DE102013004602B4 - Freigabe einer Transaktion über ein mobiles Endgerät - Google Patents

Freigabe einer Transaktion über ein mobiles Endgerät Download PDF

Info

Publication number
DE102013004602B4
DE102013004602B4 DE102013004602.5A DE102013004602A DE102013004602B4 DE 102013004602 B4 DE102013004602 B4 DE 102013004602B4 DE 102013004602 A DE102013004602 A DE 102013004602A DE 102013004602 B4 DE102013004602 B4 DE 102013004602B4
Authority
DE
Germany
Prior art keywords
terminal
eeg
signal
user
stimulation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102013004602.5A
Other languages
English (en)
Other versions
DE102013004602A1 (de
Inventor
Lars Hoffmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE
Original Assignee
Giesecke and Devrient Mobile Security GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient Mobile Security GmbH filed Critical Giesecke and Devrient Mobile Security GmbH
Priority to DE102013004602.5A priority Critical patent/DE102013004602B4/de
Publication of DE102013004602A1 publication Critical patent/DE102013004602A1/de
Application granted granted Critical
Publication of DE102013004602B4 publication Critical patent/DE102013004602B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2147Locking files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Abstract

Verfahren zum Freigeben (S13) einer von einem Nutzer (40) auf einem Transaktionsterminal (30) eingeleiteten Transaktion (S1) über ein mobiles Telekommunikationsendgerät (10) des Nutzers (40), umfassend die Schritte:- Wiedergeben (S7) eines von dem Endgerät (10) bereitgestellten Stimulationssignals (26) in einer für den Nutzer (40) wahrnehmbaren Weise;- Aufzeichnen (S8) eines EEG-Vergleichssignals (51) des Nutzers (40) während eines Wahrnehmens des wiedergegebenen Stimulationssignals (26) durch den Nutzer (40);- Vergleichen (S10, S12) des EEG-Vergleichssignals (51) mit einem in dem Endgerät (10) gespeicherten EEG-Referenzsignal (27), das dem Stimulationssignal (26) zugeordnet ist, durch das Endgerät (10); und- Freigeben (S13) der eingeleiteten Transaktion durch das Endgerät (10), wenn das EEG-Vergleichssignal (51) und das EEG-Referenzsignal (27) gemäß vorgegebenen Kriterien einander im Wesentlichen entsprechen, dadurch gekennzeichnet, dass das Endgerät (10) das bereitgestellte Stimulationssignal (26) an das Terminal (30) überträgt und das Terminal (30) das Stimulationssignal (26) als eine Abfolge von visuellen, auditiven, haptischen oder anderweitig von dem Nutzer (40) wahrnehmbaren Stimuli wiedergibt (S7), insbesondere als Einzel- oder Bewegtbildfolge, Ton- oder Musikfolge, Folge taktiler Eindrücke, lesbare oder hörbare Sprache oder Symbole oder eine beliebige Kombination daraus.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Freigeben einer von einem Nutzer auf einem Transaktionsterminal eingeleiteten Transaktion über ein mobiles Telekommunikationsendgerät des Nutzers, in welches ein sicherer Datenträger eingesetzt ist, einen derartigen sicheren Datenträger sowie ein Transaktionssystem, umfassend das mobile Telekommunikationsendgerät mit dem Datenträger sowie das Transaktionsterminal.
  • Es ist bekannt, bei Transaktionen, die ein Nutzer gegenüber einem Transaktionsterminal, beispielsweise einem Verkaufsautomat oder einem für Online-Geschäfte eingerichteten Computersystem, ausführen möchte, eine besondere Freigabe bzw. Bestätigung des Nutzers zu verlangen. Diese Freigabe kann der Nutzer beispielsweise durch Eingabe einer Identifikationsnummer (PIN) oder eines Passwortes gegenüber dem Transaktionsterminal erteilen. Der Nutzer hat aber aufgrund der breiten Verwendung von Passwörtern häufig Schwierigkeiten, sich diese zu merken oder sicher abzulegen. Die persönliche Unterschrift eines Nutzers ist zur Freigabe digital vorgenommener Transaktionen ohnehin ungeeignet, da sie leicht zu fälschen ist.
  • Im Bereich der elektronisch unterstützten Freigabe einer Transaktion sind tragbare Vorrichtungen bekannt, die z.B. mittels Nahfeldkommunikation (NFC) eine digitale Freigabe gegenüber einem Lesegerät drahtlos erteilen können. Auch hier besteht Fälschungspotential, da solche Geräte einerseits gestohlen werden können und andererseits aufgrund der drahtlosen Datenübertragung vielfältigen Manipulationsmöglichkeiten und bekannten Angriffsszenarien ausgesetzt sind.
  • US 2013/0044055 A1 betrifft ein computerimplementiertes Verfahren mit einem Schritt zum Bereitstellen eines Bildes für einen Benutzer. Beim Betrachten des Bildes durch Benutzer werden Blickverfolgungsdaten erfasst, aus denen ein Benutzerattribut abgeleitet wird. Der Benutzer kann auf eine digitale Ressource zugreifen, wenn dem Benutzerattribut eine entsprechende Berechtigung zugeordnet ist.
  • US 2007/0011066 A1 betrifft ein computerlesbares Medium für die Durchführung sicherer Online-Transaktionen.
  • US 2005/0022034 A1 betrifft ein System und ein Verfahren zum Bestimmen und Authentifizieren der Identität einer Person durch Erstellen eines Verhaltensprofils dieser Person. Dazu werden der Person verschiedene Stimuli präsentiert und es werden Antwortmerkmale gemessen.
  • US 2012/0129492 A1 betrifft ein Transaktionsauthentifizierungssystem umfassend ein Computernetzwerk und ein Mobilfunknetz. Ein Benutzer initiiert eine Transaktion und stellt ein Identitätstoken bereit, etwa seine Mobilnummer, welches von einem Authentifizierungsserver zur Identitätsprüfung verwendet wird.
  • Vor diesem Hintergrund ist es die Aufgabe der vorliegenden Erfindung, eine für den Nutzer komfortable und gleichzeitig hinreichend sichere Möglichkeit zu schaffen, eine auf einem Transaktionsterminal eingeleitete Transaktion willentlich freizugeben.
  • Diese Aufgabe wird erfindungsgemäß durch ein Verfahren, einen in ein mobiles Telekommunikationsendgerät einsetzbaren sicheren Datenträger sowie ein Transaktionssystem mit den Merkmalen der unabhängigen Ansprüche gelöst. Die davon abhängigen Ansprüche beschreiben vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung.
  • Erfindungsgemäß wird eine von einem Nutzer auf einem Transaktionsterminal eingeleitete Transaktion mittels elektroenzephalographischen Daten (EEG) des Nutzers, aus denen eine eindeutige Willenserklärung des Nutzers zur Freigabe der Transaktion abgeleitet wird, über ein mobiles Telekommunikationsendgerät des Nutzers gegenüber dem Transaktionsterminal freigegeben.
  • Das erfindungsgemäße Freigabeverfahren wird von einem Transaktionssystem ausgeführt, welches neben dem Transaktionsterminal und dem mobilen Telekommunikationsendgerät einen darin eingesetzten sicheren Datenträger sowie einen EEG-Sensor umfasst. Der sichere Datenträger wiederum umfasst einen Prozessor, einen Speicher sowie eine Steuereinrichtung, die den Ablauf des erfindungsgemäßen Verfahrens auf dem Transaktionssystem steuert und kontrolliert.
  • Hieraus ergeben sich die erfindungsgemäßen Vorteile, dass einerseits durch die Verwendung von hochindividuellen und im Vergleich zu herkömmlichen biometrischen Daten sehr schwer zu erfassenden und zu fälschenden EEG-Daten eine hohes Maß an Sicherheit erreicht wird, insbesondere gegenüber den bekannten Angriffsszenarien auf derartige Systeme. Andererseits ergibt sich für den Nutzer aber auch ein hohes Maß an Komfort, da er keine aktive Handlung durchführen muss, um durch eine eindeutige Willenserklärung die eingeleitete Transaktion freizugeben. Das Bereitstellen eines biometrischen Merkmals oder die Eingabe von Passwörtern an einem Terminal oder die Präsentation einer Identifikationskarte entfällt erfindungsgemäß.
  • Zur Verwirklichung des erfindungsgemäßen Verfahrens stellt das mobile Telekommunikationsendgerät unter Steuerung durch den Datenträger ein Stimulationssignal sowie ein diesem Stimulationssignal zugeordnetes EEG-Referenzsignal bereit und veranlasst dessen Wiedergabe in einer für den Nutzer wahrnehmbaren Weise durch eine Wiedergabeeinrichtung. Das Stimulationssignal dient dazu, den Nutzer in einer Weise zu stimulieren, dass sich eine messbare, charakteristische EEG-Aktivität ergibt. Die Zuordnung zwischen dem Stimulationssignal und dem EEG-Referenzsignal besteht gerade darin, dass sich diese hervorgerufene EEG-Aktivität in dem EEG-Referenzsignal in eindeutiger und nutzerindividueller Form niederschlägt.
  • Während der Wiedergabe des Stimulationssignals in einer für den Nutzer wahrnehmbaren Weise zeichnet ein EEG-Sensor ein EEG-Vergleichssignal des Nutzers auf und überträg es anschließend an das Endgerät. Das Endgerät bzw. der darin eingesetzte Datenträger vergleicht das empfangene EEG-Vergleichssignal mit dem bereits vorliegenden EEG-Referenzsignal und gibt die Transaktion gegenüber dem Transaktionsterminal frei, wenn das EEG-Vergleichssignal und das EEG-Referenzsignal gemäß vorgegebener Kriterien einander im Wesentlichen entsprechen.
  • Die Erfindung basiert auf der Erkenntnis, dass anhand eines Vergleichs des vorbekannten EEG-Referenzsignals mit dem aktuell erzeugten EEG-Vergleichssignal eine unwillkürliche Reaktion des Nutzers auf das wiedergegebene Stimulationssignal festgestellt wird - denn ein Nutzer kann seine EEG-Aktivität nicht willentlich steuern - und diese unwillkürliche Reaktion als willentliche Freigabe der eingeleiteten Transaktion interpretiert werden kann. Diese ist möglich, weil der Nutzer bei der Wiedergabe des Stimulationssignals aufmerksam sein muss, um das mit dem EEG-Referenzsignal vergleichbare EEG-Vergleichssignal herbeizuführen, so dass der Wille des Nutzers, sich auf die Wiedergabe des Stimulationssignals zu konzentrieren, als Willenserklärung und willentliche Freigabe interpretiert werden kann.
  • Die wesentlichen Verfahrensschritte, wie zum Beispiel das Bereitstellen des Stimulationssignals, das Vergleichen des EEG-Vergleichssignals mit dem EEG-Referenzsignal sowie das Freigeben der Transaktion, werden durch den sicheren Datenträger ausgeführt, der in das mobile Telekommunikationsendgerät eingesetzt ist. Der Datenträger gestaltet ein herkömmliches Telekommunikationsendgerät also derart um, dass das Endgerät gesteuert durch den Datenträger die erfindungsgemäßen Schritte erledigt. Mit der Formulierung, dass das Endgerät einen bestimmten Verfahrenschritt ausführt, ist vorliegend also gemeint, dass dieser Schritt von dem Datenträger bzw. einer darin befindlichen Steuereinrichtung ausgeführt oder zumindest veranlasst wird, während das Telekommunikationsendgerät in der Regel die Datenkommunikationsverbindungen zu den weiteren Vorrichtungen des Transaktionssystems bereitstellt, sowie übliche Komponenten und Schnittstellen, z.B. zur Dateneingabe und Datenausgabe. So ist auch die Formulierung zu verstehen, dass das Endgerät eingerichtet ist, unter Steuerung durch den Datenträger bestimmte erfindungsgemäße Verfahrensschritte auszuführen.
  • Zur Steuerung des erfindungsgemäßen Verfahrens umfasst der Datenträger eine Steuereinrichtung, die auf den Prozessor und den Speicher des Datenträgers zum Steuern und Durchführen von Verfahrensschritten zugreifen kann. Die Steuereinrichtung kann hierbei sowohl integraler Bestandteil einer Betriebssystemsoftware des Datenträgers sein oder eine separate Applikationssoftware in Wechselwirkung mit dem Betriebssystem bilden, mit welcher der Datenträger ausgestattet ist. In diesem Zusammenhang ist die Formulierung, dass die Steuereinrichtung eingerichtet ist, verschiedene Schritte des erfindungsgemäßen Verfahrens auszuführen, so zu verstehen, dass die die Steuereinrichtung realisierende Softwarekomponente entsprechende Programmanweisungen aufweist, die die genannten Verfahrensschritte implementieren und realisieren.
  • Aus Sicherheitsgründen wird das wiederzugebende Stimulationssignal von der Steuereinrichtung des Datenträgers vorzugsweise zufällig ausgewählt oder zufällig erzeugt.
  • Eine Authentisierung des Transaktionsterminals gegenüber dem Telekommunikationsendgerät bzw. dem Datenträger erfolgt vorzugsweise im Challenge-Response-Verfahren. Hierbei empfängt eine Steuereinheit des Transaktionsterminals eine Zufallszahl oder, vorzugsweise, das zufällig erzeugte Stimulationssignal von dem Datenträger und verschlüsselt dieses kryptographisch mit einem Geheimnis, welches in einem gesicherten Speicher des Transaktionsterminals sowie in dem gesicherten Speicher des Datenträgers vorliegt. Das verschlüsselte Stimulationssignal wird an das Telekommunikationsendgerät zurückgesendet und dort von der Steuereinrichtung des Datenträgers geprüft. Falls die Steuereinrichtung das verschlüsselte Stimulationssignal mit dem auf dem Datenträger vorliegenden Geheimnis korrekt entschlüsseln kann oder falls das auf dem Datenträger vorhandene Stimulationssignal mit dem auf dem Datenträger vorliegenden Geheimnis derart verschlüsselt werden kann, dass das Ergebnis dem von dem Transaktionsterminal empfangenen verschlüsselten Stimulationssignal entspricht, gilt das Transaktionsterminal gegenüber dem Datenträger als authentisiert, da es den Besitz des Geheimnisses nachweisen konnte.
  • Eine Authentifizierung des Telekommunikationsendgeräts gegenüber dem Transaktionsterminal kann in umgekehrter Weise ebenfalls durch ein Challenge-Response-Verfahren durchgeführt werden. Ebenso ist es möglich, dass sich der Nutzer durch bekannte Mechanismen gegenüber dem Datenträger und/oder gegenüber dem Terminal authentisiert.
  • Erfindungsgemäß wird das Stimulationssignal an das Transaktionsterminal gesendet und dort von einer Wiedergabeeinrichtung des Transaktionsterminals wiedergegeben. Daneben ist es aber auch möglich, dass das Stimulationssignal direkt von dem Telekommunikationsendgerät wiedergegeben wird. Bei dieser Variante basiert die Challenge-Response-Authentisierung des Transaktionsterminals gegenüber dem Endgerät bzw. Datenträger dann auf einer von dem Endgerät an das Terminal geschickten Zufallszahl.
  • Das Stimulationssignal ist ein Datensignal, welches von der Wiedergabeeinrichtung derart interpretiert werden kann, dass sich eine Abfolge von visuellen, auditiven, haptischen oder anderweitig von dem Nutzer wahrnehmbaren und in seinem EEG sich widerspiegelnden Stimuli ergibt, beispielsweise in Form von Einzelbildern, einer Bewegbildsequenz, einer Ton- oder Musiksequenz, lesbarer oder hörbarer Sprache oder Symbole oder als Folge taktiler
  • Eindrücke. Selbstverständlich sind auch beliebige Kombinationen all dieser Stimulationsarten möglich. Die Wiedergabeeinrichtung, entweder als Bestandteil des Transaktionsterminals oder des Telekommunikationsendgeräts, umfasst dann geeignete Wiedergabemittel, beispielsweise eine Anzeigeeinrichtung in Form eines Bildschirms oder Displays, einen geeigneten Lautsprecher oder eine Vibrationseinrichtung, zur Wiedergabe haptischer Stimuli.
  • Zur zufälligen Auswahl oder Erzeugung von Stimulationssignalen gibt es zwei bevorzugte Varianten. Einerseits kann eine Vielzahl von Stimulationssignalen mit den jeweils zugehörigen EEG-Referenzsignalen in dem Speicher des Datenträgers abgelegt und aus diesem Pool ein Stimulationssignal zufällig ausgewählt werden, um dieses wiederzugeben.
  • Gemäß einer zweiten Variante werden in dem Speicher des Datenträgers keine vollständigen Stimulationssignale, sondern lediglich Stimulationsteilsignale abgelegt, denen jeweils ein zugehöriges EEG-Referenzteilsignal zugeordnet ist. Beim Bereitstellen eines Stimulationssignals zur Wiedergabe kombiniert die Steuereinrichtung des Datenträgers aus den vorhandenen Stimulationsteilsignalen ein vollständiges Stimulationssignal und erzeugt das zugehörige EEG-Referenzsignal aus denjenigen EEG-Referenzteilsignalen, die zu den verwendeten Stimulationsteilsignalen gehören.
  • Die abgespeicherten Stimulationssignale bzw. die durch Kombination von Stimulationsteilsignalen erzeugten Stimulationssignale werden hierbei derart erzeugt, dass dem Nutzer bei deren Wiedergabe charakteristische Stimulusübergänge, Stimuluskontraste, erwartbare oder unerwartbare Stimuli, angenehme oder unangenehme Stimuli, bekannte oder unbekannte Stimuli oder dergleichen angeboten werden. Ganz allgemein werden die Stimulationssignale derart erzeugt, dass sie bei dem Nutzer im Rahmen der Wiedergabe in dem aufgezeichneten EEG-Vergleichssignal feststellbare charakteristische Signalformen hervorrufen, wie zum Beispiel die im Rahmen von ereigniskorrelierten Potentialen in einem Elektroenzephalogramm feststellbare P300 Modalität oder dergleichen.
  • Bei der zufälligen Kombination von Stimulationsteilsignalen werden vorzugsweise solche Stimulationsteilsignale ausgewählt, die die genannten Stimuli bei dem Nutzer hervorrufen. Die Erzeugung des zugehörigen EEG-Referenzsignals aus den jeweils zugeordneten EEG-Referenzteilsignalen erfolgt dann derart, dass die ausgewählten EEG-Stimulationsteilsignale den betreffenden Stimulationsteilsignalen auch dann noch sinnvoll zuzuordnen sind, wenn diese in eine größere Abfolge von Teilsignalen im Rahmen eines vollständigen Stimulationssignals eingebettet sind.
  • Stimulationssignale bzw. Stimulationsteilsignale, die sich zur Kombination eignen, werden vorzugsweise in einer Trainingsphase individuell durch den Nutzer aufgezeichnet, beispielsweise unmittelbar bei der Herausgabe des portablen Datenträgers an den Nutzer oder später im privaten Umfeld. Diese Trainingsphase kann entweder in einer von dem Hersteller oder Herausgeber des Datenträges überwachten Weise erfolgen oder von dem Nutzer selbständig vorgenommen werden, beispielsweise mittels eines privaten Computersystems bei einer Initialisierung oder Individualisierung des Datenträgers oder dessen Steuereinrichtung.
  • Gemäß einer besonders bevorzugten Ausführungsform der vorliegenden Erfindung wird der Prozess des Bereitstellens bzw. Erzeugens des Stimulationssignals, des Wiedergebens des Stimulationssignals durch die Wiedergabeeinrichtung, des Aufzeichnens des EEG-Vergleichssignals und des Vergleichens des EEG-Vergleichssignals mit dem betreffenden EEG-Referenzsignal im Wesentlichen in Echtzeit durchgeführt. Das heißt, in dem Augenblick, in dem das Stimulationssignal wiedergegeben wird, liegen der Steuereinrichtung des Datenträgers bereits sinnvolle Vergleichsergebnisse vor, so dass das Stimulationssignal abhängig von diesen Vergleichsergebnissen während des Wiedergebens dynamisch von der Steuereinrichtung des Datenträgers geändert werden kann. Eine solche Änderung kann beispielsweise dann notwendig sein, wenn bei dem Vergleich eines Abschnitts des EEG-Vergleichssignals mit dem entsprechenden Abschnitt des EEG-Referenzsignals festgestellt wird, dass der Nutzer unaufmerksam war und deshalb die Wiedergabe des Stimulationssignals zumindest teilweise wiederholt werden muss, um aussagefähigere Ergebnisse zu erreichen.
  • Die im Rahmen des Vergleichs des EEG-Vergleichssignals mit dem EEG-Referenzsignal von der Steuereinrichtung zu prüfenden Kriterien können beispielsweise das Auftreten der P300-Signalform an im Wesentlichen übereinstimmenden zeitlichen Positionen in beiden Signalen betreffen. Darüber hinaus können auch analytische Vergleiche der vollständigen oder abschnittsweisen Signale mittels Zeit-/Frequenzanalyse und Signaltransformationen erfolgen, die im EEG-Vergleichssignal ereigniskorrelierte EEG-Potentiale ermitteln und mit den entsprechenden Strukturen des korrespondierenden EEG-Referenzsignals vergleichen.
  • Sämtliche Datenübertragungskanäle zwischen den einzelnen Komponenten des Transaktionssystems sind vorzugsweise kabellos ausgestaltet und kryptographisch geschützt, beispielsweise mit Hilfe von Sitzungsschlüsseln.
  • Der Datenträger ist vorzugsweise eine SIM- oder USIM-Mobilfunkkarte, die in ein mobiles Telekommunikationsendgerät in Form eines Mobilfunkgeräts, Tablet-Computers oder dergleichen einsetzbar ist. Bei dem Datenträger kann es sich aber auch um eine Speicherkarte, sichere Multimediakarte, Chipkarte oder SmartCard handeln, die eigene Rechen- und Speicherkapazitäten aufweist und mit einem Chipkartenbetriebssystem ausgestattet ist.
  • Das Transaktionsterminal wiederum ist vorzugsweise ein Verkaufsterminal, zum Beispiel ein Fahrkarten- oder Warenautomat, oder ein für Online-Geschäfte ausgelegtes, öffentlich installiertes Computersystem oder ein Heimcomputer des Nutzers, der Banking-, Online-Handels- oder sonstige Transaktionen über das Internet unterstützt.
  • Zur Aufzeichnung der EEG-Vergleichssignale ist der EEG-Sensor geeignet an dem Nutzer angebracht, zum Beispiel in Form eines Kopfbandes, und umfasst eine Datenkommunikationseinrichtung zur Weiterleitung der EEG-Vergleichssignale an das Endgerät.
  • Weitere Merkmale und Vorteile der Erfindung ergeben sich aus der folgenden Beschreibung verschiedener erfindungsgemäßer Ausführungsbeispiele und Ausführungsalternativen im Zusammenhang mit den begleitenden Zeichnungen. Darin zeigen:
    • 1 ein Flussdiagramm des erfindungsgemäßen Freigabeverfahrens;
    • 2 eine schematische Darstellung eines erfindungsgemäßen Transaktionssystems mit einem erfindungsgemäß ausgestatteten Telekommunikationsendgerät und einem Transaktionsterminal; und
    • 3 eine bevorzugte Ausführungsform einer Authentisierung des Terminals gegenüber dem Endgerät.
  • Die 1 und 2 stellen einander ergänzend die Erfindung dar, einmal in Form von Verfahrensschritten und einmal als strukturelle Anordnung. Beide Figuren werden nachfolgend parallel beschrieben.
  • Die Messung von EEG-Aktivitäten einer Person kann zur Identifikation der betreffenden Person herangezogen werden, da in einem Elektroenzephalogramm (EEG) sogenannte ereigniskorrelierte Potentiale personenindividuell auftreten und ausgewertet werden können. Derartige Potentiale treten in dem EEG-Signal der Person nämlich korreliert zu besonderen Sinneswahrnehmungen und insbesondere bei kognitiver Aufmerksamkeit und Konzentration des Nutzers auf adäquate Sinnesreize auf. Die den detektierten Potentialen zugrundeliegende Konzentration kann als Willenserklärung der Person interpretiert werden und wird durch das in 2 gezeigte erfindungsgemäße Transaktionssystem festgestellt und weiterverarbeitet.
  • Bei dem in 1 skizzierten Verfahren werden diese Zusammenhänge zur Freigabe einer von einem Nutzer 40 gegenüber dem Terminal 30 eingeleiteten Transaktion ausgenutzt. Dazu werden die ereigniskorrelierten Potentiale eines EEG-Vergleichssignals 51 des Nutzers 40 bezüglich der Frage ausgewertet, ob sich daraus eine willentliche Freigabe der Transaktion durch den Nutzer ableiten lässt. Da bei dieser technischen Anwendung jedoch keine genaue Identifikation oder Authentifizierung des Nutzers 40 notwendig bzw. gewünscht ist, sondern lediglich eine Willenserklärung in Form einer Ja/Nein-Information abgeleitet werden soll, ist es erfindungsgemäß möglich, die Erzeugung und Auswertung der entsprechenden Signale mit der Rechen- und Speicherkapazität eines portablen Datenträgers in Form einer sicheren Speicherkarte, Chipkarte oder SmartCard und insbesondere einer (U)SIM-Mobilfunkkarte 20 durchzuführen, die in ein Mobilfunkendgerät 10 eingesetzt ist.
  • Die Auswertung von EEG-Vergleichssignalen 51 des Nutzers 40 basiert auf dem Ansatz, dass dem Nutzer 40 bestimmte perzeptive Sinnesreize in Form von wiedergegebenen Stimulationssignalen 26 präsentiert werden, beispielsweise visuelle, auditive oder taktile Reize, auf die er in Form von ereigniskorrelierten und messbaren Potentialen reagiert.
  • Die betreffende Transaktion wird mit Schritt S1 dadurch eingeleitet, dass der Nutzer 40 an dem Transaktionsterminal 30 Transaktionsdaten eingibt, z.B. über eine Eingabeeinrichtung 33 in Form eines Tastaturfelds. Die Transaktionsdaten definieren die gewünschte Transaktion und spezifizieren beispielsweise ein Produkt oder eine Dienstleistung oder eine Bezahlinformation, wie z.B. eine Kontonummer oder Kreditkarte. Nachdem der Nutzer 40 die eingeleitete Transaktion freigegeben hat, wird die Transaktion (anschließend an den Schritt S13 der 1) von dem Terminal 30 und/oder einer nachgeschalteten Infrastruktur ausgeführt, indem die Ware oder Dienstleistung angefordert und bereitgestellt und der Gegenwert von einem Konto des Nutzers 40 eingezogen wird.
  • Das Transaktionsterminal 30 kann hierbei eine beliebige Vorrichtung sein, die die Transaktionsdaten des Nutzers 40 entgegennehmen und in Form eines Geschäftsvorgangs umsetzen kann. Neben herkömmlichen Verkaufsautomaten, zum Beispiel für beliebige Kleinprodukte oder Fahrkarten, kann das Transaktionsterminal 30 auch ein internetfähiger Computer oder ein Mobilfunktelefon, Tablet-Computer, PDA, Handheld-Computer oder dergleichen sein, der es dem Nutzer 40 erlaubt, Geschäftsvorgänge gegenüber entsprechend eingerichteten Webservern vorzunehmen, beispielsweise Banktransaktionen gegenüber einer Banking-Website, Kaufs- oder Verkaufstransaktionen gegenüber Online-Handelsplattformen oder Internet-Marktplätzen oder auch Transaktionen im Rahmen sozialer Netzwerke.
  • Das Terminal 30 umfasst in der in 2 dargestellten Ausgestaltung eine Wiedergabeeinrichtung, umfassend ein Display 31 und einen Lautsprecher 32, sowie eine Eingabeeinrichtung 33, eine Steuereinheit 34, einen Mikrocontroller 35 und einen möglichst abgesicherten Speicher 36. Die Steuereinheit 34 ist vorzugsweise eine von dem Mikrocontroller 35 ausgeführte Software, z.B. als Bestandteil eines Betriebssystems oder einer Firmware des Terminals 30.
  • Danach wird in Schritt S2 eine sichere Datenverbindung zwischen dem Endgerät 10 und dem Terminal 30 aufgebaut. Diese kann auf Seiten des Endgeräts 10 entweder von einer Steuerung (nicht dargestellt) des Endgeräts 10 oder der Steuereinrichtung 22 des Datenträgers 20 in Wechselwirkung mit der Steuereinheit 34 des Terminals 30 aufgebaut werden. Vorzugsweise wird hier ein kryptographisch gesicherter Datenübertragungskanal eingerichtet, beispielsweise mittels Aushandeln von Sitzungsschlüsseln und einer entsprechend verschlüsselten Datenübertragung. In aller Regel sollte die Datenkommunikationsverbindung zwischen dem Mobilfunkendgerät 10 und dem Terminal 30 drahtlos sein, beispielsweise mittels üblicher Technologien, wie zum Beispiel WLAN, Bluetooth, ZigBee oder dergleichen.
  • Vorzugsweise wird an dieser Stelle mit Schritt S3 eine Authentifizierung bzw. Identifizierung der einzelnen Teilnehmer des Freigabeverfahrens nach 1 durchgeführt. So kann sich beispielsweise die Mobilfunkkarte 20 und auch deren Nutzer 40 gegenüber dem Terminal 30 bzw. dessen Steuereinheit 34 identifizieren. In der Regel ist es vorgesehen, dass sich der Nutzer 40 direkt gegenüber dem Terminal 30 authentisiert, beispielsweise durch Eingabe einer Identifikationsnummer (PIN) oder eines Passwortes, so dass die Steuereinheit 34 dann eine weitere Sicherheitsabfrage dahingehend vornehmen kann, ob die ermittelte Identität des Nutzers 40 mit der Identifizierung der Mobilfunkkarte 20 übereinstimmt.
  • Die zuvor beschriebene Absicherung der Datenverbindung kann sowohl im Zusammenhang mit deren Einrichtung in Schritt S2 erfolgen oder auch erst nach der wechselseitigen Authentisierung in einem separaten Schritt S4.
  • Die Authentisierung des Terminals 30 bzw. der Steuereinheit 34 gegenüber dem Datenträger 20 bzw. dessen Steuereinrichtung 22 wird mittels eines Challenge-Response-Verfahrens durchgeführt, so wie in 3 skizziert. Der Ausgangspunkt ist ein von der Steuereinrichtung 22 zufällig erzeugtes Datum oder Signal, welches entweder eine herkömmliche Zufallszahl sein kann oder auch das in Schritt S5 zufällig ausgewählte oder erzeugte Stimulationssignal 26, welches in Schritt S6 von dem Endgerät 10 an das Terminal 30 übertragen wird. Insofern können die Schritte S3 bis S6 der 1 auch in einer anderen technisch sinnvollen Reihenfolge ausgeführt werden.
  • In dem Ausführungsbeispiel der 3 entsprechen die Schritte des Erzeugens eines Zufallsdatums (Schritt S31) und des Übertragens des Zufallsdatums an das Terminal 30 (Schritt S32) den Schritten S5 und S6 der 1. Somit wird das Stimulationssignal 26 (SIG) in Schritt S31/S5 in zufälliger Weise erzeugt und an das Terminal 30 in Schritt S32/S6 übertragen. Das Terminal 30 verschlüsselt in Schritt S33 das empfangene zufällige Stimulationssignal 26 (ENC(SIG, SEC)) mit einem in dem Speicher 36 abgelegten Geheimnis 37 (SEC) und schickt das derart verschlüsselte Stimulationssignal 26 (SIGSEC) in Schritt S34 zurück an das Mobilfunkendgerät 10. Dort wird in Schritt S35 das verschlüsselte Stimulationssignal 26 mit dem im Mobilfunkkarten-Speicher 24 abgelegten Geheimnis 25 entschlüsselt (DEC(SIGSEC, SEC)) und mit dem ursprünglich in Schritt S31 erzeugten Stimulationssignal 26 in Schritt S36 verglichen. Sofern die beiden Signale übereinstimmen gilt das Terminal 30 als authentifiziert, denn es hat den Besitz des Geheimnisses 37 korrekt nachgewiesen.
  • In einer Variante des Authentisierungsverfahrens nach 3 kann im Prüfschritt S36 auch das in Schritt S31 erzeugte Stimulationssignal 26 mit dem im Kartenspeicher 24 liegenden Geheimnis 25 verschlüsselt und die beiden verschlüsselten Stimulationssignale dann verglichen werden. Auch ist es möglich, zur weiteren Erhöhung der Sicherheit das verschlüsselte Stimulationssignal 26 in Schritt S33 mit einer Hash-Funktion zusätzlich zu transformieren und in Schritt S36 die gleiche Hash-Funktion auf das mit dem Geheimnis 25 verschlüsselte, in Schritt S31 erzeugte Stimulationssignal 26 anzuwenden. Selbstverständlich kann sich in der gleichen Weise auch das Endgerät 10 bzw. die Mobilfunkkarte 20 gegenüber dem Terminal 30 authentisieren.
  • In dem Speicher 24 der Mobilfunkkarte 20 ist ein Pool von Stimulationsdaten und zugehörigen EEG-Referenzdaten des Nutzers 40 angelegt. Aus den dort abgelegten Stimulationsdaten wird von der Steuereinrichtung 22 mittels eines Zufallsprozesses dasjenige Stimulationssignal 26 abgeleitet bzw. erzeugt, das in Schritt S7 von der Wiedergabeeinrichtung 31, 32 des Terminals 30 oder (oder alternativ von der Wiedergabeeinrichtung 11, 12 des Endgeräts 10) wiedergegeben wird.
  • Ein solches Stimulationssignal 26 besitzt ein Datenformat, das von der Wiedergabeeinrichtung 31, 32 des Terminals 30 bzw. von dessen Steuereinheit 34 als visuelle, auditive, taktile oder anderweitig von dem Nutzer 40 wahrnehmbare Stimuli interpretiert werden kann. Insbesondere kann das Stimulationssignal 26 in Form einer Einzelbildfolge, beispielsweise in verschiedenen Farben und stimulierenden Bildern oder als Bewegbildfolge ausgestaltet sein, die über ein Display 31 des Terminals 30 (oder über ein Display 11 des Endgeräts 10) angezeigt werden können. Im Falle von alternativen oder zusätzlichen Ton- oder Musikfolgen sind die Stimulationssignale 26 derart ausgestaltet, dass sie von einem Lautsprecher 32 (bzw. einem Lautsprecher 12) wiedergegeben werden können. Dies gilt auch für Stimulationssignale 26, die bei der Wiedergabe auf dem Display 31 lesbare oder über den Lautsprecher 32 hörbare Sprache oder Symbole repräsentieren. Taktile Eindrücke werden über spezielle Ausgabeeinrichtungen wiedergegeben, beispielsweise separate oder in die Wiedergabeeinrichtung 31, 32 integrierte Vibrationselemente oder dergleichen. Darüber hinaus ist es prinzipiell auch möglich, einfache olfaktorische Reize über das Stimulationssignal 26 und eine entsprechende Ausgabeeinrichtung des Terminals 30 zu vermitteln.
  • Bei der Wiedergabe eines solchen Stimulationssignals 26 in Schritt S7 erfährt der Nutzer 40 eine perzeptive Stimulanz, beispielsweise durch das Anschauen oder Anhören von ihm erwarteter oder nicht erwarteter Bild-/Tonfolgen oder angenehmen oder unangenehmen oder auch bekannten oder unbekannten Bild-/Tonfolgen, die als ereigniskorrelierte Potentiale in einem EEG-Vergleichssignal 51 detektierbar sind. Die Stimuli können hierbei universell oder auf den jeweiligen Nutzer 40 adaptiert sein. Beispielsweise können rotgelbe Gegenstände vor einem dunklen Hintergrund an- und ausgeschaltet werden oder Gegenstände in einer Lieblingsfarbe des Nutzers 40. Ähnlich verhält es sich bei Tonfolgen, die harmonisch, dissonant, laut oder leise, angenehm oder unangenehm sein und entsprechende ereigniskorrelierte Potentiale hervorrufen können.
  • Darüber hinaus kann bei dem Nutzer 40 auch eine bestimmte Erwartung erzeugt werden, die mit der Wiedergabe des Stimulationssignals 26 in Schritt S7 entweder erfüllt oder missachtet wird. Auch dies führt zu messbaren ereigniskorrelierten Potentialen in dem EEG-Vergleichssignal 51. Dem Nutzer 40 kann beispielsweise eine bekannte Melodie per Lauftext angekündigt werden, woraufhin diese Melodie dann tatsächlich gespielt oder gerade nicht gespielt wird. Auch können auf dem Endgerät 10 abgespeicherte private Bilder des Nutzers 40, beispielsweise Urlaubsfotos, angekündigt und dann angezeigt oder eben nicht angezeigt und durch abstrakte Bilder ersetzt werden. Es ist auch möglich, dem Nutzer 40 bekannte Informationen anzuzeigen, beispielsweise seinen Vor- oder Nachnamen, oder kleine Denksportaufgaben oder optische Täuschungen zu präsentieren. Die Erzeugung oder Auswahl eines Stimulationssignals 26 in Schritt S5 erfolgt in jedem Falle derart, dass der Nutzer 40 bei deren Wahrnehmung in Schritt S7 zur Konzentration angeregt wird, so dass die ereigniskorrelierten Potentiale in dem EEG-Vergleichssignal 51 auch ausreichend deutlich auftreten, um sie als bewusste Freigabe interpretieren zu können.
  • Die Bereitstellung des Stimulationssignals 26 in Schritt S5 kann basierend auf den Stimulationsdaten in dem Pool prinzipiell auf zwei verschiedene Weisen erfolgen. Einerseits können in dem Pool im Speicher 24 zuvor in einer Trainingsphase ausgewählte vollständige Stimulationssignale 26 zusammen mit jeweils zugehörigen EEG-Referenzsignalen 27 abgelegt sein, wobei die EEG-Referenzsignale 27 im Rahmen der Trainingsphase mittels eines EEG-Sensors am Nutzer 40 aufgezeichnet wurden, während dieser das zugehörige Stimulationssignal 26 wahrgenommen hat. Von einer möglichst großen Anzahl von abgespeicherten Stimulationssignal/Referenzsignal-Paaren wird dann eines zufällig ausgewählt und an das Terminal 30 zur Wiedergabe übertragen.
  • Daneben können in der Trainingsphase auch lediglich Stimulationsteilsignale oder Stimulationssignalabschnitte zusammen mit zugehörigen EEG-Referenzteilsignalen oder EEG-Referenzsignalabschnitten aufgezeichnet und in dem Speicher 24 abgelegt werden. Das zufällige Bereitstellen eines vollständigen Stimulationssignals 26 in Schritt S5 besteht dann darin, aus diesen Stimulationsteilsignalen eine geeignete Anzahl zufällig auszuwählen und diese in zufälliger oder geeigneter Weise zu einem vollständigen Stimulationssignal 26 zu kombinieren. Aus den jeweils zugehörigen EEG-Referenzteilsignalen wird dann das dem kombinierten Stimulationssignal 26 zugehörige EEG-Referenzsignal 27 erzeugt, beispielsweise indem die ausgewählten EEG-Referenzteilsignale in derselben Art und Weise kombiniert werden, wie die zugehörigen Stimulationsteilsignale. Hierbei ist es vorteilhaft, wenn die ausgewählten Stimulationsteilsignale bereits aus sich heraus und unabhängig von anderen Stimulationsteilsignalen ein ereigniskorreliertes Potential erzeugen können, beispielsweise indem sie einen besonderen Stimuluskontrast, Stimulusübergang oder Stimulusgradient aufweisen. Im einfachsten Falle sieht die Kombination von Stimulationsteilsignalen und die entsprechende Kombination der zugehörigen EEG-Referenzteilsignale derart aus, dass jedes Stimulationsteilsignal ein eigenes und individuelles ereigniskorreliertes Potential im EEG-Vergleichssignal 51 hervorruft und dieses Potential über das zugehörige EEG-Referenzteilsignal in das zugehörige EEG-Referenzsignal 27 eingebracht wird.
  • Die Trainingsphase kann entweder vom Nutzer 40 selbst gestaltet werden, zum Beispiel mittels einer geeigneten Software auf seinem eigenen PersonalComputer, oder im Rahmen einer Initialisierung oder Individualisierung der Mobilfunkkarte 20 beim Kartenherausgeber bzw. Kartenhersteller. Der Nutzer 40 hat jeweils die Möglichkeit, die in dem Speicher 24 befindlichen Stimulationssignale 26 oder Stimulationsteilsignale in gewissem Umfang selbst auszuwählen oder vorzugeben, beispielsweise indem er vorab ein oder zwei Lieblingsfarben, Lieblingsmelodien, Lieblingsinstrumente oder dergleichen angibt, sowie bevorzugte Symbole oder Begriffe. Diese audiovisuellen Stimuli werden dann beispielsweise in wenig oder nicht stimulierende Signalabschnitte eingebettet und dem Nutzer 40 zur Aufnahme der EEG-Referenzsignale angeboten.
  • Während der Wiedergabe des Stimulationssignals 26 in Schritt S7 zeichnet der EEG-Sensor 50 in Schritt S8 die EEG-Reaktion des Nutzers 40 auf die Wahrnehmung des Stimulationssignals 26 in Form des EEG-Vergleichssignals 51 auf. Das aufgezeichnete Vergleichssignal 51 wird dann in Schritt S9 an das Endgerät 10 und weiter an die Mobilfunkkarte 20 und deren Steuereinrichtung 22 übertragen. Die Datenkommunikationsverbindung zwischen dem EEG-Sensor 50 und dem Endgerät 10, welches im Hinblick auf die Mobilfunkkarte 20 hier lediglich als Datenkommunikationsschnittstelle fungiert, ist kabellos ausgestaltet, beispielsweise über Bluetooth, WLAN oder dergleichen. Auch diese Datenübertragungsverbindung kann kryptographisch gesichert sein, beispielsweise über zuvor vereinbarte symmetrische Schlüssel. Dies verhindert, dass ein etwaiger Angreifer in den Besitz von EEG-Vergleichssignalen 51 gelangt. Angriffe auf das Endgerät 10 z.B. mit einer Trojaner-Software lassen sich so wirkungsvoll verhindern. Ebenso werden auf diese Weise Angriffe mit zuvor aufgezeichneten EEG-Vergleichssignalen, als auch mögliche Angriffe basierend auf synthetisch erzeugten EEG-Vergleichssignalen verhindert, z.B. Replay-Angriffe oder dergleichen.
  • In Schritt S10 wird schließlich das empfangene EEG-Vergleichssignal 51 von der Steuereinrichtung 22 hinsichtlich der Frage ausgewertet, ob darin eine Willenserklärung des Nutzers 40 liegt, die eingeleitete Transaktion freizugeben.
  • Die hierfür erforderliche Rechenleistung wird von dem Prozessor 21 der Mobilfunkkarte 20 zur Verfügung gestellt, der von der Steuereinrichtung 22 bzw. dem Karten-Betriebssystem 23 aufgesetzte Prozesse ausführt. Die Steuereinrichtung 22 kann hierbei Bestandteil des Betriebssystems 23 sein oder ein separates Softwaremodul, das im Anschluss an die Herstellung der Mobilfunkkarte 20 aufgespielt wurde. Insbesondere stellt die Kombination aus Steuereinrichtung 22 und Betriebssystem 23 einen besonders abgesicherten Bereich der Mobilfunkkarte 20 zur Verfügung, etwa im Rahmen des MobiCore®-Betriebssystems der Anmelderin. In diesem Zusammenhang kann das Betriebssystem 23 derart ausgestaltet sein, dass es auch die Rechenleistung eines Prozessors (nicht dargestellt) des Endgeräts 10 nutzen kann. Die in der Mobilfunkkarte 20 bereitgestellte Sicherheitsumgebung ist derart ausgestaltet, dass die in dem Speicher 24 hinterlegten EEG-Referenzsignale 27 bzw. EEG-Referenzteilsignale (sowie auch das Geheimnis 25) diesen niemals verlassen und etwaige Vergleichsoperationen zwischen Vergleichssignalen 51 und Referenzsignalen 27 ausschließlich innerhalb dieser Sicherheitsumgebung durchgeführt werden. Die Absicherung ist so ausgestaltet, dass Angriffe von außerhalb, beispielsweise mittels einer Trojaner-Software, nicht möglich sind.
  • Bei der Auswertung gemäß Schritt S10 wird im Wesentlichen überprüft, ob solche ereigniskorrelierten Potentiale, die in dem zu dem Stimulationssignal 26 zugehörigen EEG-Referenzsignal 27 auftreten, auch in dem EEG-Vergleichssignal 50 erkennbar sind. Derartige Potentiale können beispielsweise die sogenannte P300-Modalität sein, also ein ausgeprägtes positives Maximum in dem Signal etwa 300 ms nach der Wiedergabe eines stimulierenden Reizes. Diese und weitere besondere Signalformen können in den Referenz- und Vergleichssignalen 27, 51 mittels Methoden der Zeit-/Frequenzanalyse und entsprechenden Signaltransformationen ermittelt werden, beispielsweise mittels der Wavelet-Transformation oder dergleichen.
  • Gemäß einem Ausführungsbeispiel wird in Schritt S10 das empfangene EEG-Vergleichssignal 51 wie beschrieben ausgewertet. Abhängig davon, ob der Vergleich mit dem EEG-Referenzsignal 26 positiv oder negativ ausgefallen ist, wird dann in Schritt S12 die willentliche Freigabe der eingeleiteten Transaktion durch den Nutzer 40 festgestellt und in Schritt S13 von der Steuereinrichtung 22 die Übertragung eines Freigabesignals an das Terminal 30 in veranlasst, woraufhin die betreffende Transaktion schließlich ausgeführt wird.
  • Demgegenüber umfasst die in 1 konkret gezeigte Ausführungsform eine Schleife von Schritt S11 zurück auf Schritt S6. Bei dieser Ausführungsform wird der gesamte Signalweg von der Mobilfunkkarte 20 über das Endgerät 10 zum Terminal 30, weiter über eine audiovisuelle Ausgabe zum Nutzer 40 und über den EEG-Sensor 50 in Form eines EEG-Vergleichssignals 51 zurück zum Endgerät 10 und der Mobilfunkkarte 20 weitgehend in Echtzeit zurückgelegt. Das heißt, dass Übertragung und Wiedergabe des Stimulationssignals 26 möglichst unmittelbar und ohne Zwischenspeicherung oder sonstige Zeitverzögerungen erfolgen und noch während der Wiedergabe eine Rückmeldung zu der Steuereinrichtung 22 in Form des EEG-Vergleichssignals 51 erfolgt. Auf diese Weise „weiß“ die Steuereinrichtung 22 immer, welcher Abschnitt des Stimulationssignals 26 gerade wiedergegeben wird und kann nach der Auswertung in Schritt S11 das Stimulationssignal 26, welches dann aufgrund der in 1 angedeuteten Schleife kontinuierlich weiter an das Terminal 30 übertragen wird, geeignet an die bisher ermittelten Vergleichsergebnisse im Rahmen des Auswertungsschrittes 10 anpassen.
  • Bei dieser Ausführungsform wird die genaue Gestalt und Abfolge des Stimulationssignals 26 also nicht in Schritt S5 abschließend bestimmt, sondern das Stimulationssignal 26 ist Ergebnis eines dynamischen Anpassungsprozesses aufgrund der Rückkopplung über das zugehörige EEG-Vergleichssignal 51.
  • Auf diese Weise kann das Stimulationssignal 26 in Echtzeit an ein bestimmtes Konzentrationsniveau des Nutzers 40 angepasst werden, zum Beispiel können deutlichere oder andere Stimuli in das Stimulationssignal 26 eingebracht werden, falls sich aus dem EEG-Vergleichssignal 51 entnehmen lässt, dass der Nutzer 40 unaufmerksam oder abgelenkt ist. Falls sich zum Beispiel ein im Referenzsignal 27 vorhandenes ereigniskorreliertes Potential im Vergleichssignal 51 nicht auffinden lässt, kann dem Nutzer 40 eine weitere Möglichkeit geboten werden, nochmals von neuem oder auf andere Weise seine beabsichtigte Willenserklärung zum Ausdruck zu bringen. Zum Beispiel wird für eine bis drei Sekunden ein Stimulationssignal 26 wiedergegeben, welches keinen Reiz auslösen soll und im direkten Anschluss ein deutlicher Reizstimulus angesetzt. Dieser Vorgang kann einige Male wiederholt werden, so dass sich entweder dem EEG-Vergleichssignal 51 dann das gewünschte Potential entnehmen lässt (Schritt S12) oder das Verfahren abgebrochen wird, weil der Nutzer 40 entweder keine Willenserklärung abgibt oder ein Betrugsversuch vorliegt. Die maximale Anzahl an Wiederholungen ist hierbei jedoch sehr gering, um Relay-Angriffe möglichst auszuschließen.
  • Bei einem Relay-Angriff befindet sich ein Angreifer anstelle des Nutzers bei dem Terminal 30 und leitet das ankommende Stimulationssignal 26 an eine entfernte Stelle weiter, an der sich der Nutzer 40 zu diesem Zeitpunkt befindet. Von dem Nutzer 40 müsste dann ein EEG-Vergleichssignal 51 in genau dem Augenblick abgegriffen werden, in dem das Stimulationssignal 26 von der Wiedergabeeinrichtung 31, 32 des Terminals 30 wiedergegeben wird. Dies ist jedoch unmöglich, denn einerseits müsste sich der Nutzer 40 auf die Wiedergabe des (entwendeten) Stimulationssignals 26 konzentrieren, andererseits dürfte er dies aber nicht bemerken. Insofern kann die Erfindung Relay-Angriff weitgehend ausschließen.
  • Sobald in Schritt S12 eine Freigabe bzw. gültige Willenserklärung des Nutzers 40 vorliegt, wird die Steuereinheit 34 über den Mikrocontroller 35 des Terminals 30 die abschließenden Schritte veranlassen, also z.B. die Warenausgabe und eine elektronische Zahlung veranlassen.
  • Abschließend werden die bevorzugten Ausführungsformen der Erfindung in den nachfolgenden Absätzen noch einmal strukturiert zusammengefasst.
    1. 1. Verfahren zum Freigeben (S13) einer von einem Nutzer (40) auf einem Transaktionsterminal (30) eingeleiteten Transaktion (S1) über ein mobiles Telekommunikationsendgerät (10) des Nutzers (40), umfassend die Schritte:
      • - Wiedergeben (S7) eines von dem Endgerät (10) bereitgestellten Stimulationssignals (26) in einer für den Nutzer (40) wahrnehmbaren Weise;
      • - Aufzeichnen (S8) eines EEG-Vergleichssignals (51) des Nutzers (40) während eines Wahrnehmens des wiedergegebenen Stimulationssignals (26) durch den Nutzer (40);
      • - Vergleichen (S10, S12) des EEG-Vergleichssignals (51) mit einem in dem Endgerät (10) gespeicherten EEG-Referenzsignal (27), das dem Stimulationssignal (26) zugeordnet ist, durch das Endgerät (10); und
      • - Freigeben (S13) der eingeleiteten Transaktion durch das Endgerät (10), wenn das EEG-Vergleichssignal (51) und das EEG-Referenzsignal (27) gemäß vorgegebenen Kriterien einander im Wesentlichen entsprechen.
    2. 2. Verfahren nach Absatz 1, wobei das Endgerät (10) durch Vergleichen (S10, S12) des EEG-Vergleichssignals (51) und des EEG-Referenzsignals (27) eine unwillkürliche Reaktion des Nutzers (40) auf das wiedergegebene Simulationssignal (26) feststellt (S12) und diese als willentliche Freigabe der eingeleiteten Transaktion durch den Nutzer (40) weiterverarbeitet (S13).
    3. 3. Verfahren nach Absatz 1 oder 2, wobei das Endgerät (10) das bereitzustellende Stimulationssignal (26) nach dem Zufallsprinzip auswählt oder erzeugt (S5).
    4. 4. Verfahren nach einem der Absätze 1 bis 3, wobei das Endgerät (10) das bereitgestellte Stimulationssignal (26) an das Terminal (30) überträgt und das Terminal (30) das Stimulationssignal (26) derart wiedergibt (S7), dass der Nutzer (40) es wahrnehmen kann.
    5. 5. Verfahren nach Absatz 4, wobei das Terminal (30) das empfangene Stimulationssignal (26) mit einem Geheimnis (37) verschlüsselt (S33) und an das Endgerät (10) zurückschickt (S34) und das Endgerät (10) das Terminal (30) anhand des empfangenen, verschlüsselten Stimulationssignals (26) authentifiziert (S36), bevor die Transaktion freigegeben wird (S13).
    6. 6. Verfahren nach einem der Absätze 1 bis 3, wobei das Endgerät (10) das bereitgestellte Stimulationssignal (26) derart wiedergibt (S7), dass der Nutzer (40) es wahrnehmen kann.
    7. 7. Verfahren nach einem der Absätze 1 bis 6, wobei das bereitgestellte Stimulationssignal (26) als eine Abfolge von visuellen, auditiven, haptischen oder anderweitig von dem Nutzer (40) wahrnehmbaren Stimuli wiedergegeben wird (S7), insbesondere als Einzel- oder Bewegtbildfolge, Ton- oder Musikfolge, Folge taktiler Eindrücke, lesbare oder hörbare Sprache oder Symbole oder eine beliebige Kombination daraus.
    8. 8. Verfahren nach einem der Absätze 1 bis 7, wobei eine Vielzahl von Stimulationssignalen (26) mit jeweils einem zugeordneten EEG-Referenzsignal (27) des Nutzers (40) auf dem Endgerät (10) gespeichert wird, wobei das Endgerät (10) das wiederzugebende Stimulationssignal (26) aus der Vielzahl von Stimulationssignalen zufällig auswählt (S5) und das aufgezeichnete EEG-Vergleichssignal (51) mit dem zugeordneten EEG-Referenzsignal (27) vergleicht (S10, S12).
    9. 9. Verfahren nach einem der Absätze 1 bis 7, wobei eine Vielzahl von Stimulationsteilsignalen mit jeweils einem zugeordneten EEG-Referenzteilsignal des Nutzers (40) auf dem Endgerät (10) gespeichert wird, wobei das Endgerät (10) das wiederzugebende Stimulationssignal (26) aus Stimulationsteilsignalen zufällig kombiniert (S5) und aus den jeweils zugeordneten EEG-Referenzteilsignalen das dem kombinierten Stimulationssignal (26) zugeordnete EEG-Referenzsignal (27) erzeugt und mit dem aufgezeichneten EEG-Vergleichsignal vergleicht (S10, S12).
    10. 10. Verfahren nach Absatz 8 oder 9, wobei solche Stimulationssignale (26) oder Stimulationsteilsignale auf dem Endgerät (10) abgespeichert werden oder ein solches Stimulationssignal (26) aus abgespeicherten Stimulationsteilsignalen kombiniert wird (S5), dass beim Wiedergeben (S7) des Stimulationssignals (26) charakteristische Stimulusübergänge, Stimuluskontraste, vom Nutzer (40) erwartbare oder nicht erwartbare Stimuli, für den Nutzer (40) angenehme oder unangenehmen Stimuli, dem Nutzer (40) bekannte oder unbekannte Stimuli oder solche Stimuli wiedergegeben werden, die bei dem Nutzer (40) eine in dem EEG-Vergleichssignal (51) erkennbare charakteristische Signalform hervorrufen.
    11. 11. Verfahren nach einem der Absätze 8 bis 10, wobei die Vielzahl von Stimulationssignalen (26) mit den jeweils zugeordneten EEG-Referenzsignalen (27) oder die Vielzahl von Stimulationsteilsignalen mit den jeweils zugeordneten EEG-Referenzteilsignalen in einer Trainingsphase aufgezeichnet und auf dem Endgerät (10) abgespeichert werden.
    12. 12. Verfahren nach einem der Absätze 1 bis 11, wobei das Wiedergeben (S7) des Stimulationssignals (26), das Aufzeichnen (S8) des EEG-Vergleichssignals (51) und das Vergleichen (S10, S12) des aufgezeichneten EEG-Vergleichssignals (51) mit dem EEG-Referenzsignal (27) im Wesentlichen in Echtzeit erfolgen.
    13. 13. Verfahren nach Absatz 12, wobei das Stimulationssignal (26) abhängig von dem Vergleichen (S10, S12) des aufgezeichneten EEG-Vergleichssignals (51) mit dem EEG-Referenzsignal (27) während des Wiedergebens (S7) dynamisch geändert wird (S11).
    14. 14. Verfahren nach Absatz 12 oder 13, wobei das Stimulationssignal (26) an ein beim Vergleichen (S10, S12) festgestelltes Konzentrationsniveau des Nutzers (40) dynamisch angepasst wird (S11).
    15. 15. Verfahren nach einem der Absätze 12 bis 14, wobei das Wiedergeben (S7) des Stimulationssignals (26) teilweise wiederholt wird, wenn beim Vergleichen (S10, S12) eine mangelnde Konzentration des Nutzers (40) festgestellt wird.
    16. 16. Verfahren nach einem der Absätze 1 bis 15, wobei beim Vergleichen (S10, S12) des EEG-Referenzsignals (27) und des EEG-Vergleichssignals (51) als vorgegebenes Kriterium geprüft wird, ob charakteristische Signalformen, zum Beispiel eine P300-Signalform, in beiden Signalen an im Wesentlichen gleichen zeitlichen Positionen auftreten.
    17. 17. Verfahren nach einem der Absätze 1 bis 16, wobei sich der Nutzer (40) und/oder das Endgerät (10) gegenüber dem Terminal (30) authentisiert (S3), bevor die Transaktion freigegeben wird.
    18. 18. Verfahren nach einem der Absätze 1 bis 17, wobei zwischen dem Terminal (30) und dem Endgerät (10) ein sicherer Datenübertragungskanal aufgebaut wird (S2), insbesondere ein durch Sitzungsschlüssel kryptographisch gesicherter Datenübertragungskanal.
    19. 19. Verfahren nach einem der Absätze 1 bis 18, wobei das EEG-Vergleichssignal (51) von einem EEG-Sensor (50) erfasst wird (S8), der an dem Nutzer (40) angebracht ist, und über eine kabellose Datenübertragungsverbindung an das Endgerät (10) übertragen wird (S9).
    20. 20. Verfahren nach Absatz 19, wobei das EEG-Vergleichssignal (51) kryptographisch verschlüsselt von dem EEG-Sensor (50) an das Endgerät (10) übertragen wird (S9).
    21. 21. Verfahren nach einem der Absätze 1 bis 20, wobei die Transaktion freigegeben wird (S13), indem das Endgerät (10) ein Freigabesignal an das Terminal (30) überträgt.
    22. 22. Sicherer Datenträger (20), umfassend eine Steuereinrichtung (22), einem Prozessor (23) und einen Speicher (24), wobei die Steuereinrichtung (22) eingerichtet ist, unter Zugriff auf den Prozessor (23) und den Speicher (24)
      • - ein Stimulationssignal (26) mit einen zugeordneten EEG-Referenzsignal (27) des Nutzers (40) bereitzustellen und über ein mobiles Telekommunikationsendgerät (10), in welches der Datenträger (20) eingesetzt ist, an eine Wiedergabeeinrichtung (11, 12; 31, 32) zu übertragen, zur Wiedergabe des Stimulationssignals (26) durch die Wiedergabeeinrichtung (11, 12; 31, 32) in einer für einen Nutzer (40) des Endgeräts (10) wahrnehmbaren Weise;
      • - ein während des Wahrnehmens des wiedergegebenen Stimulationssignals (26) durch den Nutzer (40) aufgezeichnetes EEG-Vergleichssignal (51) über das Endgerät (10) zu empfangen und mit dem EEG-Referenzsignal (27) zu vergleichen; und
      • - eine Transaktion, die der Nutzer (40) auf einem Transaktionsterminal (30) eingeleitet hat, über das Endgerät (10) freizugeben, wenn das EEG-Vergleichssignal (51) und das EEG-Referenzsignal (27) gemäß einem vorgegebenen Kriterium einander im Wesentlichen entsprechen.
    23. 23. Datenträger (20) nach Absatz 22, wobei die Steuereinrichtung (22) eingerichtet ist, durch Vergleichen des EEG-Vergleichssignals (51) und des EEG-Referenzsignals (27) eine unwillkürliche Reaktion des Nutzers (40) auf das wiedergegebene Simulationssignal (26) festzustellen und diese als willentliche Freigabe der eingeleiteten Transaktion durch den Nutzer (40) weiterzuverarbeiten.
    24. 24. Datenträger (20) nach Absatz 22 oder 23, wobei die Steuereinrichtung (22) eingerichtet ist, das Stimulationssignal (26) bereitzustellen, indem es nach dem Zufallsprinzip ausgewählt oder erzeugt wird.
    25. 25. Datenträger (20) nach einem der Absätze 22 bis 24, wobei in dem Speicher (24) ein Geheimnis (25) gespeichert ist, und die Steuereinrichtung (22) eingerichtet ist, das Stimulationssignal (26) über das Endgerät (10) an eine Wiedergabeeinrichtung (31, 32) des Terminals (30) zu übertragen und das übertragene Stimulationssignal (26) mit dem Geheimnis (37) verschlüsselt über das Endgerät (10) zu empfangen und das Terminal (30) vor der Freigabe der Transaktion zu authentifizieren.
    26. 26. Datenträger (20) nach einem der Absätze 22 bis 25, wobei die Steuereinrichtung (22) derart eingerichtet ist, dass das bereitgestellte Stimulationssignal (26) als eine Abfolge von visuellen, auditiven, haptischen oder anderweitig von dem Nutzer (40) wahrnehmbaren Stimuli wiedergegeben werden kann, insbesondere als Einzel- oder Bewegtbildfolge, Ton- oder Musikfolge, Folge taktiler Eindrücke, lesbare oder hörbare Sprache oder Symbole oder eine beliebige Kombination daraus.
    27. 27. Datenträger (20) nach einem der Absätze 22 bis 26, wobei in dem Speicher (24) eine Vielzahl von Stimulationssignalen (26) mit jeweils einem zugeordneten EEG-Referenzsignal (27) des Nutzers (40) gespeichert ist, wobei die Steuereinrichtung (22) eingerichtet ist, das wiederzugebende Stimulationssignal (26) aus der Vielzahl von Stimulationssignalen (26) zufällig auszuwählen und mit dem zugeordneten EEG-Referenzsignal (27) das empfangene EEG-Vergleichssignal (51) zu vergleichen.
    28. 28. Datenträger (20) nach einem der Absätze 22 bis 27, wobei in dem Speicher (24) eine Vielzahl von Stimulationsteilsignalen mit jeweils einem zugeordneten EEG-Referenzteilsignal des Nutzers (40) gespeichert ist, wobei die Steuereinrichtung (22) eingerichtet ist, das wiederzugebende Stimulationssignal (26) aus Stimulationsteilsignalen zufällig zu kombinieren und aus den jeweils zugeordneten EEG-Referenzteilsignalen das dem kombinierten Stimulationssignal (26) zugeordnete EEG-Referenzsignal (27) zu erzeugen und mit diesem das empfangene EEG-Vergleichssignal (51) zu vergleichen.
    29. 29. Datenträger (20) nach Absatz 27 oder 28, wobei in dem Speicher (24) solche Stimulationssignale (26) oder Stimulationsteilsignale abgespeichert sind oder die Steuereinrichtung (22) eingerichtet ist, ein solches Stimulationssignal (26) aus abgespeicherten Stimulationsteilsignalen zu kombinieren, dass bei der Wiedergabe des Stimulationssignals (26) charakteristische Stimulusübergänge, Stimuluskontraste, vom Nutzer (40) erwartbare oder nicht erwartbare Stimuli, für den Nutzer (40) angenehme oder unangenehmen Stimuli, dem Nutzer (40) bekannte oder unbekannte Stimuli oder solche Stimuli wiedergegeben werden, die bei dem Nutzer (40) eine in dem EEG-Vergleichssignal (51) erkennbare charakteristische Signalform hervorrufen.
    30. 30. Datenträger (20) nach einem der Absätze 27 bis 29, wobei die Steuereinrichtung (22) eingerichtet ist, das Stimulationssignal (26) abhängig von dem Vergleich des empfangenen EEG-Vergleichssignals (51) mit dem EEG-Referenzsignal (27) dynamisch geändert an die Wiedergabeeinrichtung (11, 12; 31, 32) zu übertragen.
    31. 31. Datenträger (20) nach Absatz 30, wobei die Steuereinrichtung (22) eingerichtet ist, das Stimulationssignal (26) an ein bei dem Vergleich festgestelltes Konzentrationsniveau des Nutzers (40) dynamisch anzupassen.
    32. 32. Datenträger (20) nach Absatz 30 oder 31, wobei die Steuereinrichtung (22) eingerichtet ist, das Stimulationssignal (26) teilweise erneut an die Wiedergabeeinrichtung (11, 12; 31, 32) zu übertragen, wenn bei dem Vergleich eine mangelnde Konzentration des Nutzers (40) festgestellt wird.
    33. 33. Datenträger (20) nach einem der Absätze 22 bis 32, wobei die Steuereinrichtung (22) eingerichtet ist, beim Vergleich des EEG-Referenzsignals (27) und des EEG-Vergleichssignals (51) als vorgegebenes Kriterium zu prüfen, ob charakteristische Signalformen, zum Beispiel eine P300-Signalform, in beiden Signalen (27, 51) an im Wesentlichen gleichen zeitlichen Positionen auftreten.
    34. 34. Datenträger (20) nach einem der Absätze 22 bis 33, wobei die Steuereinrichtung (22) eingerichtet ist, den Datenträger (10) vor der Freigabe der Transaktion über das Endgerät (10) gegenüber dem Terminal (30) zu authentisieren.
    35. 35. Datenträger (20) nach einem der Absätze 22 bis 34, wobei die Steuereinrichtung (22) eingerichtet ist, einen sicheren Datenübertragungskanal zu dem Terminal (30) aufzubauen, insbesondere einen durch Sitzungsschlüssel kryptographisch gesicherten Datenübertragungskanal.
    36. 36. Datenträger (20) nach einem der Absätze 22 bis 35, wobei die Steuereinrichtung (22) eingerichtet ist, das EEG-Vergleichssignal (51) kryptographisch gesichert von einem EEG-Sensor (50) über das Endgerät (10) zu empfangen und zu entschlüsseln.
    37. 37. Datenträger (20) nach einem der Absätze 22 bis 35, wobei die Steuereinrichtung (22) eingerichtet ist, die Transaktion mittels eines Freigabesignales von dem Endgerät (10) an das Terminal (30) freizugeben.
    38. 38. Datenträger (20) nach einem der Absätze 22 bis 37, wobei der Datenträger (10) eine Chipkarte, SmartCard, Speicherkarte oder Mobilfunkkarte ist, insbesondere eine (U)SIM-Mobilfunkkarte zum Einsetzen in ein Telekommunikationsendgerät (10).
    39. 39. Datenträger (20) nach einem der Absätze 22 bis 38, wobei die Steuereinrichtung (22) ein Betriebssystem (23) des Datenträgers (20) oder eine mit dem Betriebssystem (23) des Datenträgers (20) in Wechselwirkung stehende Steuersoftware ist.
    40. 40. Transaktionssystem, umfassend ein mobiles Telekommunikationsendgerät (10) eines Nutzers (40) mit einem darin eingesetzten sicheren Datenträger (20) nach einem der Absätze 22 bis 39, ein Transaktionsterminal (30), einen EEG-Sensor (50) sowie eine Wiedergabeeinrichtung (11, 12; 31, 32), wobei
      • - das Transaktionsterminal (30) eine Steuereinheit (34) umfasst, die eingerichtet ist, Transaktionsdaten von einem Nutzer (40) zum Einleiten einer Transaktion aufzunehmen und zu verarbeiten und die Transaktion auszuführen, wenn von dem Endgerät (10) ein Freigabesignal empfangen wird;
      • - das Endgerät (10) mittels des Datenträgers (20) ausgestaltet und eingerichtet ist, ein Stimulationssignal (26) mit einem zugeordneten EEG-Referenzsignal (27) des Nutzers (40) bereitzustellen und an die Wiedergabeeinrichtung (11, 12; 31, 32) zu übertragen, ein EEG-Vergleichssignal (51) von den EEG-Sensor (50) zu empfangen und mit dem EEG-Referenzsignal (27) zu vergleichen und ein Freigabesignal zur Freigabe der auf dem Transaktionsterminal (30) eingeleiteten Transaktion an das Transaktionsterminal (30) zu übertragen, wenn das EEG-Vergleichssignal (51) und das EEG-Referenzsignal (27) gemäß einem vorgegebenen Kriterium einander im Wesentlichen entsprechen;
      • - die Wiedergabeeinrichtung (11, 12; 31, 32) ausgestaltet und eingerichtet ist, das bereitgestellte Stimulationssignal (26) zu empfangen und in einer von dem Nutzer (40) wahrnehmbaren Weise wiederzugeben; und
      • - der EEG-Sensor (50) ausgestaltet und eingerichtet ist, das EEG-Vergleichssignal (51) des Nutzers (40) während eines Wahrnehmens des wiederzugebenden Stimulationssignals (26) durch den Nutzer (40) aufzuzeichnen und an das Endgerät (10) zu übertragen.
    41. 41. Transaktionssystem nach Absatz 40, wobei das Transaktionssystem ausgestaltet und eingerichtet ist, unter Steuerung durch den Datenträger (20) die eingeleitete Transaktion gemäß einem Verfahren nach einem der Absätze 1 bis 21 freizugeben.
    42. 42. Transaktionssystem nach Absatz 40 oder 41, wobei das Terminal (30) eine Wiedergabeeinrichtung (31, 32) und einen Speicher (36) mit einem darin abgespeicherten Geheimnis (37) umfasst, wobei die Steuereinheit (34) eingerichtet ist, das empfangene Stimulationssignal (26) mit dem Geheimnis (37) zu verschlüsseln und an das Endgerät (10) zu übertragen, wobei das Endgerät (10) eingerichtet ist, unter Steuerung durch den Datenträger (10) das verschlüsselte Stimulationssignal (26) zu empfangen und das Terminal (30) anhand des verschlüsselten Stimulationssignals (26) zu authentifizieren.
    43. 43. Transaktionssystem nach Absatz 40 oder 41, wobei das Endgerät (10) eine Wiedergabeeinrichtung (11, 12) umfasst und eingerichtet ist, das wiederzugebende Stimulationssignal (26) von dem Datenträger (10) zu übernehmen und über die Wiedergabeeinrichtung (11, 12) wiederzugeben.
    44. 44. Transaktionssystem nach einem der Absätze 40 bis 43, wobei zwischen dem Endgerät (10) und dem Terminal (30) sowie zwischen dem Endgerät (10) und den EEG-Sensor (50) jeweils eine kabellose Datenkommunikationsverbindung besteht, und das Endgerät (10), das Terminal (30), der EEG-Sensor (50) und die Datenkommunikationsverbindungen derart ausgestaltet und eingerichtet sind, dass die Wiedergabe des Stimulationssignals (26), die Aufzeichnung des EEG-Vergleichssignals (51) und der Vergleich des aufgezeichneten EEG-Vergleichssignals (51) mit dem EEG-Referenzsignal (27) im Wesentlichen in Echtzeit erfolgen.
    45. 45. Transaktionssystem nach Absatz 44, wobei das Endgerät (10) eingerichtet ist, unter Steuerung durch den Datenträger (20) das Stimulationssignal (26) abhängig von dem Vergleich des aufgezeichneten EEG-Vergleichssignals (51) mit dem EEG-Referenzsignal (27) während der Wiedergabe durch die Wiedergabeeinrichtung (11, 12; 31, 32) dynamisch zu ändern.
    46. 46. Transaktionssystem nach Absatz 44 oder 45, wobei das Endgerät (10) eingerichtet ist, unter Steuerung durch den Datenträger (20) das Stimulationssignal (26) an ein bei dem Vergleich festgestelltes Konzentrationsniveau des Nutzers (40) dynamisch anzupassen.
    47. 47. Transaktionssystem nach einem der Absätze 40 bis 46, wobei das Terminal (30) eine Steuereinheit (34) umfasst, die eingerichtet ist, den Nutzer (40) und/oder das Endgerät (10) zu authentifizieren, bevor die Transaktion ausgeführt wird.
    48. 48. Transaktionssystem nach einem der Absätze 40 bis 47, wobei das Terminal (30) eine Steuereinheit (34) umfasst, die eingerichtet ist, in Wechselwirkung mit dem Endgerät (10) unter Steuerung durch den Datenträge (20) einen sicheren Datenübertragungskanal zwischen dem Terminal (30) und dem Endgerät (10) aufzubauen, insbesondere einen durch Sitzungsschlüssel kryptographisch gesicherten Datenübertragungskanal.
    49. 49. Transaktionssystem nach einem der Absätze 40 bis 48, wobei der EEG-Sensor (50) an dem Nutzer (40) angebracht ist und eingerichtet ist, das EEG-Vergleichssignal (51) bei dem Nutzer (40) aufzuzeichnen und über eine kabellose Datenübertragungsverbindung an das Endgerät (10) zu übertragen, und das Endgerät (10) unter Steuerung des Datenträgers (20) eingerichtet ist, das EEG-Vergleichssignal (51) über die kabellose Datenübertragungsverbindung zu empfangen und weiterzuverarbeiten.
    50. 50. Transaktionssystem nach einem der Absätze 40 bis 49, wobei das Terminal (30) ein Verkaufsautomat oder ein für Online-Transaktionen eingerichtetes Computersystem ist.

Claims (14)

  1. Verfahren zum Freigeben (S13) einer von einem Nutzer (40) auf einem Transaktionsterminal (30) eingeleiteten Transaktion (S1) über ein mobiles Telekommunikationsendgerät (10) des Nutzers (40), umfassend die Schritte: - Wiedergeben (S7) eines von dem Endgerät (10) bereitgestellten Stimulationssignals (26) in einer für den Nutzer (40) wahrnehmbaren Weise; - Aufzeichnen (S8) eines EEG-Vergleichssignals (51) des Nutzers (40) während eines Wahrnehmens des wiedergegebenen Stimulationssignals (26) durch den Nutzer (40); - Vergleichen (S10, S12) des EEG-Vergleichssignals (51) mit einem in dem Endgerät (10) gespeicherten EEG-Referenzsignal (27), das dem Stimulationssignal (26) zugeordnet ist, durch das Endgerät (10); und - Freigeben (S13) der eingeleiteten Transaktion durch das Endgerät (10), wenn das EEG-Vergleichssignal (51) und das EEG-Referenzsignal (27) gemäß vorgegebenen Kriterien einander im Wesentlichen entsprechen, dadurch gekennzeichnet, dass das Endgerät (10) das bereitgestellte Stimulationssignal (26) an das Terminal (30) überträgt und das Terminal (30) das Stimulationssignal (26) als eine Abfolge von visuellen, auditiven, haptischen oder anderweitig von dem Nutzer (40) wahrnehmbaren Stimuli wiedergibt (S7), insbesondere als Einzel- oder Bewegtbildfolge, Ton- oder Musikfolge, Folge taktiler Eindrücke, lesbare oder hörbare Sprache oder Symbole oder eine beliebige Kombination daraus.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Endgerät (10) durch Vergleichen (S10, S12) des EEG-Vergleichssignals (51) und des EEG-Referenzsignals (27) eine unwillkürliche Reaktion des Nutzers (40) auf das wiedergegebene Simulationssignal (26) feststellt (S12) und diese als willentliche Freigabe der eingeleiteten Transaktion durch den Nutzer (40) weiterverarbeitet (S13).
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Endgerät (10) das bereitzustellende Stimulationssignal (26) nach dem Zufallsprinzip auswählt oder erzeugt (S5).
  4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Terminal (30) das empfangene Stimulationssignal (26) mit einem Geheimnis (37) verschlüsselt (S33) und an das Endgerät (10) zurückschickt (S34) und das Endgerät (10) das Terminal (30) anhand des empfangenen, verschlüsselten Stimulationssignals (26) authentifiziert (S36), bevor die Transaktion freigegeben wird (S13).
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass entweder eine Vielzahl von Stimulationssignalen (26) mit jeweils einem zugeordneten EEG-Referenzsignal (27) des Nutzers (40) auf dem Endgerät (10) gespeichert wird, wobei das Endgerät (10) das wiederzugebende Stimulationssignal (26) aus der Vielzahl von Stimulationssignalen zufällig auswählt (S5), oder eine Vielzahl von Stimulationsteilsignalen mit jeweils einem zugeordneten EEG-Referenzteilsignal des Nutzers (40) auf dem Endgerät (10) gespeichert wird, wobei das Endgerät (10) das wiederzugebende Stimulationssignal (26) aus Stimulationsteilsignalen zufällig kombiniert (S5) und aus den jeweils zugeordneten EEG-Referenzteilsignalen das dem kombinierten Stimulationssignal (26) zugeordnete EEG-Referenzsignal (27) erzeugt, und in jedem Fall das aufgezeichnete EEG-Vergleichssignal (51) mit dem zugeordnete oder dem EEG-Referenzsignal (27) vergleichen wird (S10, S12).
  6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass solche Stimulationssignale (26) oder Stimulationsteilsignale auf dem Endgerät (10) abgespeichert werden oder ein solches Stimulationssignal (26) aus abgespeicherten Stimulationsteilsignalen kombiniert wird (S5), dass beim Wiedergeben (S7) des Stimulationssignals (26) charakteristische Stimulusübergänge, Stimuluskontraste, vom Nutzer (40) erwartbare oder nicht erwartbare Stimuli, für den Nutzer (40) angenehme oder unangenehmen Stimuli, dem Nutzer (40) bekannte oder unbekannte Stimuli oder solche Stimuli wiedergegeben werden, die bei dem Nutzer (40) eine in dem EEG-Vergleichssignal (51) erkennbare charakteristische Signalform hervorrufen.
  7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass das Wiedergeben (S7) des Stimulationssignals (26), das Aufzeichnen (S8) des EEG-Vergleichssignals (51) und das Vergleichen (S10, S12) des aufgezeichneten EEG-Vergleichssignals (51) mit dem EEG-Referenzsignal (27) im Wesentlichen in Echtzeit erfolgen.
  8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass das Stimulationssignal (26) abhängig von dem Vergleichen (S10, S12) des aufgezeichneten EEG-Vergleichssignals (51) mit dem EEG-Referenzsignal (27) während des Wiedergebens (S7) dynamisch geändert wird (S11).
  9. Verfahren nach Anspruch 7 oder 8, dadurch gekennzeichnet, dass das Stimulationssignal (26) an ein beim Vergleichen (S10, S12) festgestelltes Konzentrationsniveau des Nutzers (40) dynamisch angepasst wird (S11), insbesondere dass das Wiedergeben (S7) des Stimulationssignals (26) teilweise wiederholt wird, wenn beim Vergleichen (S10, S12) eine mangelnde Konzentration des Nutzers (40) festgestellt wird.
  10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass beim Vergleichen (S10, S12) des EEG-Referenzsignals (27) und des EEG-Vergleichssignals (51) als vorgegebenes Kriterium geprüft wird, ob charakteristische Signalformen, zum Beispiel eine P300-Signalform, in beiden Signalen (27, 51) an im Wesentlichen gleichen zeitlichen Positionen auftreten.
  11. Sicherer Datenträger (20), umfassend eine Steuereinrichtung (22), einen Prozessor (22) und einen Speicher (24), wobei die Steuereinrichtung (22) eingerichtet ist, unter Zugriff auf den Prozessor (22) und den Speicher (24) - ein Stimulationssignal (26) mit einem zugeordneten EEG-Referenzsignal (27) des Nutzers (40) bereitzustellen und über ein mobiles Telekommunikationsendgerät (10), in welches der Datenträger (20) einsetzbar ist, an eine Wiedergabeeinrichtung (31, 32) zur Wiedergabe des Stimulationssignals (26) in einer für den Nutzer (40) des Endgeräts (10) wahrnehmbaren Weise zu übertragen; - ein während des Wahrnehmens des wiedergegebenen Stimulationssignals (26) durch den Nutzer (40) aufgezeichnetes EEG-Vergleichssignal (51) über das Endgerät (10) zu empfangen und mit dem EEG-Referenzsignal (27) zu vergleichen; und eine Transaktion, die der Nutzer (40) auf einem Transaktionsterminal (30) eingeleitet hat, über das Endgerät (10) freizugeben, wenn das EEG-Vergleichssignal (51) und das EEG-Referenzsignal (27) gemäß einem vorgegebenen Kriterium einander im Wesentlichen entsprechen, dadurch gekennzeichnet, dass der Datenträger (20), wenn er in das Endgerät (10) eingesetzt ist, das bereitgestellte Stimulationssignal (26) an die Wiedergabeeinrichtung (31, 32) des Terminals (30) überträgt und die Wiedergabeeinrichtung (31, 32) des Terminals (30) das Stimulationssignal (26) als eine Abfolge von visuellen, auditiven, haptischen oder anderweitig von dem Nutzer (40) wahrnehmbaren Stimuli wiedergibt (S7), insbesondere als Einzel- oder Bewegtbildfolge, Ton- oder Musikfolge, Folge taktiler Eindrücke, lesbare oder hörbare Sprache oder Symbole oder eine beliebige Kombination daraus.
  12. Datenträger (20) nach Anspruch 11, dadurch gekennzeichnet, dass die Steuereinrichtung (22) eingerichtet ist, die eingeleitete Transaktion gemäß einem Verfahren nach einem der Ansprüche 1 bis 10 in Wechselwirkung mit dem Endgerät (10) und dem Terminal (30) freizugeben.
  13. Datenträger (20) nach einem der Ansprüche 11 oder 12, dadurch gekennzeichnet, dass der Datenträger (20) eine Chipkarte oder Mobilfunkkarte ist, insbesondere eine (U)SIM-Mobilfunkkarte zum Einsetzen in ein Telekommunikationsendgerät (10), und die Steuereinrichtung (22) ein Betriebssystem (23) des Datenträgers (20) oder eine mit dem Betriebssystem (23) des Datenträgers (20) in Wechselwirkung stehende Steuersoftware ist.
  14. Transaktionssystem, umfassend ein mobiles Telekommunikationsendgerät (10) eines Nutzers (40) mit einem darin eingesetzten sicheren Datenträger (20) nach einem der Ansprüche 11 bis 13, ein Transaktionsterminal (30), einen EEG-Sensor (50) sowie eine Wiedergabeeinrichtung (31, 32), wobei das Transaktionssystem ausgestaltet und eingerichtet ist, unter Steuerung durch den Datenträger (20) eine von dem Nutzer (40) an dem Terminal (30) eingeleitete Transaktion gemäß einem Verfahren nach einem der Ansprüche 1 bis 10 freizugeben.
DE102013004602.5A 2013-03-18 2013-03-18 Freigabe einer Transaktion über ein mobiles Endgerät Active DE102013004602B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102013004602.5A DE102013004602B4 (de) 2013-03-18 2013-03-18 Freigabe einer Transaktion über ein mobiles Endgerät

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102013004602.5A DE102013004602B4 (de) 2013-03-18 2013-03-18 Freigabe einer Transaktion über ein mobiles Endgerät

Publications (2)

Publication Number Publication Date
DE102013004602A1 DE102013004602A1 (de) 2014-10-02
DE102013004602B4 true DE102013004602B4 (de) 2020-11-05

Family

ID=51519476

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013004602.5A Active DE102013004602B4 (de) 2013-03-18 2013-03-18 Freigabe einer Transaktion über ein mobiles Endgerät

Country Status (1)

Country Link
DE (1) DE102013004602B4 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019212683A1 (de) 2019-08-23 2021-02-25 Robert Bosch Gmbh Verfahren zum Freigeben einer angeforderten Verbindung zwischen einem ersten Gerät und einem zweiten Gerät
DE102020109286A1 (de) 2020-04-02 2021-10-07 Bundesdruckerei Gmbh Authentifizierungssystem auf Basis eines Telekommunikationsgeräts mit einem Hirnaktivitätssensor

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050022034A1 (en) * 2003-07-25 2005-01-27 International Business Machines Corporation Method and system for user authentication and identification using behavioral and emotional association consistency
US20070011066A1 (en) * 2005-07-08 2007-01-11 Microsoft Corporation Secure online transactions using a trusted digital identity
US20120129492A1 (en) * 2010-11-18 2012-05-24 Eagle River Holdings Llc System and method for transaction authentication using a mobile communication device
US20130044055A1 (en) * 2011-08-20 2013-02-21 Amit Vishram Karmarkar Method and system of user authentication with bioresponse data

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050022034A1 (en) * 2003-07-25 2005-01-27 International Business Machines Corporation Method and system for user authentication and identification using behavioral and emotional association consistency
US20070011066A1 (en) * 2005-07-08 2007-01-11 Microsoft Corporation Secure online transactions using a trusted digital identity
US20120129492A1 (en) * 2010-11-18 2012-05-24 Eagle River Holdings Llc System and method for transaction authentication using a mobile communication device
US20130044055A1 (en) * 2011-08-20 2013-02-21 Amit Vishram Karmarkar Method and system of user authentication with bioresponse data

Also Published As

Publication number Publication date
DE102013004602A1 (de) 2014-10-02

Similar Documents

Publication Publication Date Title
EP3574610B1 (de) Verfahren zum durchführen einer zweifaktorauthentifizierung
DE60200081T2 (de) Sichere Benutzer- und Datenauthenifizierung über ein Kommunikationsnetzwerk
DE112011100182B4 (de) Datensicherheitsvorrichtung, Rechenprogramm, Endgerät und System für Transaktionsprüfung
DE602004012996T2 (de) Verfahren und vorrichtung zum authentifizieren von benutzern und websites
EP2912595B1 (de) Verfahren zur erzeugung eines soft-tokens, computerprogrammprodukt und dienst-computersystem
DE13771788T1 (de) Sichere Authentifizierung in einem Mehrparteiensystem
DE102008000895B4 (de) Verwendung eines mobilen Telekommunikationsgeräts als elektronische Gesundheitskarte
DE102007000589B9 (de) Verfahren zum Schutz einer Chipkarte gegen unberechtigte Benutzung, Chipkarte und Chipkarten-Terminal
EP2810400B1 (de) Kryptographisches authentifizierungs - und identifikationsverfahren mit realzeitverschlüsselung
DE10212619A1 (de) Sichere Benutzerauthentisierung über ein Kommunikationsnetzwerk
DE112014006088T5 (de) Person-To-Person-Payments unter Verwendung elektronischer Vorrichtungen
EP2415228A2 (de) Verfahren zum lesen von attributen aus einem id-token über eine mobilfunkverbindung
DE102009027681A1 (de) Verfahren und Lesen von Attributen aus einem ID-Token
CN105590046B (zh) 基于特征识别的身份认证方法
US11544404B1 (en) System and method for access control
EP4128695B1 (de) Personalisierter, serverindividueller authentifizierungsmechanismus
EP1687932B1 (de) Autorisierung einer Transaktion
WO2013056783A1 (de) Mobiles endgerät, transaktionsterminal und verfahren zur durchführung einer transaktion an einem transaktionsterminal mittels eines mobilen endgeräts
DE102013004602B4 (de) Freigabe einer Transaktion über ein mobiles Endgerät
CN107135076A (zh) 一种无可信第三方的参与式感知激励机制实现方法
EP2512090A1 (de) Verfahren zur Authentifizierung eines Teilnehmers
EP2783320B1 (de) Verfahren zum authentisieren einer person an einer serverinstanz
EP2893483B1 (de) Verfahren zur personalisierung eines secure elements (se) und computersystem
DE102004059265A1 (de) Verfahren und Vorrichtung zur Sicherung digitaler Daten
DE112021002493T5 (de) Steuervorrichtung und Steuerungsverfahren

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE

Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT EPAYMENTS GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE

R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT EPAYMENTS GMBH, 81677 MUENCHEN, DE