sicherheitselement übermittelte Authentisierungstoken bereitgestellt. Schließlich greift die Applikation in einem Schritt d) mittels einer verschlüsselten Kommunikation über den ersten (IP-basierten) Kanal auf den Dienst zu, wobei die Applikation Anfragen, welche im Rahmen der verschlüsselten Kommunikation von der Applikation an den Dienst übermittelt werden, automatisch (d. h. ohne Benutzerinteraktion) mit dem bereitgestellten Authentisierungstoken versieht. Dabei werden Anfragen durch den Dienst nur bei erfolgreicher Verifikation des Authentisierungstokens weiterverarbeitet. Die Verifikation des Authentisierungstoken erfolgt insbesondere derart, dass der Authentisierungstoken mit dem in Schritt b) übermittelten und noch im Server gespeicherten Authentisierungstoken verglichen wird, wobei nur bei Übereinstimmung der Token die Verifikation erfolgreich ist. Die in Schritt d) verwendete verschlüsselte Kommunikation beruht vorzugsweise auf dem bereits oben erwähnten TLS-Protokoll. Im Rahmen der verschlüsselten Kommunikation wird ferner insbesondere das HTTP-Protokoll verwendet (HTTP = Hypertext Tranfer Protocol).In a step c), the application is automatically (i.e., without user interaction) provided with the authentication token transmitted to the security element. Finally, the application accesses the service in a step d) by means of an encrypted communication via the first (IP-based) channel, wherein the application requests (which are transmitted in the context of the encrypted communication from the application to the service, automatically (ie without user interaction) with the provided authentication token. In this case, requests are processed by the service only upon successful verification of the authentication token. The verification of the authentication token takes place in particular in such a way that the authentication token is compared with the authentication token transmitted in step b) and still stored in the server, whereby the verification is successful only if the tokens match. The encrypted communication used in step d) is preferably based on the already mentioned TLS protocol. In the context of encrypted communication, the HTTP protocol is also used in particular (HTTP = Hypertext Transfer Protocol).

Das erfindungsgemäße Verfahren weist den Vorteil auf, dass durch die Verwendung von zwei Kanälen zur Datenübertragung, nämlich einem ersten Kanal zum verschlüsselten Zugriff auf den Dienst und einem zweiten Kanal zur Übermittlung eines Authentisierungstoken, die Sicherheit gegenüber Angriffen Dritter erhöht wird. Dabei wird ferner die Anzahl der erforderlichen Benutzereingaben im Rahmen einer Authentisierung reduziert. Inbesondere wird der Authentisierungstoken automatisch von der Applikation verarbeitet, ohne dass Authentisierungsdaten manuell eingegeben werden müssen.The inventive method has the advantage that the security against attacks by third parties is increased by the use of two channels for data transmission, namely a first channel for encrypted access to the service and a second channel for transmitting an authentication token. In addition, the number of required user inputs is reduced as part of an authentication. In particular, the authentication token is automatically processed by the application without authentication data having to be entered manually.

In einer Ausführungsform des erfindungsgemäßen Verfahrens wird die in Schritt a) übermittelte Identifikation vorab einem Benutzer des Endgeräts mitgeteilt, wobei diese Mitteilung insbesondere über den Dienst erfolgt, auf den zugegriffen werden soll. Dabei gibt der Benutzer in Schritt a) die Identifikation an dem Endgerät über eine Benutzerschnittstelle ein, woraufhin die Applikation die eingegebene Identifikation über den ersten Kanal an den Dienst übermittelt. Die Mitteilung der Identifikation an den Benutzer kann dabei z. B. durch das Aussenden einer E-Mail bzw. einer Text-SMS erfolgen.In one embodiment of the method according to the invention, the identification transmitted in step a) is communicated in advance to a user of the terminal, whereby this message takes place in particular via the service which is to be accessed. In this case, in step a) the user enters the identification at the terminal via a user interface, whereupon the application transmits the input identification to the service via the first channel. The notification of the identification to the user can be z. B. by sending an e-mail or text SMS done.

In einer besonders bevorzugten Ausführungsform liest die Applikation in Schritt a) eine im Sicherheitselement hinterlegte Rufnummer aus, über welche der Mobilfunkteilnehmer kontaktiert werden kann, wobei die in Schritt a) übermittelte Identifikation die ausgelesene Rufnummer ist. In diesem Fall muss die entsprechende Identifikation nicht mehr manuell durch einen Benutzer eingegeben werden.In a particularly preferred embodiment, the application reads in step a) a stored in the security element phone number, via which the mobile subscriber can be contacted, wherein the transmitted in step a) identification is the read out phone number. In this case, the corresponding identification no longer has to be entered manually by a user.

In einer besonders bevorzugten Variante des erfindungsgemäßen Verfahrens wird der Authentisierungstoken in Schritt b) über eine SMS (SMS = Short Message Service) verschlüsselt an das Sicherheitselement übermittelt. Zur verschlüsselten Übermittlung der SMS können an sich bekannte Technologien, wie z. B. der Standard GSM 03.48 , eingesetzt werden. Vorzugsweise erfolgt die Übermittlung des Authentisierungstokens an das Sicherheitselement in Schritt b) unter Zwischenschaltung eines sog. OTA-Servers (OTA = Over The Air), mit dem in an sich bekannter Weise Informationen über ein Mobilfunknetz an entsprechende Sicherheitselemente und insbesondere eine SIM/USIM-Karte bzw. eine embedded SIM/USIM-Karte übertragen werden können.In a particularly preferred variant of the method according to the invention, the authentication token is transmitted encrypted in step b) via an SMS (SMS = Short Message Service) to the security element. For encrypted transmission of SMS can be known technologies, such. B. the Standard GSM 03.48 , are used. Preferably, the transmission of the authentication token to the security element in step b) with the interposition of a so-called. OTA server (OTA = Over The Air), with the information in a conventional manner via a mobile network to corresponding security elements and in particular a SIM / USIM- Card or an embedded SIM / USIM card can be transferred.

In einer weiteren Variante des erfindungsgemäßen Verfahrens erfolgt die automatische Bereitstellung des Authentisierungstokens in Schritt c) über ein Polling der Applikation nach dem Authentisierungstoken auf dem Sicherheitselement. Unter dem an sich bekannten Begriff des Pollings wird eine zyklische Abfrage verstanden, über welche die Applikation die Information erhält, dass ein entsprechender Authentisierungstoken auf dem Sicherheitselement verfügbar ist.In a further variant of the method according to the invention, the automatic provision of the authentication token in step c) takes place via a polling of the application for the authentication token on the security element. The term known per se for polling is understood as meaning a cyclical polling via which the application receives the information that a corresponding authentication token is available on the security element.

In einer weiteren Variante werden der Empfang des Authentisierungstokens im Sicherheitselement und das Bereitstellen dieses Authentisierungstokens für die Applikation mit Hilfe eines Programms und insbesondere eines Java-Applets auf dem Sicherheitselement durchgeführt. In einer weiteren bevorzugten Ausführungsform kommuniziert das Sicherheitselement bzw. das Programm über eine sog. Secure-Element-API (API = Application Programming Interface) mit der Applikation. Solche APIs sind an sich aus dem Stand der Technik bekannt (z. B. Open Mobile API oder JSR177). Diese APIs ermöglichen Zugriffsschutz-Mechanismen, so dass nur eine autorisierte Applikation den Authentisierungstoken aus dem Sicherheitselement auslesen kann.In a further variant, the reception of the authentication token in the security element and the provision of this authentication token for the application are carried out with the aid of a program and in particular a Java applet on the security element. In a further preferred embodiment, the security element or the program communicates with the application via a so-called Secure Element API (API = application programming interface). Such APIs are well known in the art (eg, Open Mobile API or JSR177). These APIs allow for access protection mechanisms so that only an authorized application can read the authentication token from the security element.

In einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens kann die Übermittlung von Anfragen in Schritt d) zumindest teilweise durch einen Benutzer über eine Benutzerschnittstelle des Endgeräts ausgelöst werden. Hierdurch kann die Ausführung der Applikation in geeigneter Weise über einen Benutzer gesteuert werden.In a further embodiment of the method according to the invention, the transmission of queries in step d) can be triggered at least partially by a user via a user interface of the terminal. As a result, the execution of the application can be controlled in a suitable manner by a user.

Der Authentisierungstoken ist vorzugsweise nur für eine definierte Zeit zur Verwendung mit einem Dienst gültig. Der Authentisierungstoken wird von dem Dienst also zur Verifikation akzeptiert, wenn er innerhalb der definierten Zeitdauer verwendet wird. Nach Ablauf der Zeitdauer wird der Authentisierungstoken von dem Dienst jedoch nicht mehr akzeptiert. Der Server kann einen übermittelten (und zur Verifikation gespeicherten) Authentisierungstoken nach Ablauf der definierten Zeit beispielsweise löschen oder als abgelaufen markieren.The authentication token is preferably valid only for a defined time for use with a service. The authentication token is thus accepted by the service for verification if it is used within the defined period of time. After expiration of the period of time, however, the authentication token is no longer accepted by the service. The server can delete a transmitted (and stored for verification) authentication token after the defined time, for example, mark or expired.

In einer bevorzugten Ausgestaltung kann der übertragene (erste) Authentisierungstoken auch als zweite Identifikation (Session-ID) für eine zweite Kommunikation mit dem Dienst oder einem anderen Dienst dienen, für welche dann – analog zum bereits beschriebenen Vorgehen – ein zweiter Authentisierungstoken übertragen wird.In a preferred embodiment, the transmitted (first) authentication token can also serve as a second identification (session ID) for a second communication with the service or another service, for which then - analogously to the procedure already described - a second authentication token is transmitted.

Das erfindungsgemäße Verfahren kann zum Zugriff auf beliebige Arten von Diensten verwendet werden. Insbesondere können im Rahmen des Zugriffs auf den Dienst in Schritt d) eine oder mehrere kryptographische Schlüssel oder ein oder mehrere Zertifikate durch den Dienst auf dem Endgerät hinterlegt bzw. erneuert werden.The method of the invention can be used to access any types of services. In particular, as part of the access to the service in step d), one or more cryptographic keys or one or more certificates can be stored or renewed by the service on the terminal.

Zudem ist eine Session-ID unabhängig von der Art des ersten Kommunikationskanals. Die Session-ID kann somit für unterschiedliche erste Kommunikationskanäle zwischen der Applikation und dem einen Dienst verwendet werden.In addition, a session ID is independent of the type of the first communication channel. The session ID can thus be used for different first communication channels between the application and the one service.

Neben dem oben beschriebenen Verfahren betrifft die Erfindung ferner ein System zum Zugriff auf einen Dienst eines Servers über eine Applikation eines Endgeräts, wobei dem Endgerät ein Sicherheitselement zugeordnet ist, mit dem das Endgerät kommunizieren kann, und das Sicherheitselement eine Teilnehmeridentifikation eines Mobilfunkteilnehmers in einem Mobilfunknetz enthält. Die Applikation, das Sicherheitselement und der Dienst sind dabei derart ausgestaltet, dass das erfindungsgemäße Verfahren bzw. ein oder mehrere bevorzugte Varianten des erfindungsgemäßen Verfahrens durchführbar sind.In addition to the method described above, the invention further relates to a system for accessing a service of a server via an application of a terminal, wherein the terminal is associated with a security element with which the terminal can communicate, and the security element contains a subscriber identification of a mobile subscriber in a mobile network , The application, the security element and the service are designed such that the method according to the invention or one or more preferred variants of the method according to the invention can be carried out.

Die Erfindung betrifft darüber hinaus einen Server mit einem darauf hinterlegten Dienst, wobei der Dienst zur Verwendung in dem erfindungsgemäßen Verfahren bzw. einer oder mehrerer bevorzugten Varianten des erfindungsgemäßen Verfahrens eingerichtet ist. Das heißt, der Dienst ist zur Durchführung der durch ihn durchgeführten Schritte gemäß Anspruch 1 bzw. entsprechender abhängiger Ansprüche eingerichtet. Mit anderen Worten ist der Dienst derart ausgestaltet, dass er einem Dienst des oben beschriebenen erfindungsgemäßen Systems entspricht.The invention further relates to a server having a service stored thereon, wherein the service is set up for use in the method according to the invention or one or more preferred variants of the method according to the invention. That is to say, the service is set up to carry out the steps carried out by it according to claim 1 or corresponding dependent claims. In other words, the service is designed to correspond to a service of the inventive system described above.

Die Erfindung umfasst ferner ein Endgerät mit darauf hinterlegter Applikation und zugeordnetem Sicherheitselement, wobei die Applikation und das Sicherheitselement zur Verwendung in dem erfindungsgemäßen Verfahren bzw. einer oder mehrerer bevorzugter Varianten des erfindungsgemäßen Verfahrens eingerichtet sind. Das heißt, die Applikation und das Sicherheitselement sind zur Durchführung der von ihnen ausgeführten Schritte gemäß Anspruch 1 bzw. entsprechender abhängiger Ansprüche eingerichtet. Mit anderen Worten entsprechen die Applikation und das Sicherheitselement der Applikation und dem Sicherheitselement in dem oben beschriebenen erfindungsgemäßen System.The invention further comprises a terminal with application deposited thereon and assigned security element, wherein the application and the security element are set up for use in the method according to the invention or one or more preferred variants of the method according to the invention. That is, the application and the security element are set up to carry out the steps performed by them according to claim 1 or corresponding dependent claims. In other words, the application and the security element correspond to the application and the security element in the system according to the invention described above.

Ausführungsbeispiele der Erfindung werden nachfolgend anhand der beigefügten Figuren detailliert beschrieben.Embodiments of the invention are described below in detail with reference to the accompanying drawings.

Es zeigen:Show it:

1 eine schematische Darstellung einer ersten Ausführungsform des erfindungsgemäßen Verfahrens, und 1 a schematic representation of a first embodiment of the method according to the invention, and

2 eine schematische Darstellung einer zweiten Ausführungsform des erfindungsgemäßen Verfahrens. 2 a schematic representation of a second embodiment of the method according to the invention.

In der Ausführungsform der 1 ist ein Verfahren zum Zugriff einer Applikation AP, bei der es sich um eine beliebige Consumer-Applikation handelt, auf einen Dienst SR eines Servers SV gezeigt. Die Applikation AP ist dabei auf einem Mobilfunkgerät MD eines Benutzers U hinterlegt. Dieses Mobilfunkgerät ermöglicht eine Kommunikation in einem Mobilfunknetz. Hierfür ist im Mobilfunkgerät ein Sicherheitselement SE in der Form einer SIM/USIM-Karte mit entsprechender IMSI-Teilnehmeridentifikation MSI eines Mobilfunkteilnehmers (IMSI = International Mobile Subscribe Identity) und zugeordneter Rufnummer vorgesehen.In the embodiment of the 1 A method for accessing an application AP, which is an arbitrary consumer application, is shown on a service SR of a server SV. The application AP is stored on a mobile device MD of a user U. This mobile device allows communication in a mobile network. For this purpose, a security element SE in the form of a SIM / USIM card with a corresponding IMSI subscriber identification MSI of a mobile radio subscriber (IMSI = International Mobile Subscribe Identity) and associated call number is provided in the mobile radio.

Die Applikation AP kann über eine geeignete Schnittstelle mittels einer IP-basierten Datenübertragung auf den Dienst SR zugreifen. Bei diesem Dienst handelt es sich um eine sog. Service-Provider-Applikation, über welche die Applikation AP auf dem Mobilfunkgerät MD Daten beziehen kann oder Aktionen ausführen kann. Der Dienst SR wird somit durch einen Service-Provider angeboten, wobei dieser Anbieter nicht zwangsläufig mit dem Betreiber des Servers SV übereinstimmen muss. Die Applikation AP kann beispielsweise auf einen Dienst zur Bereitstellung von Schlüsseln zugreifen, wobei die Schlüssel im Server SV hinterlegt sind. Ebenso kann mit einem entsprechenden Dienst des Servers SV ein Zertifikat für die Applikation AP ausgestellt werden. Wurde z. B. ein neuer Schlüssel durch die Applikation AP generiert, kann diese durch den Zugriff auf den Dienst ein Zertifikat für den neuen Schlüssel anfordern. Ein weiteres Beispiel eines Diensts ist die Erneuerung eines bestehenden Zertifikats für eine Applikation.The application AP can access the service SR via a suitable interface by means of an IP-based data transmission. This service is a so-called service provider application, via which the AP application can obtain data on the mobile device MD or perform actions. The service SR is thus offered by a service provider, this provider does not necessarily have to agree with the operator of the server SV. The application AP can, for example, access a service for providing keys, the keys being stored in the server SV. Likewise, a certificate for the application AP can be issued with a corresponding service of the server SV. Was z. For example, if a new key is generated by the application AP, it may request a certificate for the new key by accessing the service. Another example of a service is the renewal of an existing certificate for an application.

Der in 1 schematisch angedeutete Benutzer U ist eine menschliche Person, die die Applikation AP auf dem Mobilfunkgerät MD bedient, um hierdurch auf den Dienst SR des Servers SV zuzugreifen. In der Regel ist diese Person auch gleichzeitig der Besitzer des Mobilfunkgeräts. Das Mobilfunkgerät kann ein Mobiltelefon oder ein Smartphone sein. Das Mobilfunkgerät kann gegebenenfalls auch ein Tablet-Computer, tragbarer Computer bzw. Laptop mit darin eingesetztem bzw. integriertem Sicherheitselement sein. Ebenso kann das Mobilfunkgerät ein stationärer Desktop-Computer bzw. PC sein. The in 1 schematically indicated user U is a human person who operates the application AP on the mobile device MD, thereby accessing the service SR of the server SV. As a rule, this person is also the owner of the mobile device at the same time. The mobile device may be a mobile phone or a smartphone. Optionally, the mobile device may also be a tablet computer, portable computer or laptop with security element inserted or integrated therein. Likewise, the mobile device may be a stationary desktop computer or PC.

Das Sicherheitselement SE kann je nach Ausführungsform unterschiedlich realisiert sein. Insbesondere kann es sich um eine austauschbare SIM/USIM-Karte handeln, die reversibel in das Mobilfunkgerät eingesetzt ist (tragbarer Datenträger). Ebenso kann das Sicherheitselement eine sog. embedded SIM/USIM-Karte sein, welche fest in dem Mobilfunkgerät integriert ist (Sicherheitsmodul). Zur Zuordnung eines Sicherheitselements zu einem entsprechenden Mobilfunkgerät ist es gegebenenfalls auch nicht erforderlich, dass sich das Sicherheitselement in dem Mobilfunkgerät befindet. Insbesondere kann das Sicherheitselement auch in einem Mobilfunk-Stick zum Aufbau einer Mobilfunkverbindung eingesetzt sein, wobei der Stick wiederum mit einem Endgerät (z. B. über USB) verbunden ist. Das Endgerät zusammen mit dem Stick stellt dann das Mobilfunkgerät dar. Ebenso kann das Sicherheitselement einem Endgerät über ein weiteres Mobilfunkgerät zugeordnet sein, welches über eine entsprechende Schnittstelle und insbesondere drahtlos (z. B. über Bluetooth) mit dem Endgerät kommuniziert. Das Mobilfunkgerät MD der 1 entspricht in diesem Fall der Kombination aus Endgerät und weiterem Mobilfunkgerät.The security element SE can be realized differently depending on the embodiment. In particular, it can be a replaceable SIM / USIM card, which is reversibly inserted into the mobile device (portable data carrier). Likewise, the security element may be a so-called. Embedded SIM / USIM card, which is firmly integrated in the mobile device (security module). For the assignment of a security element to a corresponding mobile device, it may also not be necessary for the security element to be located in the mobile radio device. In particular, the security element can also be used in a mobile radio stick to set up a mobile radio connection, the stick in turn being connected to a terminal (eg via USB). The terminal together with the stick then represents the mobile device. Likewise, the security element can be assigned to a terminal via another mobile device which communicates with the terminal via a corresponding interface and in particular wirelessly (eg via Bluetooth). The mobile device MD the 1 corresponds in this case the combination of terminal and further mobile device.

Die Applikation AP kann im Rahmen des erfindungsgemäßen Verfahrens auf das Sicherheitselement SE zugreifen. Hierbei können an sich bekannte Technologien verwendet werden, z. B. kann der Zugriff über eine sog. Secure-Element-API (API = Application Programming Interface) erfolgen. Beispiele für solche Secure-Element-APIs sind Open Mobile API unter dem Betriebssystem Android oder JSR177 für Blackberry-Phones. Eine Secure-Element-API ermöglicht einen Transfer von sog. APDUs gemäß dem Standard ISO 7816-4 (APDU = Application Protocol Data Unit). APDUs werden typischerweise für den Datentransfer zwischen einem Sicherheitselement und einem Terminal bzw. mobilen Gerät verwendet. Die Kommunikation zwischen Applikation und Sicherheitselement sowie der weiter unten beschriebene Empfang eines Authentisierungstokens wird auf dem Sicherheitselement vorzugsweise über ein spezielles Java-Applet geregelt.The application AP can access the security element SE in the context of the method according to the invention. In this case, known technologies can be used, for. For example, the access can take place via a so-called Secure Element API (API = Application Programming Interface). Examples of such Secure Element APIs are Open Mobile API under the Android operating system or JSR177 for Blackberry phones. A secure element API allows a transfer of so-called APDUs according to the Standard ISO 7816-4 (APDU = Application Protocol Data Unit). APDUs are typically used for data transfer between a security element and a terminal or mobile device. The communication between the application and the security element and the receipt of an authentication token described below is preferably controlled on the security element via a special Java applet.

Im Rahmen des Verfahrens der 1 gibt der Benutzer U in einem Schritt S1 zunächst eine Identifikation in der Form einer sog. Session-ID SID ein, wobei dem Benutzer diese Identifikation vorab über einen geeigneten Übertragungsweg (z. B. per Text-SMS oder E-Mail) mitgeteilt wurde. Die entsprechende Mitteilung mit der darin enthaltenen Indentifikation wird in der hier beschriebenen Ausführungsform von dem Server SV an das Mobilfunkgerät MD übermittelt und kann dort dem Benutzer U angezeigt werden. Nach Eingabe der Identifikation SID wird diese von der Applikation AP in einem Schritt S2 an den Dienst SR übermittelt. Hierfür wird einer IP-basierte Datenübertragung über einen entsprechenden ersten Kanal, z. B. über eine LAN- bzw. WLAN-Schnittstelle des Mobilfunkgeräts, genutzt. Ebenso kann die Datenübertragung unter Zwischenschaltung der entsprechenden Mobilfunkschnittstelle des Mobilfunkgeräts erfolgen. Die Übertragung der Identifikation SID erfolgt zur Vermeidung von Manipulationen verschlüsselt, z. B. über das TLS-Protokoll. Über den IP-basierten ersten Kanal wird somit eine Verbindung der Applikation AP zu dem Server SV über das Internet hergestellt. Dieser Kanal wird auch bei der weiteren direkten Kommunikation zwischen Applikation AP und Dienst SR verwendet.As part of the procedure of 1 In a step S1, the user U initially enters an identification in the form of a so-called session ID SID, the user being informed of this identification beforehand via a suitable transmission path (eg by text SMS or e-mail). The corresponding message with the identification contained therein is transmitted in the embodiment described here by the server SV to the mobile device MD and can be displayed to the user U there. After entering the identification SID, this is transmitted by the application AP in a step S2 to the service SR. For this purpose, an IP-based data transmission via a corresponding first channel, z. B. via a LAN or WLAN interface of the mobile device used. Likewise, the data transmission can take place with the interposition of the corresponding mobile radio interface of the mobile radio device. The transmission of the identification SID is encrypted to avoid tampering, z. Via the TLS protocol. Thus, a connection of the application AP to the server SV via the Internet is established via the IP-based first channel. This channel is also used in the further direct communication between application AP and service SR.

Die in Schritt S2 von dem Dienst SR empfangene Identifikation SID wird in Schritt S3 von dem Dienst SR dahingehend überprüft, ob sie dem Dienst bekannt ist. Hierzu kann gegebenenfalls eine Datenbank mit entsprechenden zulässigen Identifikationen in dem Server SV hinterlegt sein. Ist die Identifikation SID im Server bekannt, wird in einem nächsten Schritt S4 ein sog. Authentisierungstoken AT generiert, der entsprechende Authentisierungsdaten enthält und in einem späteren Stadium des Verfahrens zur Autorisierung der Applikation AP gegenüber dem Dienst SR genutzt wird. Im Rahmen eines Schritts S5 wird ferner eine Statusmeldung an die Applikation AP gegeben, mit der dieser mitgeteilt wird, ob die Identifikation SID erfolgreich identifiziert werden konnte oder nicht. Im letzteren Fall wird das Verfahren gestoppt, da die Applikation AP keine Berechtigung zum Zugriff auf den Dienst SR hat.The identification SID received by the service SR in step S2 is checked in step S3 by the service SR as to whether it is aware of the service. For this purpose, if appropriate, a database with corresponding permissible identifications can be stored in the server SV. If the identification SID in the server is known, a so-called authentication token AT is generated in a next step S4, which contains corresponding authentication data and is used in a later stage of the method for authorizing the application AP against the service SR. As part of a step S5, a status message is also sent to the application AP, with which it is informed whether the identification SID could be successfully identified or not. In the latter case, the method is stopped because the application AP has no authorization to access the service SR.

Nach der Generierung des Authentisierungstokens AT in Schritt S4 wird dieser Token in Schritt S6 an einen OTA-Server OS übermittelt. Solche Server sind aus dem Stand der Technik bekannt und ermöglichen eine Übertragung von Informationen Over-The-Air über ein Mobilfunknetz. Demzufolge überträgt der OTA-Server OS in einem Schritt S7 basierend auf einer Mobilfunkübertragung den Token AT an das Sicherheitselement SE des Mobilfunkgeräts MD. Der hierfür verwendete zweite Kanal ist dabei nicht IP-basiert und verwendet somit eine andere Übertragungstechnologie als der erste Kanal. In der hier beschriebenen Ausführungsform erfolgt die Übertragung mittels einer Textnachricht basierend auf einer verschlüsselten SMS, wobei vorzugsweise der Standard GSM 03.48 verwendet wird. Dabei ist die zur Übermittlung der SMS verwendete Telefonnummer im Dienst SR bekannt und mit der Session-Identifikation SID verknüpft.After the generation of the authentication token AT in step S4, this token is transmitted in step S6 to an OTA server OS. Such servers are known in the art and allow transmission of information over the air over a cellular network. Consequently, in a step S7, the OTA server OS transmits the token AT to the security element SE of the mobile radio MD based on a mobile radio transmission. The second channel used for this purpose is not IP-based and thus uses a different transmission technology than the first channel. In the embodiment described here, the transmission takes place by means of a text message based on an encrypted SMS, wherein preferably the Standard GSM 03.48 is used. It is the telephone number used to transmit the SMS known in the service SR and linked to the session identification SID.

Nach dem Versenden der Identifikation SID in Schritt S2 führt die Applikation AP ein sog. Polling (d. h. eine zyklische Abfrage) über eine Secure-Element-API durch, wobei im Rahmen des Pollings nach einem an das Sicherheitselement SE übermittelten Authentisierungstoken AT gesucht wird. Sobald der Authentisierungstoken AT von dem Sicherheitselement SE empfangen wurde, wird dieser in Schritt S8 von der Applikation AP bezogen. Dieser Authentisierungstoken wird dann zur Authentisierung der Applikation AP im Rahmen der nachfolgenden Kommunikation mit dem Dienst SR über den ersten IP-basierten Kanal genutzt. In der hier beschriebenen Ausführungsform erfolgt die darauffolgende Kommunikation mit Hilfe von sog. HTTP-Anfragen, welche die Applikation AP an den Dienst SR richtet, um hierdurch entsprechende Aktionen auszulösen. Eine HTTP-Anfrage, welche auf dem an sich bekannten Hypertext-Transfer-Protokoll beruht, ist dabei ein konkreter HTTP-Übertragungsbefehl. Insbesondere können mit dem Befehl „HTTP GET” Daten von einem HTTP-Server angefordert werden. Demgegenüber können mit dem Befehl HTTP POST Daten von einem HTTP-Server an eine Applikation übermittelt werden. Der Server SV hat somit unter anderem auch die Funktionalität eines HTTP-Servers.After sending the identification SID in step S2, the application AP carries out a so-called polling (ie a cyclical polling) via a secure element API, whereby in the course of the polling an authentication token AT which is transmitted to the security element SE is searched. As soon as the authentication token AT has been received by the security element SE, it is referred to by the application AP in step S8. This authentication token is then used to authenticate the application AP as part of the subsequent communication with the service SR via the first IP-based channel. In the embodiment described here, the subsequent communication takes place with the aid of so-called HTTP requests, which the application AP directs to the service SR in order to trigger corresponding actions. An HTTP request, which is based on the known hypertext transfer protocol, is a concrete HTTP transfer command. In particular, the HTTP GET command can request data from an HTTP server. In contrast, with the HTTP POST command, data can be transmitted from an HTTP server to an application. The server SV thus has, among other things, the functionality of an HTTP server.

In Schritt S9 wird über eine Benutzereingabe an einer Benutzerschnittstelle des Mobilfunkgeräts MD (oder automatisiert, insbesondere nach Benutzervorgabe) eine entsprechende Aktion zur Durchführung durch den Dienst SV ausgelöst. Basierend auf der Benutzereingabe wird dann in Schritt S10 eine HTTP-Anfrage RE über den ersten Kanal an den Dienst SR gerichtet. Dabei wird automatisiert durch die Applikation AP der Authentisierungstoken AT in die HTTP-Anfrage als Attribut eingefügt. In Schritt S11 wird dann von dem Dienst SR überprüft, ob der empfangene Token dem in Schritt S4 ausgesendeten Token entspricht. Ist dies der Fall, ist die Applikation AP erfolgreich authentisiert bzw. autorisiert, so dass die entsprechende Aktion, die über den HTTP-Befehl RE angefordert wurde, in Schritt S12 ausgeführt wird. Sollte in Schritt S12 keine Übereinstimmung der Tokens festgestellt werden, wird das Verfahren abgebrochen. In beiden Fällen wird in Schritt S13 eine Antwort an die Applikation AP von dem Dienst SR zurückgegeben. Bei erfolgreicher Authentisierung in Schritt S11 wird als Antwort das Ergebnis der angeforderten Aktion, z. B. ein angeforderter Schlüssel bzw. ein angefordertes Zertifikat, an die Applikation AP gegeben. Bei nicht erfolgreicher Authentisierung wird demgegenüber eine Abbruchmeldung an die Applikation AP übermittelt.In step S9, a corresponding action for execution by the service SV is triggered via a user input on a user interface of the mobile radio MD (or automated, in particular according to user default). Based on the user input, an HTTP request RE is then directed to the service SR via the first channel in step S10. In this case, the authentication AP is automatically inserted into the HTTP request as an attribute by the application AP. In step S11, the service SR then checks whether the received token corresponds to the token sent out in step S4. If so, the application AP is successfully authenticated or authorized so that the corresponding action requested via the HTTP command RE is performed in step S12. If no match of the tokens is found in step S12, the process is aborted. In both cases, a response to the application AP is returned by the service SR in step S13. Upon successful authentication in step S11, the result of the requested action, e.g. As a requested key or a requested certificate, given to the application AP. In the case of unsuccessful authentication, on the other hand, an abort message is transmitted to the application AP.

In der Ausführungsform der 1 ist beispielhaft die Ausführung einer weiteren Aktion über entsprechende Schritte S9', S10', ..., S13 dargestellt. Diese Schritte entsprechen den Schritten S9 bis S13, die oben beschrieben wurden. Das heißt, es wird wiederum über den Schritt S9' durch den Benutzer (oder automatisiert) eine Aktion ausgelöst, welche zum Aussenden einer HTTP-Anfrage RE' führt, die den Authentisierungstoken AT als Attribut enthält. Es wird dann eine Überprüfung des Tokens in Schritt S11' durchgeführt sowie bei erfolgreicher Authentisierung die Aktion S12' ausgeführt, welche in Schritt S13' zum Zurücksenden einer Antwort führt. Je nach Ausgestaltung der Applikation können auch weitere Aktionen zum Zugriff auf den Dienst ausgelöst werden.In the embodiment of the 1 By way of example, the execution of a further action is represented via corresponding steps S9 ', S10',..., S13. These steps correspond to the steps S9 to S13 described above. That is, it is in turn via the step S9 'by the user (or automated) triggered an action which leads to the transmission of an HTTP request RE' containing the authentication token AT as an attribute. A check of the token is then carried out in step S11 'and, on successful authentication, the action S12' is carried out, which leads to the return of a response in step S13 '. Depending on the design of the application, other actions for accessing the service can also be triggered.

In dem soeben beschriebenen Zugriff auf den Dienst SR wird basierend auf der IP-basierten Kommunikation über den ersten Kanal immer verschlüsselt kommuniziert. Zur Verschlüsselung wird in einer besonders bevorzugten Ausführungsform das an sich bekannte TLS-Protokoll eingesetzt. Mit diesem Protokoll wird der Server authentisiert und werden die entsprechenden Anfragen RE bzw. RE' und die darauf basierenden Antworten verschlüsselt. Hierdurch wird sichergestellt, dass der Authentisierungstoken nicht von Dritten durch Abhören des ersten Kanals ausgelesen werden kann.In the just described access to the SR service, the encrypted communication over the first channel is always based on the IP-based communication. For encryption, the TLS protocol known per se is used in a particularly preferred embodiment. This protocol authenticates the server and encrypts the corresponding RE and RE 'requests and the responses based on them. This ensures that the authentication token can not be read by third parties by listening to the first channel.

2 zeigt eine schematische Darstellung einer Abwandlung der Ausführungsform der 1. Das Verfahren der 2 entspricht größtenteils dem Verfahren der 1. Es werden somit nur noch die Unterschiede zwischen den beiden Verfahren beschrieben. Im Unterschied zu 1 wird im Verfahren der 2 als Identifikation in Schritt S2 keine Session-ID SID übertragen, sondern stattdessen die Rufnummer bzw. Telefonnummer TN des Mobilfunkteilnehmers, die in dem Sicherheitselement SE hinterlegt ist. Der Start der Applikation AP durch den Benutzer U in Schritt S1 erfolgt dabei ohne die Eingabe einer Session-ID. Anschließend wird dann automatisiert durch die Applikation AP die Telefonnummer TN aus dem Sicherheitselement SE ausgelesen und verschlüsselt (insbesondere mit dem TLS-Protokoll) über den ersten IP-basierten Kanal an den Dienst SR des Servers SV übertragen. Der Dienst SR verifiziert anschließend die Telefonnummer, z. B. indem er die Telefonnummer mit zulässigen Telefonnummern aus einer Benutzerdatenbank vergleicht. Bei erfolgreicher Verifikation läuft das Verfahren analog wie in 1 beschrieben ab, d. h. ein Authentisierungstoken AT wird über einen zweiten Kanal mittels SMS verschlüsselt an das Sicherheitselement SE übermittelt und anschließend zur Autorisierung entsprechender Anfragen im Rahmen des Zugriffs auf den Dienst genutzt. Zwecks Vermeidung von Wiederholungen werden die entsprechenden Verfahrensschritte nicht nochmals im Detail beschrieben. Diesbezüglich wird vielmehr auf die obigen Ausführungen zu 1 verwiesen. 2 shows a schematic representation of a modification of the embodiment of the 1 , The procedure of 2 corresponds largely to the procedure of 1 , Thus, only the differences between the two methods are described. In contrast to 1 is in the process of 2 as an identification in step S2 no session ID transmitted SID, but instead the phone number or telephone number TN of the mobile subscriber, which is stored in the security element SE. The start of the application AP by the user U in step S1 takes place without the input of a session ID. Subsequently, the telephone number TN is then automatically read out of the security element SE by the application AP and encrypted (in particular with the TLS protocol) via the first IP-based channel to the service SR of the server SV. The service SR then verifies the telephone number, e.g. By comparing the telephone number with allowed telephone numbers from a user database. If the verification is successful, the procedure is the same as in 1 described, ie an authentication to AT is encrypted via a second channel using SMS transmitted to the security element SE and then used to authorize corresponding requests in the context of access to the service. In order to avoid repetition, the corresponding method steps are not described again in detail. This will be rather, to the above statements 1 directed.

Die im Vorangegangenen beschriebenen Ausführungsformen der Erfindung weisen eine Reihe von Vorteilen auf. Insbesondere werden im Rahmen des Zugriffs auf einen Dienst durch eine Applikation zwei verschiedene Übertragungstechnologien über einen ersten Kanal eines IP-basierten Netzes sowie einen zweiten, davon unterschiedlichen Kanal eines Mobilfunknetzes genutzt. Für die direkte Kommunikation der Applikation mit dem Dienst wird dabei der erste Kanal und zur Übermittlung des Authentisierungstokens der zweite Kanal verwendet. Demzufolge werden Angriffe unbefugter Dritter erschwert, denn ein Angreifer benötigt Zugriff zu beiden Netzwerken, um entsprechende Protokoll-Daten aufzuzeichnen und zu analysieren, um sich hierdurch Zugriff auf den Dienst zu verschaffen.The embodiments of the invention described above have a number of advantages. In particular, in the context of access to a service by an application, two different transmission technologies are used via a first channel of an IP-based network and a second, different channel of a mobile network. For the direct communication of the application with the service while the first channel and the transmission of the authentication token the second channel is used. As a result, attacks by unauthorized third parties are made more difficult because an attacker needs access to both networks to record and analyze corresponding protocol data to gain access to the service.

Mit dem erfindungsgemäßen Verfahren wird ferner sichergestellt, dass der Authentisierungstoken stets verschlüsselt übertragen wird. Zudem wird sichergestellt, dass der Authentisierungstoken nur zu authentisierten Kornmunikationspartnern übertragen wird. Hierfür kann in speziellen Ausführungsformen eine verschlüsselte SMS und das TSL-Protokoll genutzt werden. Darüber hinaus kann durch typische Zugriffsschutz-Mechanismen einer Secure-Element-API (z. B. GP SE Access Control) bei der Kommunikation zwischen Applikation und Sicherheitselement sichergestellt werden, dass nur autorisierte Applikationen den Authentisierungstoken aus dem Sicherheitselement auslesen können.The method according to the invention also ensures that the authentication token is always transmitted in encrypted form. It also ensures that the authentication token is transmitted only to authenticated Kornmunikationspartnern. For this purpose, in special embodiments, an encrypted SMS and the TSL protocol can be used. In addition, typical access protection mechanisms of a secure element API (eg GP SE Access Control) in the communication between application and security element can ensure that only authorized applications can read the authentication token from the security element.

Ein weiterer Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass die Authentisierung der Applikation automatisch abläuft, was durch das automatische Bereitstellen des Authentisierungstokens sowie die automatische Einbindung des Authentisierungstokens in entsprechende Anfragen an den Dienst realisiert wird. Demzufolge ist es im Rahmen der Authentisierung nicht mehr erforderlich, dass manuell durch einen Benutzer Eingaben vorgenommen werden müssen, wie dies oftmals bei herkömmlichen Authentisierungs-Protokollen der Fall ist.A further advantage of the method according to the invention is that the authentication of the application takes place automatically, which is realized by the automatic provision of the authentication token as well as the automatic integration of the authentication token into corresponding requests to the service. Consequently, in the context of authentication, it is no longer necessary to manually make inputs by a user, as is often the case with conventional authentication protocols.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte Nicht-PatentliteraturCited non-patent literature

  • Standard GSM 03.48 [0014] Standard GSM 03.48 [0014]
  • Standard ISO 7816-4 [0033] Standard ISO 7816-4 [0033]
  • Standard GSM 03.48 [0036] Standard GSM 03.48 [0036]

Claims (17)

Verfahren zum Zugriff auf einen Dienst (SR) eines Servers (SV) über eine Applikation (AP) eines Endgeräts (MD), wobei dem Endgerät (MD) ein Sicherheitselement (SE) zugeordnet ist, mit dem das Endgerät (MD) kommunizieren kann, und das Sicherheitselement (SE) eine Teilnehmeridentifikation (MSI) eines Mobilfunkteilnehmers in einem Mobilfunknetz enthält, wobei a) die Applikation (AP) des Endgeräts (MD) über einen ersten Kanal eines IP-basierten Netzes basierend auf einer IP-basierten Übertragung eine Identifikation (SID, TN) an den Dienst (SR) des Servers (SV) übermittelt; b) im Falle, dass der Dienst (SR) die Identifikation (SID, TN) erfolgreich verifizieren kann, ein Authentisierungstoken (AT) von dem Dienst (SR) über einen zweiten Kanal des Mobilfunknetzes basierend auf einer sich vom ersten Kanal unterscheidenden Übertragung verschlüsselt an das Sicherheitselement (SE) übermittelt wird; c) der Applikation (AP) automatisch der an das Sicherheitselement (SE) übermittelte Authentisierungstoken (AT) bereitgestellt wird; d) die Applikation (AP) auf den Dienst (SR) mittels einer verschlüsselten Kommunikation über den ersten Kanal zugreift, wobei die Applikation (AP) Anfragen (RE, RE'), welche im Rahmen der verschlüsselten Kommunikation von der Applikation (AP) an den Dienst (SR) übermittelt werden, automatisch mit dem bereitgestellten Authentisierungstoken (AT) versieht, wobei Anfragen (RE, RE') durch den Dienst (SR) nur bei erfolgreicher Verifikation des Authentisierungstokens (AT) weiterverarbeitet werden.Method for accessing a service (SR) of a server (SV) via an application (AP) of a terminal (MD), wherein the terminal (MD) is assigned a security element (SE) with which the terminal (MD) can communicate, and the security element (SE) contains a subscriber identification (MSI) of a mobile radio subscriber in a mobile radio network, wherein a) the application (AP) of the terminal (MD) transmits an identification (SID, TN) to the service (SR) of the server (SV) via a first channel of an IP-based network based on an IP-based transmission; b) in the event that the service (SR) can successfully verify the identification (SID, TN), an authentication token (AT) from the service (SR) encrypted over a second channel of the mobile network based on a different from the first channel transmission the security element (SE) is transmitted; c) the application (AP) is automatically provided with the authentication token (AT) transmitted to the security element (SE); d) the application (AP) accesses the service (SR) by means of an encrypted communication via the first channel, wherein the application (AP) queries (RE, RE '), which in the context of the encrypted communication from the application (AP) the service (SR) is automatically provided with the provided authentication token (AT), whereby requests (RE, RE ') are further processed by the service (SR) only upon successful verification of the authentication token (AT). Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die in Schritt a) übermittelte Identifikation (SID) vorab einem Benutzer (U) des Endgeräts (MD) durch den Dienst (SR) mitgeteilt wird, wobei in Schritt a) nach einer Eingabe der mitgeteilten Identifikation (SID) durch den Benutzer mittels einer Benutzerschnittstelle des Endgeräts (MD) die Applikation (AP) die Identifikation (SID) über den ersten Kanal an den Dienst (SR) übermittelt.Method according to claim 1, characterized in that the identification (SID) transmitted in step a) is notified in advance to a user (U) of the terminal (MD) by the service (SR), wherein in step a) after an input of the notified identification (SID) by the user via a user interface of the terminal (MD) the application (AP) the identification (SID) via the first channel to the service (SR). Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Applikation (AP) in Schritt a) eine im Sicherheitselement (SE) hinterlegte Rufnummer (TN) ausliest, über welche der Mobilfunkteilnehmer im Mobilfunknetz kontaktiert werden kann, wobei die in Schritt a) übermittelte Identifikation die ausgelesene Rufnummer (TN) ist.A method according to claim 1 or 2, characterized in that the application (AP) in step a) a stored in the security element (SE) phone number (TN), via which the mobile subscriber can be contacted in the mobile network, wherein in step a) transmitted Identification is the read out telephone number (TN). Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Authentisierungstoken (AT) in Schritt b) über eine SMS an das Sicherheitselement (SE) übermittelt wird.Method according to one of the preceding claims, characterized in that the authentication token (AT) in step b) is transmitted via an SMS to the security element (SE). Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Authentisierungstoken (AT) in Schritt b) unter Zwischenschaltung eines OTA-Servers (OS) an das Sicherheitselement (SE) übermittelt wird.Method according to one of the preceding claims, characterized in that the authentication token (AT) in step b) with the interposition of an OTA server (OS) to the security element (SE) is transmitted. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die automatische Bereitstellung des Authentisierungstokens (AT) in Schritt c) über ein Polling der Applikation (AP) nach dem Authentisierungstoken (AT) auf dem Sicherheitselement (SE) erfolgt.Method according to one of the preceding claims, characterized in that the automatic provision of the authentication token (AT) in step c) takes place via a polling of the application (AP) for the authentication token (AT) on the security element (SE). Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Empfang des Authentisierungstokens (AT) im Sicherheitselement (SE) und das Bereitstellen des Authentisierungstokens (AT) für die Applikation (AP) mit Hilfe eines Programms und insbesondere eines Java-Applets auf dem Sicherheitselement (SE) durchgeführt wird und/oder dass das Sicherheitselement (SE) über eine Secure-Element-API mit der Applikation (AP) kommuniziert.Method according to one of the preceding claims, characterized in that the reception of the authentication token (AT) in the security element (SE) and the provision of the authentication token (AT) for the application (AP) by means of a program and in particular a Java applet on the security element (SE) and / or that the security element (SE) communicates with the application (AP) via a secure element API. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Verschlüsselung der Kommunikation über den ersten Kanal in Schritt d) basierend auf dem TLS-Protokoll erfolgt.Method according to one of the preceding claims, characterized in that the encryption of the communication over the first channel in step d) takes place based on the TLS protocol. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Übermittlung von Anfragen (RE, RE') in Schritt d) zumindest teilweise durch einen Benutzer (U) über eine Benutzerschnittstelle des Endgeräts (MD) ausgelöst werden kann.Method according to one of the preceding claims, characterized in that the transmission of requests (RE, RE ') in step d) can be triggered at least partially by a user (U) via a user interface of the terminal (MD). Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im Rahmen des Zugriffs auf den Dienst in Schritt d) eine oder mehrere kryptographische Schlüssel und/oder eine oder mehrere Zertifikate durch den Dienst (SR) auf dem Endgerät hinterlegt und/oder erneuert werden.Method according to one of the preceding claims, characterized in that as part of the access to the service in step d) one or more cryptographic keys and / or one or more certificates are deposited and / or renewed by the service (SR) on the terminal. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Verfahren mittels eines Sicherheitselements (SE) durchgeführt wird, der als tragbarer Datenträger in dem Endgerät (MD) eingesetzt oder als Sicherheitsmodul in dem Endgerät (MD) fest integriert ist.Method according to one of the preceding claims, characterized in that the method by means of a security element (SE) is performed, which is used as a portable data carrier in the terminal (MD) or as a security module in the terminal (MD) is firmly integrated. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Authentisierungstoken (AT) nur für eine definierte Zeit zur Verwendung in dem Schritt d gültig ist.Method according to one of the preceding claims, characterized in that the authentication token (AT) is valid only for a defined time for use in the step d. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Identifikation (SID, TN) für unterschiedliche erste Kanäle zwischen der Applikation (AP) und dem Dienst (SR) einsetzbar ist.Method according to one of the preceding claims, characterized in that the identification (SID, TN) for different first channels between the application (AP) and the service (SR) can be used. System zum Zugriff auf einen Dienst (SR) eines Servers (SV) über eine Applikation (AP) eines Endgeräts (MD), wobei dem Endgerät (MD) ein Sicherheitselement (SE) zugeordnet ist, mit dem das Endgerät (MD) kommunizieren kann, und das Sicherheitselement (SE) eine Teilnehmeridentifikation (MSI) eines Mobilfunkteilnehmers in einem Mobilfunknetz enthält, wobei die Applikation (AP), das Sicherheitselement (SE) und der Dienst (SR) derart ausgestaltet sind, dass ein Verfahren durchführbar ist, bei dem a) die Applikation (AP) des Endgeräts (MD) über einen ersten Kanal eines IP-basierten Netzes basierend auf einer IP-basierten Übertragung eine Identifikation (SID, TN) an den Dienst (SR) des Servers (SV) übermittelt; b) im Falle, dass der Dienst (SR) die Identifikation (SID, TN) erfolgreich verifizieren kann, ein Authentisierungstoken (AT) von dem Dienst (SR) über einen zweiten Kanal des Mobilfunknetzes basierend auf einer sich vom ersten Kanal unterscheidenden Übertragung verschlüsselt an das Sicherheitselement (SE) übermittelt wird; c) der Applikation (AP) automatisch der an das Sicherheitselement (SE) übermittelte Authentisierungstoken (AT) bereitgestellt wird; d) die Applikation (AP) auf den Dienst (SR) mittels einer verschlüsselten Kommunikation über den ersten Kanal zugreift, wobei die Applikation (AP) Anfragen (RE, RE'), welche im Rahmen der verschlüsselten Kommunikation von der Applikation (AP) an den Dienst (SR) übermittelt werden, automatisch mit dem bereitgestellten Authentisierungstoken (AT) versieht, wobei Anfragen (RE, RE') durch den Dienst (SR) nur bei erfolgreicher Verifikation des Authentisierungstokens (AT) weiterverarbeitet werden.System for accessing a service (SR) of a server (SV) via an application (AP) of a terminal (MD), wherein the terminal (MD) is assigned a security element (SE) with which the terminal (MD) can communicate, and the security element (SE) contains a subscriber identification (MSI) of a mobile radio subscriber in a mobile radio network, wherein the application (AP), the security element (SE) and the service (SR) are configured such that a method can be carried out in which a) the application (AP) of the terminal (MD) transmits an identification (SID, TN) to the service (SR) of the server (SV) via a first channel of an IP-based network based on an IP-based transmission; b) in the event that the service (SR) can successfully verify the identification (SID, TN), an authentication token (AT) from the service (SR) encrypted over a second channel of the mobile network based on a different from the first channel transmission the security element (SE) is transmitted; c) the application (AP) is automatically provided with the authentication token (AT) transmitted to the security element (SE); d) the application (AP) accesses the service (SR) by means of an encrypted communication via the first channel, wherein the application (AP) queries (RE, RE '), which in the context of the encrypted communication from the application (AP) the service (SR) is automatically provided with the provided authentication token (AT), whereby requests (RE, RE ') are further processed by the service (SR) only upon successful verification of the authentication token (AT). System nach Anspruch 14, dadurch gekennzeichnet, dass das System zur Durchführung eines Verfahrens nach einem der Ansprüche 2 bis 13 eingerichtet ist.System according to claim 14, characterized in that the system is arranged to carry out a method according to one of claims 2 to 13. Server (SV) mit einem darauf hinterlegtem Dienst (SR), dadurch gekennzeichnet, dass der Dienst (SR) zur Verwendung in einem Verfahren nach einem der Ansprüche 1 bis 13 eingerichtet ist.Server (SV) with a service (SR) stored thereon, characterized in that the service (SR) is set up for use in a method according to one of the claims 1 to 13. Endgerät mit einer darauf hinterlegten Applikation (AP) und einem zugeordneten Sicherheitselement (SE), dadurch gekennzeichnet, dass die Applikation (AP) und das Sicherheitselement (SE) zur Verwendung in einem Verfahren nach einem der Ansprüche 1 bis 13 eingerichtet sind.Terminal with an application (AP) deposited thereon and an associated security element (SE), characterized in that the application (AP) and the security element (SE) are set up for use in a method according to one of claims 1 to 13.
DE102013001733.5A 2013-01-31 2013-01-31 Method for accessing a service of a server via an application of a terminal Pending DE102013001733A1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102013001733.5A DE102013001733A1 (en) 2013-01-31 2013-01-31 Method for accessing a service of a server via an application of a terminal
PCT/EP2014/000246 WO2014117939A1 (en) 2013-01-31 2014-01-29 Method for accessing a service of a server using an application of a terminal
EP14701919.4A EP2952029A1 (en) 2013-01-31 2014-01-29 Method for accessing a service of a server using an application of a terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102013001733.5A DE102013001733A1 (en) 2013-01-31 2013-01-31 Method for accessing a service of a server via an application of a terminal

Publications (1)

Publication Number Publication Date
DE102013001733A1 true DE102013001733A1 (en) 2014-07-31

Family

ID=50030243

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013001733.5A Pending DE102013001733A1 (en) 2013-01-31 2013-01-31 Method for accessing a service of a server via an application of a terminal

Country Status (3)

Country Link
EP (1) EP2952029A1 (en)
DE (1) DE102013001733A1 (en)
WO (1) WO2014117939A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015055611A1 (en) * 2013-10-18 2015-04-23 Deutsche Telekom Ag Method for automatically authenticating a user to an electronic network service
CN108347784A (en) * 2017-01-23 2018-07-31 华为技术有限公司 A kind of resource regulating method and wireless access network equipment and terminal device

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017102336A1 (en) * 2017-02-07 2018-08-09 Deutsche Post Ag A method of detecting unauthorized copies of digital security tokens

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19722424C1 (en) * 1997-05-28 1998-08-06 Ericsson Telefon Ab L M Secure access method
DE10152572A1 (en) * 2001-10-24 2003-05-15 Siemens Ag Authenticated access method for data network has identification information provided by station requiring access to data network authenticated in external network for provision of access password
US20030204726A1 (en) * 2002-04-25 2003-10-30 Kefford Mark Gregory Methods and systems for secure transmission of information using a mobile device
US20040203599A1 (en) * 2002-11-19 2004-10-14 Miller Quentin S. Transport agnostic authentication of wireless devices
US20120036282A1 (en) * 2010-08-05 2012-02-09 Cellco Partnership Smart card driven device configuration changes

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060002556A1 (en) * 2004-06-30 2006-01-05 Microsoft Corporation Secure certificate enrollment of device over a cellular network
DE102009040419A1 (en) * 2009-09-07 2011-04-28 Giesecke & Devrient Gmbh Method for producing data communication connection between e.g. mobile telephone and subscriber identity module card, involves executing coordination application in runtime environment
TR201103175A2 (en) * 2011-04-01 2012-10-22 Turkcell �Let���M H�Zmetler� Anon�M ��Rket� A system and method for secure message transmission
DE102012103106A1 (en) * 2012-04-11 2013-10-17 Vodafone Holding Gmbh A method of authenticating a user to a service on a service server, application and system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19722424C1 (en) * 1997-05-28 1998-08-06 Ericsson Telefon Ab L M Secure access method
DE10152572A1 (en) * 2001-10-24 2003-05-15 Siemens Ag Authenticated access method for data network has identification information provided by station requiring access to data network authenticated in external network for provision of access password
US20030204726A1 (en) * 2002-04-25 2003-10-30 Kefford Mark Gregory Methods and systems for secure transmission of information using a mobile device
US20040203599A1 (en) * 2002-11-19 2004-10-14 Miller Quentin S. Transport agnostic authentication of wireless devices
US20120036282A1 (en) * 2010-08-05 2012-02-09 Cellco Partnership Smart card driven device configuration changes

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Standard GSM 03.48
Standard ISO 7816-4

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015055611A1 (en) * 2013-10-18 2015-04-23 Deutsche Telekom Ag Method for automatically authenticating a user to an electronic network service
CN108347784A (en) * 2017-01-23 2018-07-31 华为技术有限公司 A kind of resource regulating method and wireless access network equipment and terminal device
CN108347784B (en) * 2017-01-23 2023-10-13 华为技术有限公司 Resource scheduling method, wireless access network equipment and terminal equipment

Also Published As

Publication number Publication date
EP2952029A1 (en) 2015-12-09
WO2014117939A1 (en) 2014-08-07

Similar Documents

Publication Publication Date Title
EP2865198B1 (en) Method for entering identification data of a vehicle into a user database of an internet server device
AT513016B1 (en) Method and device for controlling a locking mechanism with a mobile terminal
EP2443853B1 (en) Method for registration of a mobile device in a mobile network
DE102012103106A1 (en) A method of authenticating a user to a service on a service server, application and system
DE102011075257B4 (en) Answering inquiries by means of the communication terminal of a user
EP2528363A2 (en) Change of subscription in an identification module
EP2952029A1 (en) Method for accessing a service of a server using an application of a terminal
EP2697989B1 (en) Method and system for data transmission to an identification module in a mobile telephone
EP2677791B1 (en) Method and device for transferring a test request to an identification module
EP3135546A1 (en) Car key, communication system and method for same
DE102013100756B3 (en) Method for performing authentication of using access system e.g. electronic lock, involves determining whether second key and encrypted second keys are valid based on second temporary session key
EP2688327A2 (en) Activation of subscriber identity data
WO2021228537A1 (en) Method for coupling an authentication means to a vehicle
EP2528364B1 (en) Method and device for providing an identification signal of an electronic end device
EP2933769B1 (en) Transaction method
EP2613491B1 (en) Execution of cryptographic operations with data from a user terminal
EP2650818A1 (en) System and method for secure communication
EP3435697B1 (en) Method for authenticating a user against a service provider and authentication system
EP2611221B1 (en) Management of license information for a communication terminal
WO2015124317A1 (en) Method for remotely managing a data element stored on a security element
EP4138435A1 (en) Method for granting access to a control unit in a building control system

Legal Events

Date Code Title Description
R163 Identified publications notified
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE

Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE

R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT EPAYMENTS GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE

R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT EPAYMENTS GMBH, 81677 MUENCHEN, DE