DE102016011878A1 - Dynamic provision of a verification number - Google Patents

Dynamic provision of a verification number Download PDF

Info

Publication number
DE102016011878A1
DE102016011878A1 DE102016011878.4A DE102016011878A DE102016011878A1 DE 102016011878 A1 DE102016011878 A1 DE 102016011878A1 DE 102016011878 A DE102016011878 A DE 102016011878A DE 102016011878 A1 DE102016011878 A1 DE 102016011878A1
Authority
DE
Germany
Prior art keywords
payment means
string
card
check number
payment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102016011878.4A
Other languages
German (de)
Inventor
Frank-Michael Kamm
Andreas Chalupar
Volker Stöhr
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient ePayments GmbH
Original Assignee
Giesecke and Devrient Mobile Security GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient Mobile Security GmbH filed Critical Giesecke and Devrient Mobile Security GmbH
Priority to DE102016011878.4A priority Critical patent/DE102016011878A1/en
Priority to EP17780003.4A priority patent/EP3523768A1/en
Priority to PCT/EP2017/001164 priority patent/WO2018065091A1/en
Publication of DE102016011878A1 publication Critical patent/DE102016011878A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4018Transaction verification using the card verification value [CVV] associated with the card
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/356Aspects of software for card payments
    • G06Q20/3563Software being resident on card
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4093Monitoring of device authentication
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/12Card verification
    • G07F7/122Online card verification

Abstract

Die vorliegende Erfindung ist gerichtet auf ein Verfahren zum effizienten und dynamischen Bereitstellen einer Prüfnummer zur Authentisierung eines Bezahlmittels, beispielsweise einer Kreditkarte oder einer Smartcard. Die vorliegende Erfindung ist ferner gerichtet auf eine Systemanordnung, welche das vorgeschlagene Verfahren betreibt, sowie auf ein Bezahlmittel, welches es erlaubt, eine Prüfnummer mit geringem technischen Aufwand bereitzustellen. Weiterhin wird ein Computerprogrammprodukt vorgeschlagen mit Steuerbefehlen, welche das vorgeschlagene Verfahren implementieren.The present invention is directed to a method for efficiently and dynamically providing a check number for authenticating a means of payment, such as a credit card or a smart card. The present invention is further directed to a system arrangement which operates the proposed method, and to a payment means which allows to provide a check number with little technical effort. Furthermore, a computer program product is proposed with control commands which implement the proposed method.

Description

Die vorliegende Erfindung ist gerichtet auf ein Verfahren zum effizienten und dynamischen Bereitstellen einer Prüfnummer zur Authentisierung eines Bezahlmittels, beispielsweise einer Kreditkarte oder einer Smartcard. Die vorliegende Erfindung ist ferner gerichtet auf eine Systemanordnung, welche das vorgeschlagene Verfahren betreibt, sowie auf ein Bezahlmittel, welches es erlaubt, eine Prüfnummer mit geringem technischen Aufwand bereitzustellen. Weiterhin wird ein Computerprogrammprodukt vorgeschlagen mit Steuerbefehlen, welche das vorgeschlagene Verfahren implementieren.The present invention is directed to a method for efficiently and dynamically providing a check number for authenticating a means of payment, such as a credit card or a smart card. The present invention is further directed to a system arrangement which operates the proposed method, and to a payment means which allows to provide a check number with little technical effort. Furthermore, a computer program product is proposed with control commands which implement the proposed method.

WO 2015/085100 A1 zeigt ein Generieren einer Prüfnummer, wobei jedoch explizit ein Display vorgesehen ist, welches der Ausgabe der generierten Prüfnummer dient. Somit muss hierbei ein zusätzliches Hardwareelement bereitgestellt werden. WO 2015/085100 A1 shows a generation of a check number, but explicitly a display is provided, which serves the output of the generated check number. Thus, an additional hardware element must be provided here.

Generell sollen Bezahlmittel, insbesondere kartenförmige Bezahlmittel wie Kreditkarten, sicherer gemacht werden. So sind diverse Sicherheitsmerkmale bekannt, welche entweder physisch vorliegen oder ein entsprechendes Sicherheitsverfahren realisieren. So ist der sogenannte Card Validation Code, CVC, bekannt; eine Prüfnummer, welche verhindert, dass gefälschte Kreditkarten bei einem Bezahlvorgang Verwendung finden können. Hierzu wird gemäß bekannter Verfahren dieser Sicherheitscode bzw. diese Sicherheitsprüfnummer lediglich optisch auslesbar auf eine Kreditkarte aufgebracht. Hierbei ist es jedoch besonders nachteilig, dass diese Prüfnummer stets die gleiche ist und somit bezüglich der gesamten Lebensdauer einer Kreditkarte gültig ist. So ist es beispielsweise möglich, eine solche Prüfnummer abzuspeichern und diese bei einem Bezahlvorgang vorzuhalten, auch wenn die physische Kreditkarte nicht anwesend ist. Dies stellt ein Sicherheitsrisiko dar.In general, payment means, in particular card-shaped payment means such as credit cards, should be made more secure. Thus, various security features are known which either physically present or implement a corresponding security procedure. Thus, the so-called Card Validation Code, CVC, is known; A check number that prevents counterfeit credit cards from being used in a payment transaction. For this purpose, according to known methods, this security code or this security check number is merely optically readable and applied to a credit card. However, it is particularly disadvantageous that this check number is always the same and thus valid for the entire life of a credit card. It is thus possible, for example, to store such a check number and to keep it available during a payment process, even if the physical credit card is not present. This represents a security risk.

Ferner bekannt ist eine dynamische Generierung der beschriebenen Prüfnummer. Hierbei wird die Kreditkarte mit weiteren physischen Komponenten versehen, welche eine solche Prüfnummer generieren und diese dann beispielsweise mittels eines Displays bereitstellen. Somit ist es gemäß dem Stand der Technik möglich, mehrere Prüfnummern zu generieren, die nach ihrer Verwendung ihre Gültigkeit verlieren können. Es kann also nicht lediglich eine Prüfnummer vorgehalten werden, sondern vielmehr kann dynamisch zur Laufzeit, d. h. während der Verwendung der Kreditkarte, eine beliebige Anzahl von Prüfnummern erzeugt werden. Solche Verfahren werden bereits von einigen Kreditkartenherstellern angeboten.Also known is a dynamic generation of the test number described. In this case, the credit card is provided with additional physical components which generate such a check number and then provide it for example by means of a display. Thus, according to the prior art, it is possible to generate a plurality of check numbers that may lose their validity after their use. So it can not be held only a check number, but rather dynamically at runtime, d. H. Any number of check numbers are generated while using the credit card. Such methods are already offered by some credit card manufacturers.

Hierbei ist es jedoch besonders nachteilig, dass die bereitgestellten Kreditkarten technisch besonders aufwendig hergestellt werden müssen, da zur Visualisierung der Prüfnummern ein Display in die Karte eingebaut werden muss. Ferner ist es gemäß solcher Verfahren typischerweise notwendig, einen Timer zu betreiben, der mit Strom versorgt werden muss. Auch das Display hat einen höheren Strombedarf gegenüber einfacheren Einrichtungen, die dem Benutzer die Prüfnummer nicht optisch bereitstellen.In this case, however, it is particularly disadvantageous that the credit cards provided have to be manufactured in a technically particularly complicated manner, since a display has to be installed in the card in order to visualize the test numbers. Furthermore, according to such methods, it is typically necessary to operate a timer that needs to be powered. Also, the display has a higher power requirement compared to simpler devices that do not visually provide the user with the test number.

Diese Nachteile führen dazu, dass Kreditkarten, welche dynamische Prüfnummern bereitstellen, mit einer Batterie, also einer internen Stromquelle, ausgestattet werden müssen. Die Batterie versorgt das Display, den Timer sowie einen Mikrocontroller, der dazu eingerichtet ist, die Prüfnummer zu berechnen, mit Energie. Somit entsteht ein erheblicher technischer Aufwand, der dazu führen kann, dass der Benutzer die verwendete Technologie aufgrund des erhöhten Bereitstellungspreises nicht akzeptiert.These disadvantages mean that credit cards that provide dynamic test numbers, must be equipped with a battery, so an internal power source. The battery provides power to the display, the timer, and a microcontroller that is set up to calculate the test number. This results in a considerable technical effort, which can lead to the user not accepting the technology used because of the increased provisioning price.

Diese für herkömmliche Kreditkarten notwendigen Komponenten sind zudem fehleranfällig und können teilweise nach langem Gebrauch den beaufschlagten Kräften nicht standhalten. So sind diese zusätzlichen Komponenten generell ausfallanfällig, was dazu führt, dass beispielsweise bei einem Bruch des Displays die gesamte Kreditkarte entsorgt werden muss.These components, which are necessary for conventional credit cards, are also error-prone and, in some cases, can not withstand the applied forces after a long period of use. So these additional components are generally susceptible to failure, which means that, for example, in case of breakage of the display, the entire credit card must be disposed of.

Es ist daher eine Aufgabe der vorliegenden Erfindung, ein Verfahren bereitzustellen, welches es erlaubt, einen Bezahlvorgang sicher zu gestalten und hierbei dennoch auf technische Komponenten zurückgreifen zu können, welche mit geringem technischem Aufwand bereitzustellen sind. Es ist ferner eine Aufgabe der vorliegenden Erfindung, eine entsprechend eingerichtete Systemanordnung vorzuschlagen. Ferner soll ein Bezahlmittel bereitgestellt werden, welches mit geringem technischem Aufwand betrieben werden kann und dennoch ein sicheres Bezahlen ermöglicht. Weiterhin ist es eine Aufgabe der vorliegenden Erfindung, ein Computerprogrammprodukt vorzuschlagen, mit Steuerbefehlen, welche das vorgeschlagene Verfahren implementieren.It is therefore an object of the present invention to provide a method which makes it possible to design a payment process safely and still be able to resort to technical components that are to be provided with little technical effort. It is a further object of the present invention to propose a suitably configured system arrangement. Furthermore, a payment means to be provided, which can be operated with little technical effort and still allows safe payment. Furthermore, it is an object of the present invention to propose a computer program product with control commands which implement the proposed method.

Die Aufgabe wird gelöst durch ein Verfahren mit den Merkmalen des Patentanspruchs 1. Weitere vorteilhafte Ausgestaltungen sind in den Unteransprüchen angegeben.The object is achieved by a method having the features of claim 1. Further advantageous embodiments are specified in the dependent claims.

Demgemäß wird ein Verfahren zum effizienten und dynamischen Bereitstellen einer Prüfnummer zur Authentisierung eines Bezahlmittels, beispielsweise einer Kreditkarte, vorgeschlagen. Das Verfahren umfasst ein Bereitstellen einer von einem ersten Kommunikationspartner zufällig gewählten Zeichenfolge an das Bezahlmittel sowie ein Generieren der Prüfnummer durch eine Steuerungseinheit des Bezahlmittels in Abhängigkeit von einem Initialisierungswert und der bereitgestellten Zeichenfolge. Ferner erfolgt ein Authentifizieren des Bezahlmittels unter Verwendung der generierten Prüfnummer durch einen zweiten Kommunikationspartner, welcher ebenfalls die Prüfnummer in Abhängigkeit von dem Initialisierungswert und der bereitgestellten Zeichenfolge errechnet.Accordingly, a method is proposed for efficiently and dynamically providing a check number for authenticating a payment means, for example a credit card. The method comprises providing a character string randomly selected by a first communication partner to the payment means and generating the check number by a control unit of the payment means in dependence on an initialization value and the provided String. Furthermore, the payment means is authenticated using the generated check number by a second communication partner, which also calculates the check number in dependence on the initialization value and the provided character string.

Das vorgeschlagene Verfahren implementiert einen neuartigen Algorithmus, der darauf basiert, dass die physischen Komponenten derart betrieben werden können, dass ein Display, welches die Prüfnummer anzeigt, nicht zwingend in dem Bezahlmittel vorzusehen ist. Ferner ist es durch die verwendete Zeichenfolge möglich, dass ein Timer nicht gebraucht wird, da Information bereits mittels dieser Zeichenfolge implizit bereitgestellt werden kann. So kann es sich, abhängig von der Ausführungsform der Erfindung, bei den Kommunikationspartnern um elektronische Komponenten, beispielsweise um Server, handeln, wodurch es vermieden wird, dass ein Benutzer eine generierte Prüfnummer aus einem Display ablesen und diese mittels manueller Eingabe bereitstellen muss. So kann die generierte Prüfnummer mit Hilfe des vorgeschlagenen Verfahrens durch ein Netzwerk übermittelt werden, wozu das vorgeschlagene Verfahren in besonders vorteilhafter Weise sicherstellt, dass eine sichere Authentifizierung des Bezahlmittels in Abhängigkeit von der Prüfnummer erfolgt.The proposed method implements a novel algorithm based on the fact that the physical components can be operated such that a display indicating the check number is not necessarily to be provided in the payment means. Furthermore, it is possible by the string used that a timer is not needed, since information can already be implicitly provided by means of this string. Thus, depending on the embodiment of the invention, the communication partners may be electronic components, for example servers, thereby avoiding a user having to read a generated test number from a display and provide it by means of manual input. Thus, the generated check number can be transmitted by means of the proposed method through a network, for which the proposed method ensures in a particularly advantageous manner that a secure authentication of the payment means is performed in dependence on the check number.

Gemäß der vorliegenden Erfindung wird also kein Timer auf der Kreditkarte notwendig, und damit auch keine Batterie bzw. kein Display. Gemäß einer Variante der Erfindung wird auch kein signiertes externes Zeitsignal benötigt, was eine umfängliche Zertifikatsprüfung auf der Karte erforderlich machen würde. Hierbei ist es besonders vorteilhaft, dass die zufällig gewählte Zeichenfolge die Zeit implizit definiert, da der Wert nur in einem bestimmten Zeitintervall gültig sein muss. Ferner ist es erfindungsgemäß möglich, bezüglich einer Anzeige der Prüfnummer ein separates Endgerät vorzusehen, beispielsweise einen PC, ein Laptop oder allgemein ein Mobilgerät.According to the present invention, therefore, no timer on the credit card is necessary, and thus no battery or display. According to a variant of the invention, no signed external time signal is required, which would require extensive certificate checking on the card. In this case, it is particularly advantageous that the randomly selected character string defines the time implicitly, since the value only has to be valid in a specific time interval. Furthermore, it is possible according to the invention to provide a separate terminal with regard to a display of the check number, for example a PC, a laptop or in general a mobile device.

Der Ausgangspunkt der vorliegenden Erfindung und damit der nächstkommende Stand der Technik ist eine sogenannte dynamische CVC-Karte, die typischerweise als EMV-Karten vorliegen und ein Display sowie eine Batterie und einen eigenen Timer aufweisen kann. Anstelle eines statischen 3-stelligen Sicherheitscodes, dem sogenannten CVC, erzeugen diese Karten in einem vorgegebenen Zeitintervall einen dynamischen CVC-Wert. Dazu wird üblicherweise ein zeitabhängiges Einmal-Passwort, auch One-Time-Passwort (OTP) genannt, generiert, wie es beispielsweise die Spezifikation RFC6238 erzeugt. In die OTP-Generierung fließt ein geheimer Initialisierungswert (Seed-Wert) und die jeweilige Uhrzeit ein. Ein Server, der über denselben Seed-Wert verfügt, kann die Echtheit des Einmal-Passworts bzw. des CVC verifizieren. Hierbei erweitert das vorgeschlagene Verfahren die verwendeten Algorithmen und sieht insbesondere die Verwendung einer zufällig gewählten Zeichenfolge sowie einen Seed-Wert vor.The starting point of the present invention, and thus the closest prior art, is a so-called dynamic CVC card, which typically is present as an EMV card and may have a display as well as a battery and its own timer. Instead of a static 3-digit security code, the so-called CVC, these cards generate a dynamic CVC value within a predetermined time interval. For this purpose, usually a time-dependent one-time password, also called one-time password (OTP) is called generated, such as the specification RFC6238 generated. A secret initialization value (seed value) and the respective time of day flow into the OTP generation. A server that has the same seed value can verify the authenticity of the one-time password or CVC. In this case, the proposed method expands the algorithms used and, in particular, provides for the use of a randomly selected string as well as a seed value.

Durch die Verwendung eines dynamischen CVC-Wertes wird das Zeitfenster für Phishing-Attacken bei Online-Transaktionen, sogenannten Card-Non-Present-Transactions, reduziert. Ein Angreifer, der über die Kartendaten inklusive des CVC-Wertes verfügt, kann nur innerhalb der Gültigkeitsdauer des dynamischen CVC eine Transaktion durchführen.By using a dynamic CVC value, the time window for phishing attacks in online transactions, known as card-non-present transactions, is reduced. An attacker who has the map data including the CVC value can only make a transaction within the lifetime of the dynamic CVC.

Ein Timer, der eine Batterie benötigt, wird erfindungsgemäß dadurch vermieden, dass die bereitgestellte Zeichenfolge die Zeit implizit definiert, da der Wert nur in einem bestimmten Zeitintervall gültig ist. Dies ist mit herkömmlichen Verfahren deshalb nicht möglich, da typischerweise sogenannte zeitbasierte Einmal-Passwörter verwendet werden, bei denen ein Zeit-Zählerwert kontinuierlich erhöht wird und in die Einmal-Passwort-Berechnung mit einfließt. Hierzu müssen die Zähler auf der Token-Seite und der Server-Seite synchronisiert laufen. Dies ist mittels des vorgeschlagenen Verfahrens nicht der Fall, weshalb auf den Timer mitsamt Batterie verzichtet werden kann. Somit erfolgt ein effizientes Bereitstellen der Prüfnummer.A timer which requires a battery is avoided according to the invention in that the provided character string implicitly defines the time since the value is valid only in a specific time interval. This is not possible with conventional methods because typically so-called time-based one-time passwords are used in which a time counter value is continuously increased and included in the one-time password calculation. To do this, the counters on the token page and the server side must be synchronized. This is by means of the proposed method is not the case, which is why the timer can be dispensed with battery. Thus, there is an efficient provision of the check number.

Ein dynamisches Bereitstellen der Prüfnummer erfolgt deshalb, da zur Laufzeit stets eine neue Prüfnummer generiert werden kann. Hierbei ist es insbesondere vorteilhaft, dass die erfindungsgemäße Abfolge der Verfahrensschritte unter Verwendung der zufällig gewählten Zeichenfolge und des Initialisierungswertes ein sicheres Verfahren bereitstellen. So sind zwar diverse Kryptographieverfahren im Stand der Technik bekannt, erfindungsgemäß kann jedoch mit der zufällig gewählten Zeichenfolge das Bereitstellen eines Timers vermieden werden, welcher bisher gemäß standardisierter Verfahren obligatorisch war.A dynamic provision of the check number therefore takes place, since a new check number can always be generated at runtime. In this case, it is particularly advantageous for the sequence of the method steps according to the invention to provide a secure method using the randomly selected character string and the initialization value. Thus, although various cryptographic methods are known in the art, according to the invention, however, the provision of a timer can be avoided with the randomly selected string, which was previously obligatory according to standardized methods.

So kann es sich bei dem ersten Kommunikationspartner um einen Server handeln, der eine zufällig gewählte Zeichenfolge, auch als Salt-Wert bezeichnet, bereitstellt. Hierzu ist es möglich, Maßnahmen vorzusehen, die sicherstellen, dass die zufällig gewählte Zeichenfolge mit großer Wahrscheinlichkeit einmalig ist, so dass diese Einmaligkeit nicht mittels eines Zeitstempels oder Zählers herbeigeführt werden muss.Thus, the first communication partner may be a server providing a randomly chosen string, also called a salt value. For this purpose, it is possible to provide measures to ensure that the randomly chosen string is likely to be unique, so that this uniqueness does not have to be brought about by means of a time stamp or counter.

Das Bereitstellen erfolgt mittels weiterer Hilfsmittel, beispielsweise eines Lesegeräts, wodurch die zufällig gewählte Zeichenfolge an das Bezahlmittel übermittelt werden kann. Diese Übermittlung löst ein Generieren der Prüfnummer durch eine Steuerungseinheit des Bezahlmittels aus. Bei der Steuerungseinheit kann es sich generell um eine Steuerungslogik handeln, die als Steuerbefehl oder aber auch festverdrahtet implementiert ist. Typischerweise handelt es sich bei der Steuerungseinheit um einen Mikrocontroller, der an einen weiteren Datenspeicher angeschlossen ist. Hierbei kann es auch möglich sein, diesen Verfahrensschritt, oder aber auch weitere Verfahrensschritte, in einem gesicherten Element des Bezahlmittels durchzuführen.The provision is made by means of other aids, such as a reader, whereby the randomly selected string can be transmitted to the payment means. This transmission triggers generation of the check number by a control unit of the payment means. The control unit can generally be a control logic which can be used as a control command or else hardwired is implemented. Typically, the control unit is a microcontroller connected to another data memory. In this case, it may also be possible to carry out this method step or else further method steps in a secure element of the payment means.

Ein gesichertes Element stellt hierbei eine Hardwarestruktur bereit, die technisch derart eingerichtet ist, dass eine Manipulation verhindert werden kann. So ist es möglich, mittels des sicheren Elements bereits auf physischer Ebene vorzusehen, dass besonders kritische Verfahrensschritte nicht unter Verwendung von Datenspeichern durchgeführt werden, die mit anderen Einheiten geteilt werden. Somit kann beispielsweise die Steuerungseinheit als ein sicheres Element ausgestaltet werden, welches einen gesonderten Datenspeicher aufweist. Auch können hierbei weitere hardwaretechnische Merkmale oder aber auch Steuerbefehle vorgesehen werden, die eine solche sichere Einheit bzw. Umgebung bereitstellen. Somit erfolgt also das Generieren der Prüfnummer gemäß einem Aspekt der vorliegenden Erfindung in einem besonders gesicherten Bereich des Bezahlmittels.A secured element hereby provides a hardware structure which is technically set up in such a way that manipulation can be prevented. Thus it is possible, by means of the secure element already at the physical level, to provide that particularly critical method steps are not carried out using data memories which are shared with other units. Thus, for example, the control unit can be configured as a secure element, which has a separate data memory. Also in this case further hardware-technical features or even control commands can be provided which provide such a secure unit or environment. Thus, the generation of the check number according to an aspect of the present invention takes place in a particularly secure area of the payment means.

Bei dem Initialisierungswert kann es sich um einen sogenannten Seed-Wert handeln. Hierbei erkennt der Durchschnittsfachmann, wie er die Prüfnummer generieren kann und insbesondere hierbei den Initialisierungswert und die bereitgestellte Zeichenfolge verwendet. Es ist überraschenderweise jedoch möglich, mittels der vorgeschlagenen Parameter, also dem Initialisierungswert bzw. der zufällig gewählten Zeichenfolge, einen Timer überflüssig zu machen.The initialization value may be a so-called seed value. Here, the person skilled in the art recognizes how he can generate the check number and, in particular, uses the initialization value and the provided character string. However, it is surprisingly possible to make a timer superfluous by means of the proposed parameters, that is to say the initialization value or the randomly selected character sequence.

Typischerweise verfügt ein Bezahlmittel nicht über eine aktive Stromquelle. Somit ist es erfindungsgemäß vorteilhaft, dass auch ein herkömmliches Bezahlmittel das erfindungsgemäße Verfahren implementieren kann, ohne dass hierzu weitere elektronische Komponenten vorgesehen werden müssen.Typically, a means of payment does not have an active power source. Thus, it is advantageous according to the invention that even a conventional payment means can implement the method according to the invention without the need for further electronic components.

So ist es erfindungsgemäß besonders bemerkenswert, dass ein einfaches Bezahlmittel an dem vorgeschlagenen Verfahren teilnehmen kann, da das Bezahlmittel nicht derart aufgerüstet werden muss, wie es der Stand der Technik vorschlägt. Ein Bezahlmittel ist beispielsweise eine Kreditkarte oder eine Smartcard, die typischerweise gemäß herkömmlicher Bauart über mehrere laminierte Schichten verfügt, in die elektronische Komponenten, wie beispielsweise ein Mikrocontroller und ein Speicher, eingebracht sind. Ferner ist bei einer herkömmlichen Dual-Interface-Smartcard, welche für kontaktbehaftete und kontaktlose Übertragung geeignet ist, eine Induktionsspule verbaut, die nach einer Anregung durch ein Lesegerät einen elektrischen Impuls bereitstellt. Hierbei ist es besonders vorteilhaft, dass ein solches Bezahlmittel mit geringem technischen Verfahren in das vorgeschlagene Verfahren eingebracht werden kann, ohne dass hierzu dessen Bauart abzuändern ist. Es muss lediglich der Datenspeicher derart angepasst werden, dass Steuerbefehle hinterlegt werden, welche die vorgeschlagenen Verfahrensschritte auf Seiten des Bezahlmittels implementieren.Thus, it is particularly noteworthy according to the invention that a simple payment means can participate in the proposed method, since the payment means does not have to be upgraded in such a way as proposed by the prior art. A means of payment is, for example, a credit card or a smartcard, which typically has a conventional laminated multilayer structure incorporating electronic components such as a microcontroller and a memory. Furthermore, in the case of a conventional dual-interface smart card which is suitable for contact-type and contactless transmission, an induction coil is installed which provides an electrical impulse after excitation by a reading device. In this case, it is particularly advantageous that such a payment means can be introduced into the proposed method with little technical procedure, without having to modify its design for this purpose. All that is necessary is to adapt the data memory in such a way that control commands are implemented which implement the proposed method steps on the part of the payment means.

Somit wird erfindungsgemäß der Nachteil überwunden, dass dynamische CVC-Karten das sogenannte TOTP-Verfahren verwenden, also zeitbasierte Einmal-Passwörter, welches den Einsatz eines eigenen Timers erfordert. Da dieser Timer auch laufen muss, während die Karte nicht durch einen Leser mit Strom versorgt wird, muss die Karte über eine Batterie verfügen. Durch den Einbau einer Batterie werden jedoch die Herstellungskosten einer Smartcard erhöht; außerdem wird die Lebensdauer der Karte begrenzt. Einfache Timer sind darüber hinaus nicht präzise, so dass bereits nach wenigen Monaten mit einer signifikanten Abweichung von der realen Zeit zu rechnen ist. Der Server muss diese Abweichung kartenindividuell erkennen und kompensieren. Nachteile, wie die vorstehend beschriebenen, werden mit der vorliegenden Erfindung überwunden.Thus, according to the invention, the disadvantage is overcome that dynamic CVC cards use the so-called TOTP method, ie time-based one-time passwords, which requires the use of a dedicated timer. Since this timer must also run while the card is not powered by a reader, the card must have a battery. By installing a battery, however, the production cost of a smart card is increased; In addition, the life of the card is limited. In addition, simple timers are not precise, so that after only a few months a significant deviation from the real time can be expected. The server must recognize and compensate for this deviation on a card-by-card basis. Disadvantages such as those described above are overcome with the present invention.

Ferner wird erfindungsgemäß der Nachteil überwunden, dass eine Anzeige des CVC-Wertes durch die Karte erfolgen muss und hierzu gemäß herkömmlicher Verfahren ein eigenes Display auf der Karte vorzusehen ist. Somit werden erfindungsgemäß Mehrkosten eingespart, da diese Komponenten nicht vorzusehen sind.Furthermore, according to the invention, the disadvantage is overcome that the CVC value must be displayed by the card and, according to conventional methods, a separate display must be provided on the card for this purpose. Thus, additional costs are saved according to the invention, since these components are not provided.

Erfindungsgemäß erfolgt auch die Generierung der Prüfnummer innerhalb des sicheren Bereichs des Zahlmittels. Die bisher kommerziell verfügbaren Karten generieren den CVC-Wert außerhalb des Sicherheitschips der EMV-Karte. Somit bieten herkömmliche Verfahren auch nur einen eingeschränkten Sicherheitsgewinn, da der geheime Seed-Wert nicht ausreichend gegenüber Seitenkanalattacken gesichert ist.According to the invention, the generation of the check number also takes place within the safe area of the payment means. The previously commercially available cards generate the CVC value outside the security chip of the EMC card. Thus, conventional methods also provide only a limited security gain because the secret seed value is not adequately secured against side channel attacks.

Somit wird es also erfindungsgemäß erreicht, dass ein dynamischer CVC mit einer handelsüblichen EMV-Karte zu erzeugen ist. Es wird kein Kartendisplay, keine Batterie und kein eigener Kartentimer benötigt. Somit sind auch die Herstellungskosten der Karten signifikant geringer als diejenigen Herstellungskosten von bekannten dynamischen CVC-Karten. Erfindungsgemäß können herkömmliche Kreditkarten, Smartcards oder ein anderes Bezahlmittel, wie NFC-fähige Smartphones, Sticker, Wearables etc., derart aufgerüstet werden, dass lediglich entsprechende Steuerbefehle in einem bereits vorhandenen Speicher hinterlegt werden. Somit ist es besonders vorteilhaft, dass erfindungsgemäß, und insbesondere in dem erfindungsgemäßen Verfahren zum effizienten und dynamischen Bereitstellen einer Prüfsumme zur Authentisierung eines Bezahlmittels, eine herkömmliche Smartcard, Kreditkarte oder ein anderes Bezahlmittel Einsatz finden kann.Thus, it is thus achieved according to the invention that a dynamic CVC is to be generated with a commercially available EMC card. No map display, no battery and no card timer is needed. Thus, the manufacturing costs of the cards are also significantly lower than the manufacturing costs of known dynamic CVC cards. According to the invention, conventional credit cards, smart cards or other means of payment, such as NFC-enabled smartphones, stickers, wearables, etc., can be upgraded in such a way that only corresponding control commands are stored in an already existing memory. Thus, it is particularly advantageous that according to the invention, and In particular, in the method according to the invention for efficient and dynamic provision of a checksum for authentication of a payment means, a conventional smart card, credit card or other means of payment can be used.

Gemäß einem Aspekt der vorliegenden Erfindung wird das Bezahlmittel mittels einer externen Stromquelle versorgt. Dies hat den Vorteil, dass keine teure interne Stromquelle, also eine Batterie, vorzusehen ist. Vielmehr ermöglicht das erfindungsgemäße Verfahren, dass auf besonders energieintensive Komponenten und Verfahrensschritte verzichtet werden kann.According to one aspect of the present invention, the payment means is powered by an external power source. This has the advantage that no expensive internal power source, so a battery is provided. Rather, the method according to the invention makes it possible to dispense with particularly energy-intensive components and method steps.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird das Bezahlmittel derart ausgestaltet, dass keine optische Ausgabe erfolgt. Dies hat den Vorteil, dass beispielsweise ein Display eingespart wird, da die erfindungsgemäßen Verfahrensschritte lediglich ein Übermitteln von Daten von der Karte an einen Kommunikationspartner (PC, Laptop, etc.) mittels elektronischer Komponenten vorsehen. Erfindungsgemäß erfolgt die Kommunikation zwischen den einzelnen Kommunikationspartnern, dem Bezahlmittel und ggf. mit einem Dienstleister, gegenüber dem sich das Bezahlmittel authentisieren soll, kontaktbehaftet oder kontaktlos über Luftschnittstellen. Somit wird es also gemäß einer Ausführungsform der Erfindung vermieden, dass ein Benutzer ein optisches Display auslesen muss. Dies stellt zusätzlich einen weiteren Sicherheitsgewinn dar.According to a further aspect of the present invention, the payment means is designed such that no optical output takes place. This has the advantage that, for example, a display is saved since the method steps according to the invention merely provide for transmitting data from the card to a communication partner (PC, laptop, etc.) by means of electronic components. According to the communication between the individual communication partners, the payment means and possibly with a service provider, against which the payment means to authenticate, contact-based or contactless via air interfaces. Thus, it is thus avoided according to an embodiment of the invention that a user must read an optical display. This additionally represents a further security gain.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird der Initialisierungswert während eines Herstellungsschritts des Bezahlmittels bereitgestellt. Dies hat den Vorteil, dass das Bezahlmittel, also die Kreditkarte bzw. die Smartcard, schon mit dem Initialisierungwert ausgestattet werden kann, welcher während eines Individualisierungsschritts des Bezahlmittels eingebracht wird. Somit muss gemäß diesem Aspekt der Erfindung dieser Initialisierungswert nicht netzwerktechnisch übermittelt werden, was einen zusätzlichen Sicherheitsgewinn bedeutet. Wird beispielsweise der Speicher einer Smartcard im Herstellungsprozess beschrieben, so kann mit dem hinterlegten Steuerbefehl auch gleich der Initialisierungswert in einen entsprechenden Speicher eingeschrieben werden.According to another aspect of the present invention, the initialization value is provided during a manufacturing step of the payment means. This has the advantage that the payment means, ie the credit card or the smart card, can already be equipped with the initialization value which is introduced during an individualization step of the payment means. Thus, according to this aspect of the invention, this initialization value does not have to be transmitted via the network, which means an additional security gain. If, for example, the memory of a smartcard is described in the production process, the initialization value can also be written into a corresponding memory using the stored control command.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung weist die Zeichenfolge eine zeitliche Gültigkeit auf. Dies hat den Vorteil, dass die Zeichenfolge nach einer gewissen Zeitspanne verfällt und nicht weiter genutzt werden kann. Somit kann auch ein Angreifer die Zeichenfolge nicht verwenden, sobald diese abgelaufen ist. Bei einer Gültigkeit kann es sich um eine relative Zeitspanne oder aber auch um einen absoluten Wert handeln. Somit kann auch auf einen Timer, also einen Zeitgeber, oder einen Zähler, verzichtet werden, da die zufällig ausgewählte Zeichenfolge eben nur zu bestimmten Zeitpunkten gültig ist und somit eine Zeit impliziert.According to another aspect of the present invention, the string has a temporal validity. This has the advantage that the string expires after a certain period of time and can not be used further. Thus an attacker can not use the string once it has expired. A validity can be a relative time span or an absolute value. Thus, it is also possible to dispense with a timer, that is to say a timer or a counter, since the randomly selected character string is valid only at certain times and thus implies a time.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird mindestens eine weitere Zeichenfolge bereitgestellt, welche bei einer Ungültigkeit der ursprünglichen Zeichenfolge verwendet wird. Dies hat den Vorteil, dass bei einem internen Fehler bzw. bei einer Ungenauigkeit, welche dazu führt, dass eine Zeichenfolge ihre Gültigkeit verloren hat, eine ersatzweise bereitgestellte Zeichenfolge verwendet werden kann. Somit wird vermieden, dass eine weitere Zeichenfolge erst angefragt, übermittelt und verarbeitet werden muss. Diese zweite Zeichenfolge liegt also typischerweise bereits vor, falls die erste Zeichenfolge ungültig ist.In accordance with another aspect of the present invention, there is provided at least one more string of characters used in an invalidation of the original string. This has the advantage that, in the case of an internal error or an inaccuracy, which leads to a string having lost its validity, a substitute-provided string can be used. This avoids having to request, transmit and process another string of characters. This second string is therefore typically already present if the first string is invalid.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird in dem Bezahlmittel mindestens eine Zeichenfolge abgespeichert. Dies hat den Vorteil, dass die Zeichenfolge bereits mit Auslieferung des Bezahlmittels vorliegen kann, und ferner, dass ein Offline-Verfahren implementiert werden kann, bei dem die Zeichenfolgen auf Vorrat in dem Bezahlmittel hinterlegt werden, derart, dass bei einem Ausfall einer Kommunikationsverbindung bereits Zeichenfolgen bzw. mindestens eine Zeichenfolge vorliegt.According to a further aspect of the present invention, at least one character string is stored in the payment means. This has the advantage that the string can already be present with the delivery of the means of payment, and further that an off-line method can be implemented in which the strings are stored in the payment means in such a way that in the event of a failure of a communication connection, strings already exist or at least one string exists.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird zur Kommunikation mit dem Bezahlmittel ein Lesegerät bereitgestellt, welches zumindest indirekt über eine Kommunikationsschnittstelle mit den Kommunikationspartnern verfügt. Dies hat den Vorteil, dass erfindungsgemäß kein manuelles Auslesen einer Prüfnummer notwendig ist, sondern vielmehr kann die Kommunikationsschnittstelle die notwendige Kommunikation übernehmen und somit eine Benutzereingabe überflüssig machen. Hierbei kann das Lesegerät über weitere Sicherheitsmechanismen verfügen.According to a further aspect of the present invention, a reader is provided for communication with the payment means, which has at least indirectly via a communication interface with the communication partners. This has the advantage that according to the invention no manual readout of a check number is necessary, but rather the communication interface can take over the necessary communication and thus make a user input superfluous. In this case, the reader may have other security mechanisms.

Die mindestens eine Zeichenfolge kann erfindungsgemäß auch im Lesegerät abgespeichert werden, insbesondere in solchen Speicherbereichen, welche über eine spezielle Sicherheit gegen unbefugtes Auslesen verfügen.According to the invention, the at least one character string can also be stored in the reading device, in particular in those memory areas which have a special security against unauthorized reading out.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird der erste Kommunikationspartner als ein Public-Salt-Server und der zweite Kommunikationspartner als ein Verifikation-Server bereitgestellt. Dies hat den Vorteil, dass bereits bekannte Kryptographiemechanismen erfindungsgemäß wiederverwendet werden können. Hierbei bezeichnet ein sogenannter Salt in der Kryptographie eine zufällig gewählte Zeichenfolge, die bei bekannten Kryptographieverfahren Anwendung findet. Der Fachmann kennt hierbei entsprechende Algorithmen und kann diese derart auswählen, dass sich der erfindungsgemäße Vorteil einstellt. Insbesondere ist das vorgeschlagene Verfahren deshalb vorteilhaft, da wie bereits beschrieben wurde, der Timer nicht benötigt wird. Ferner sind herkömmliche Verifikationsalgorithmen bekannt, welche auf dem Verifikation-Server ausgeführt werden können.According to another aspect of the present invention, the first communication partner is provided as a public salt server and the second communication partner as a verification server. This has the advantage that already known cryptography mechanisms can be reused according to the invention. In this case, a so-called salt in cryptography denotes a randomly selected string which is used in known cryptography methods. The person skilled in the art knows corresponding algorithms and can select them in such a way that the adjusts the inventive advantage. In particular, the proposed method is advantageous because, as already described, the timer is not needed. Furthermore, conventional verification algorithms are known which can be executed on the verification server.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung ist die Zeichenfolge öffentlich, und der Initialisierungswert ist lediglich dem Bezahlmittel und dem zweiten Kommunikationspartner bekannt. Dies hat den Vorteil, dass der zusätzliche Aufwand für ein Geheimhalten von Parametern gering gehalten werden kann, da eben die Zeichenfolge öffentlich sein kann und somit nicht verschlüsselt werden muss.According to another aspect of the present invention, the string is public, and the initialization value is known only to the payment means and the second communication partner. This has the advantage that the additional effort for a concealment of parameters can be kept low, since just the string can be public and therefore does not need to be encrypted.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung stellt die Prüfnummer einen Card-Validation-Code, CVC, dar. Dies hat den Vorteil, dass die vorgeschlagene Prüfnummer auch bei herkömmlichen Verfahren Verwendung finden kann und somit in bekannte Anwendungsszenarien integriert werden kann.According to a further aspect of the present invention, the check number represents a card validation code, CVC. This has the advantage that the proposed check number can also be used in conventional methods and can thus be integrated into known application scenarios.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird das Bezahlmittel als eine EMV-Karte, eine Kreditkarte und/oder eine Smartcard bereitgestellt. Dies hat den Vorteil, dass das Bezahlmittel auch gemäß herkömmlichen Standards implementiert werden kann und insbesondere eine Bauart aufweist, die mit herkömmlichen Lesegeräten kompatibel ist. Somit können wiederum herkömmliche Verfahren und Hardwarekomponenten wiederverwendet werden.According to another aspect of the present invention, the payment means is provided as an EMV card, a credit card and / or a smart card. This has the advantage that the payment means can also be implemented in accordance with conventional standards and in particular has a design that is compatible with conventional readers. Thus, in turn, conventional methods and hardware components can be reused.

Die Aufgabe wird auch gelöst durch eine Systemanordnung zum effizienten und dynamischen Bereitstellen einer Prüfnummer zur Authentisierung eines Bezahlmittels, beispielsweise einer Kreditkarte. Hierbei umfasst die Systemanordnung einen ersten Kommunikationspartner, eingerichtet zum Bereitstellen einer zufällig gewählten Zeichenfolge an das Bezahlmittel sowie eine Steuerungseinheit, eingerichtet zum Generieren der Prüfnummer in dem Bezahlmittel in Abhängigkeit eines Initialisierungswerts und der bereitgestellten Zeichenfolge sowie einen zweiten Kommunikationspartner, eingerichtet zum Authentifizieren des Bezahlmittels unter Verwendung der generierten Prüfnummer, welcher ebenfalls die Prüfnummer in Abhängigkeit des Initialisierungswerts und der bereitgestellten Zeichenfolge errechnet.The object is also achieved by a system arrangement for the efficient and dynamic provision of a check number for the authentication of a payment means, for example a credit card. In this case, the system arrangement comprises a first communication partner, configured to provide a randomly selected character string to the payment means and a control unit configured to generate the check number in the payment means in dependence on an initialization value and the provided character string and a second communication partner, set up to authenticate the payment means using the generated check number, which also calculates the check number depending on the initialization value and the provided string.

Die Aufgabe wird auch gelöst durch ein Bezahlmittel zum effizienten und dynamischen Bereitstellen einer Prüfnummer, wobei die Prüfnummer lediglich elektronisch ausgegeben wird und das Bezahlmittel mittels einer externen Stromquelle versorgt wird. Somit weist das Bezahlmittel kein Display auf und keine interne Stromquelle, wie eine Batterie. Somit ist das Bezahlmittel eingerichtet, in dynamischer Weise eine Prüfnummer bereitzustellen.The object is also achieved by a payment means for the efficient and dynamic provision of a test number, wherein the test number is only output electronically and the payment means is supplied by means of an external power source. Thus, the payment means has no display and no internal power source, such as a battery. Thus, the payment means is arranged to dynamically provide a check number.

Die Aufgabe wird auch gelöst durch ein Computerprogrammprodukt mit Steuerbefehlen, welche das vorgeschlagene Verfahren implementieren bzw. die erfindungsgemäße Systemanordnung betreiben.The object is also achieved by a computer program product with control commands which implement the proposed method or operate the system arrangement according to the invention.

Hierbei ist es besonders vorteilhaft, dass das vorgeschlagene Bezahlmittel in das vorgeschlagene Verfahren und die Systemanordnung integrierbar ist, derart, dass die Verfahrensschritte teilweise als strukturelle Merkmale des Bezahlmittels ausgestaltet werden können. So lassen sich insbesondere die Merkmale des Verfahrens, welche auf strukturelle Merkmale zurückzuführen sind, eben auch physisch in dem Bezahlmittel implementieren. Ferner ist es besonders vorteilhaft, dass das vorgeschlagene Verfahren eingerichtet ist, die erfindungsgemäße Systemanordnung zu betreiben bzw. die Systemanordnung ist eingerichtet, das vorgeschlagene Verfahren zu implementieren. Die erfindungsgemäßen Verfahrensschritte können auch als Steuerbefehle implementiert werden, welche als Computerprogrammprodukt bereitgestellt werden. So kann das erfindungsgemäße Verfahren beispielsweise als ein Protokoll implementiert werden, anhand dessen die vorgeschlagenen Komponenten kommunizieren.It is particularly advantageous that the proposed payment means can be integrated into the proposed method and the system arrangement, such that the method steps can be configured in part as structural features of the payment means. Thus, in particular, the features of the method, which are due to structural features, can also be physically implemented in the means of payment. Furthermore, it is particularly advantageous that the proposed method is set up to operate the system arrangement according to the invention or the system arrangement is set up to implement the proposed method. The method steps according to the invention can also be implemented as control commands, which are provided as a computer program product. For example, the method according to the invention can be implemented as a protocol by means of which the proposed components communicate.

Im Folgenden wird die Erfindung anhand der beigefügten Figuren näher erläutert. Es zeigen:In the following the invention will be explained in more detail with reference to the attached figures. Show it:

1: eine Systemanordnung zum effizienten und dynamischen Bereitstellen einer Prüfnummer gemäß einem Aspekt der vorliegenden Erfindung; und 1 a system arrangement for efficiently and dynamically providing a check number according to an aspect of the present invention; and

2: ein Verfahren zum effizienten und dynamischen Bereitstellen einer Prüfnummer in einem schematischen Ablaufdiagramm gemäß einem Aspekt der vorliegenden Erfindung. 2 A method of efficiently and dynamically providing a check number in a schematic flow diagram according to one aspect of the present invention.

1 zeigt ein schematisches Blockschaltbild, in dem beispielhaft einzelne erfindungsgemäß vorgeschlagene Komponenten angetragen sind. Die Pfeile kennzeichnen hierbei jeweils eine Kommunikationsschnittstelle. Die Pfeile können entweder mittels einer kontaktlosen oder kontaktbehafteten Schnittstelle implementiert werden. So ist es beispielsweise möglich, dass das Bezahlmittel 1 mit einem Lesegerät 2 eines PCs, Laptops oder eines Mobilgeräts mittels einer Nahfeldkommunikation (NFC) kommuniziert. Hierbei sind generell weitere Kommunikationswege möglich. 1 shows a schematic block diagram in which, by way of example, individual components proposed according to the invention are proposed. The arrows each indicate a communication interface. The arrows can be implemented by either a contactless or contact interface. For example, it is possible that the means of payment 1 with a reader 2 a PC, laptop, or mobile device using Near Field Communication (NFC). In this case, further communication paths are generally possible.

Generell zeigt 1 eine Systemanordnung zum effizienten und dynamischen Bereitstellen einer Prüfnummer zur Authentisierung eines Bezahlmittels 1, aufweisend einen ersten Kommunikationspartner 3, eingerichtet zum Bereitstellen einer zufällig gewählten Zeichenfolge an das Bezahlmittel 1, sowie eine Steuerungseinheit, eingerichtet zum Generieren der Prüfnummer in dem Bezahlmittel 1 in Abhängigkeit eines Initialisierungswerts und der bereitgestellten Zeichenfolge, sowie einen zweiten Kommunikationspartner 4, eingerichtet zum Authentifizieren des Bezahlmittels 1 unter Verwendung der generierten Prüfnummer, welcher ebenfalls die Prüfnummer in Abhängigkeit des Initialisierungswerts und der bereitgestellten Zeichenfolge errechnet. Somit erfolgt eine positive Authentifizierung, falls die bereitgestellte Prüfnummer und die mittels des zweiten Kommunikationspartners errechnete Prüfnummer übereinstimmen.Generally shows 1 a system arrangement for efficiently and dynamically providing a check number for authentication of a payment means 1 comprising a first communication partner 3 , set up to provide a randomly selected string to the means of payment 1 and a control unit configured to generate the check number in the means of payment 1 depending on an initialization value and the provided string, as well as a second communication partner 4 , set up to authenticate the means of payment 1 using the generated check number, which also calculates the check number depending on the initialization value and the provided string. Thus, there is a positive authentication, if the provided test number and the calculated by means of the second communication partner test number match.

Einer der erfindungsgemäßen Vorteile basiert darauf, dass eine handelsübliche EMV-Karte mit einem entsprechenden Applet für die Generierung eines dynamischen CVC-Wertes verwendet werden kann. Es ist daher keine Batterie, kein Timer und kein Display in der Karte, also dem Bezahlmittel 1, erforderlich, wodurch keine wesentlichen Mehrkosten auf der Karte entstehen. Damit kann dieses Verfahren bzw. die vorgeschlagenen Komponenten erheblich kostengünstiger durchgeführt bzw. bereitgestellt werden, und somit in größeren Volumina angeboten werden, als bekannte Display-Karten. Gleichzeitig erfolgt die CVC-Generierung in einer geschützten Umgebung des Kartenchips, was selbst im Fall der Display-Karte nicht gegeben ist. Durch das Gesamtschema wird sichergestellt, dass die Karte zum Zeitpunkt der Transaktion auch tatsächlich zur Verfügung stand. Die Generierung eines gültigen CVC-Wertes kann nicht ohne die EMV-Karte erfolgen. Im Gegensatz zur Display-Karte ist der geheime Seed-Wert jedoch im EMV-Chip gegenüber Seitenkanalattacken geschützt.One of the advantages of the invention is based on the fact that a commercially available EMC card with a corresponding applet can be used for the generation of a dynamic CVC value. It is therefore no battery, no timer and no display in the card, so the means of payment 1 , which means that there are no significant additional costs on the card. Thus, this method or the proposed components can be carried out considerably more cost-effectively or provided, and thus offered in larger volumes, as known display cards. At the same time, CVC generation takes place in a protected environment of the card chip, which is not the case even in the case of the display card. The overall scheme ensures that the card was actually available at the time of the transaction. The generation of a valid CVC value can not be done without the EMC card. Unlike the display card, however, the secret seed value in the EMV chip is protected against side-channel attacks.

2 zeigt ein schematisches Ablaufdiagramm eines Verfahrens zum effizienten und dynamischen Bereitstellen einer Prüfsumme zur Authentisierung eines Bezahlmittels 1, aufweisend ein Bereitstellen 100 einer von einem ersten Kommunikationspartner 3 zufällig gewählten Zeichenfolge an das Bezahlmittel 1, sowie ein Generieren 101 der Prüfsumme durch eine Steuerungseinheit des Bezahlmittels 1 in Abhängigkeit eines Initialisierungswerts und der bereitgestellten 100 Zeichenfolge sowie ein Authentifizieren 103 des Bezahlmittels 1 unter Verwendung der generierten Prüfnummer durch einen zweiten Kommunikationspartner 4, welcher ebenfalls die Prüfnummer in Abhängigkeit des Initialisierungswerts und der bereitgestellten Zeichenfolge errechnet 102. Der Fachmann erkennt hierbei, dass die Verfahrensschritte teilweise iterativ und/oder in anderer Reihenfolge durchgeführt werden können. Ferner können weitere Unterschritte notwendig sein. 2 shows a schematic flow diagram of a method for efficiently and dynamically providing a checksum for authentication of a payment means 1 comprising providing 100 one of a first communication partner 3 randomly selected string to the means of payment 1 , as well as generating 101 the checksum by a control unit of the payment means 1 depending on an initialization value and the provided 100 String and authentication 103 of the means of payment 1 using the generated check number by a second communication partner 4 which also calculates the check number depending on the initialization value and the provided string 102 , The person skilled in the art recognizes that the method steps can be carried out partly iteratively and / or in a different order. Furthermore, further sub-steps may be necessary.

In dem vorgeschlagenen Verfahren wird die Karte beispielsweise in einen Kartenleser gesteckt (kontaktbasierte Karten) oder an ein Mobilgerät mit NFC gehalten (kontaktlose Karten) und über einen PC bzw. eine mobile Applikation die Erzeugung des CVC-Wertes ausgelöst. Dazu befindet sich ein Applet auf der Karte, also Steuerbefehle, welche ein Einmal-Passwort bzw. einen OTP-Wert erzeugen. Der benötigte Seed-Wert ist bereits bei der Personalisierung der Karte gemäß einem Aspekt der vorliegenden Erfindung erzeugt und eingebracht worden. Der erzeugte CVC-Wert wird auf dem Display des Computers bzw. des Mobilgeräts angezeigt und kann für die Transaktion verwendet werden. Somit ist für die Kreditkarte bzw. das Bezahlmittel kein eigenes Display notwendig. Da dieses Verfahren für Online-Transaktionen eingesetzt wird, ist immer mindestens ein Gerät mit einer Online-Verbindung vorhanden. Wird ein Mobilgerät als Zweitgerät verwendet (die primäre Transaktion erfolgt auf einem PC oder Laptop), kann dieses über eine temporäre Verbindung mit dem Erstgerät dessen Onlineverbindung nutzen, d. h. also auch ohne eigene Onlineverbindung sein.In the proposed method, the card is inserted, for example, in a card reader (contact-based cards) or held on a mobile device with NFC (contactless cards) and triggered the generation of the CVC value via a PC or a mobile application. For this there is an applet on the card, ie control commands which generate a one-time password or an OTP value. The required seed value has already been generated and incorporated in the personalization of the card according to one aspect of the present invention. The generated CVC value is displayed on the display of the computer or mobile device and can be used for the transaction. Thus, no separate display is necessary for the credit card or the payment means. Because this method is used for online transactions, there is always at least one device with an online connection. If a mobile device is used as the second device (the primary transaction is on a PC or laptop), it can use its on-line connection through a temporary connection to the first device; H. So be without its own online connection.

Erfindungsgemäß ist es besonders vorteilhaft, dass an diesem Verfahren auch potentiell nicht vertrauenswürdige Geräte, also ein PC oder ein Mobilgerät, beteiligt werden können, weshalb zusätzliche Sicherheitsmechanismen hiermit erfindungsgemäß vorgeschlagen werden.According to the invention, it is particularly advantageous that potentially untrustworthy devices, ie a PC or a mobile device, can also be involved in this method, which is why additional security mechanisms are hereby proposed according to the invention.

Gemäß einem Aspekt der vorliegenden Erfindung wird sichergestellt, dass die Karte während der Transaktion tatsächlich zur Verfügung steht. Insbesondere darf es nicht möglich sein, auf Vorrat zukünftige CVC-Werte zu generieren, die dann zu einem späteren Zeitpunkt als gültige Werte eingesetzt werden können.In accordance with one aspect of the present invention, it is ensured that the card is actually available during the transaction. In particular, it must not be possible to generate future CVC values in stock, which can then be used as valid values at a later date.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung darf ein Angriff auf die Kommunikation zwischen dem PC bzw. Mobilgerät und der Karte, also dem Bezahlmittel, nicht zu einem Sicherheitsrisiko führen, welches gegenüber der dynamischen CVC-Display-Karte erhöht ist. Hierbei ist zu beachten, dass auch die dynamische CVC-Display-Karte nicht vor Phishing-Attacken geschützt ist, sondern lediglich das Zeitfenster für die Nutzung der abgefangenen Daten reduziert wird. Es muss somit verhindert werden, dass ein anderes Gerät oder eine andere Applikation, also Steuerbefehle, auf dem berechtigten Gerät eine dynamische CVC-Generierung durchführen kann.According to a further aspect of the present invention, an attack on the communication between the PC or mobile device and the card, that is to say the payment means, must not lead to a security risk which is increased in comparison with the dynamic CVC display card. It should be noted that even the dynamic CVC display card is not protected against phishing attacks, but only the time window for the use of the intercepted data is reduced. It must thus be prevented that another device or another application, ie control commands, can perform a dynamic CVC generation on the authorized device.

Insbesondere bei Mobilgeräten darf der Verlust des Geräts nicht zu einem Sicherheitsrisiko führen, welches zeitlich unbegrenzt ist. Ferner kann es vorkommen, dass häufig die Datenverbindung getrennt wird oder es zu Abbrüchen bei einer Transaktion bzw. bei einem Authentifizieren kommt. Daher ist ein einfaches Zähler-basiertes Verfahren, wie es der Stand der Technik als HOTP-Verfahren lehrt, nicht zielführend, da es schnell zu einer Desynchronisation des kartenseitigen und serverseitigen Zählers kommen würde.In particular, in mobile devices, the loss of the device must not lead to a security risk, which is unlimited in time. Furthermore, it may happen that often the data connection is disconnected or there are aborts during a transaction or during authentication. Therefore, a simple counter-based method, as taught by the prior art as the HOTP method, is not expedient because it would quickly come to a desynchronization of the card-side and server-side counter.

Gemäß einem Aspekt der vorliegenden Erfindung besteht die Systemanordnung aus folgenden Komponenten. Dies kann eine EMV-Karte umfassen, die über ein Applet zur OTP/CVC-Generierung geeignet ist. Ferner kann ein Lesegerät in Form eines PC/Laptops vorgesehen sein, mit angeschlossenem Kabelleser oder eines Mobilgeräts mit NFC. Ferner wird als erster Kommunikationspartner ein sogenannter „Public Salt Server” vorgeschlagen, der in vordefinierten Zeitintervallen zufällige Salt-Werte generiert und zur Verfügung stellt. Hierbei ist ggf. mit einer Signatur die Authentizität zu gewährleisten. Ferner kann ein zweiter Kommunikationspartner, also ein Verifikation-Server, Verwendung finden, welcher über den geheimen Seed-Wert verfügt und der somit die CVC-Generierung durchführen kann und die Echtheit des übermittelten CVC-Wertes verifizieren kann.According to one aspect of the present invention, the system arrangement consists of the following components. This may include an EMV card that is suitable for OTP / CVC generation via an applet. Furthermore, a reading device can be provided in the form of a PC / laptop, with a connected cable reader or a mobile device with NFC. Furthermore, a so-called "public salt server" is proposed as the first communication partner, which generates and makes available random salt values at predefined time intervals. If necessary, authenticity must be guaranteed with a signature. Furthermore, a second communication partner, that is to say a verification server, can be used which has the secret seed value and can thus carry out the CVC generation and verify the authenticity of the transmitted CVC value.

Der Ablauf der vorgeschlagenen Kommunikation bzw. der Interaktion der einzelnen Komponenten kann wie folgt erfolgen. Der Benutzer startet die dynamische CVC-Applikation, welche einen aktuellen Salt-Wert vom Public-Salt-Server abfragt. Der Server antwortet mit dem Quellenwert. Da dieser Wert öffentlich bekannt sein kann, kann der Salt-Server als öffentlicher Server betrieben werden. Es ist aber auch möglich, die Funktionalität in einem geschlossenen System mit dem Verifikation-Server zu kombinieren. Daraufhin wird der Benutzer aufgefordert, die Karte in den Leser zu stecken bzw. an das NFC-Mobilgerät zu halten. Das Lesegerät schickt den Salt-Wert an die Karte und triggert die CVC-Generierung. Gegebenenfalls muss der Nutzer eine PIN für das CVC-Applet eingeben, was allerdings optional ist. Die Karte antwortet mit dem generierten CVC-Wert. Dieser Wert wird anschließend für die Online-Transaktion verwendet. Dazu werden die Kartendaten inklusive des dynamischen CVCs, über den Händler und das beteiligte Kartenschema an das Backend-System der herausgebenden Bank gesendet.The sequence of the proposed communication or the interaction of the individual components can take place as follows. The user starts the dynamic CVC application, which queries a current salt value from the public salt server. The server responds with the source value. Because this value can be publicly known, the salt server can operate as a public server. But it is also possible to combine the functionality in a closed system with the verification server. The user is then prompted to insert the card into the reader or to hold it to the NFC mobile device. The reader sends the salt value to the card and triggers the CVC generation. If necessary, the user must enter a PIN for the CVC applet, which is optional. The card responds with the generated CVC value. This value will then be used for the online transaction. For this, the card data, including the dynamic CVC, are sent via the dealer and the involved card scheme to the issuing bank's backend system.

Zur Verifikation des CVC-Werts fragt der Verifikation-Server, also der zweite Kommunikationspartner, den gültigen Salt-Wert vom Public-Salt-Server, also dem ersten Kommunikationspartner, ab. In geschlossenen Systemen kann der Verifikation-Server auch selbst den Salt-Wert generiert haben. In einer zweckmäßigen Ausführungsform wird der Salt-Server auch ein bis zwei frühere Salt-Werte mit übermitteln, um Übergänge an den Grenzen des Zeitintervalls auszugleichen. Der Verifikation-Server generiert anschließend mit dem geheimen Seed-Wert und dem Public-Salt-Wert den CVC und bestätigt im Erfolgsfall dessen Korrektheit. Somit erfolgt ein Authentifizieren des Bezahlmittels 1.To verify the CVC value, the verification server, ie the second communication partner, queries the valid salt value from the public salt server, ie the first communication partner. In closed systems, the verification server itself may have generated the salt value. In an expedient embodiment, the salt server will also transmit one to two previous salt values to compensate for transitions at the boundaries of the time interval. The verification server then generates the CVC with the secret seed value and the public salt value and confirms its correctness in case of success. Thus, an authentication of the payment means takes place 1 ,

Gemäß einem weiteren Aspekt der vorliegenden Erfindung erzeugt die Karte den CVC-Wert auf Basis des HOTP-Algorithmus gemäß einem Standard RFC4226 . Dazu wird der geheime Seed-Wert bei der Kartenpersonalisierung erzeugt und in die Karte eingebracht. Anstelle eines regelmäßig hochzählenden Zählers laut RFC4226 wird der zufällig generierte Salt-Wert verwendet. Dieser Salt-Wert ist nur während eines vorgegebenen Zeitintervalls gültig, z. B. 1 bis 20 Minuten, danach wird ein neuer Wert verwendet. Damit entfällt auch die erforderliche Synchronisation von Zählern zwischen Server und Karte. Es wird außerdem sichergestellt, dass der CVC-Wert innerhalb des Zeitfensters des Salt-Wertes generiert wurde. Zukünftige Werte sind dagegen nicht vorhersehbar, so dass keine CVC-Werte auf Vorrat generiert werden können.According to another aspect of the present invention, the map generates the CVC value based on the HOTP algorithm according to a Standard RFC4226 , For this, the secret seed value is generated during card personalization and inserted into the card. Instead of a regularly counting counter loud RFC4226 the randomly generated salt value is used. This salt value is valid only during a given time interval, e.g. 1 to 20 minutes, then a new value is used. This eliminates the need to synchronize counters between the server and the card. It also ensures that the CVC value was generated within the time window of the salt value. By contrast, future values are not predictable, so that no CVC values can be generated in advance.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung, in denen Kompatibilität mit bestehenden TOTP-Servern gewährleistet werden muss, kann der Public-Salt-Server auch einen signierten Zeitstempel ausgeben und somit als ein sogenannter Public-Timestamp-Server agieren. Die Signatur ist erforderlich, um zu verhindern, dass ein Angreifer CVC-Werte für einen zukünftigen Zeitpunkt erzeugen kann. Die Karte, also das Bezahlmittel, muss entsprechend über ein Zertifikat, also einen Public Key, verfügen, mit dem die Server-Signatur überprüft werden kann. Nur bei erfolgreicher Überprüfung generiert die Karte den CVC-Wert mittels des TOTP-Verfahrens. Hierzu gehen der geheime Seed-Wert und der Zeitstempel des Salt-Servers mit ein.According to another aspect of the present invention, in which compatibility with existing TOTP servers must be ensured, the public salt server can also issue a signed timestamp and thus act as a so-called public timestamp server. The signature is required to prevent an attacker from generating CVC values for a future time. The card, ie the means of payment, must accordingly have a certificate, ie a public key, with which the server signature can be checked. Only upon successful verification does the card generate the CVC value using the TOTP method. The secret seed value and the time stamp of the salt server are included in this.

Der signierte Zeitstempel kann alternativ auch durch den Verifikations-Server generiert werden.Alternatively, the signed timestamp can be generated by the verification server.

Alternativ kann auch eine Offline-Variante des vorgeschlagenen Verfahrens implementiert werden. In Fällen, in denen ausschließlich ein registriertes Mobilgerät mit NFC zur Generierung des CVC-Wertes in Verbindung mit einer Karte eingesetzt werden soll und dieses Mobilgerät während der Transaktion auch offline sein kann, da die eigentliche Online-Transaktion über einen PC bzw. einen Laptop erfolgt, können alternativ auch eine begrenzte Anzahl an Salt-Werten vorab an das Mobilgerät übertragen werden. Diese Werte können dann jeweils einmal zur Generierung eines CVC-Wertes mit einer EMV-Karte eingesetzt werden, also als sogenannte Single-Use-Keys. Somit kann das erfindungsgemäße Verfahren auch offline verwendet werden und limitiert das Risiko im Falle eines Verlustes des Mobilgerätes. Das Gerät muss dabei vorher bei der Bank registriert sein und sich für den Abruf neuer Salt-Werte authentisieren. Auch ist es vorteilhaft, wenn sich das Gerät gegenüber der Karte authentisiert. Bevorzugt sollten die Salt-Werte in einer Sicherheitsumgebung gespeichert werden, z. B. durch White-Box-Kryptographie geschützt.Alternatively, an offline variant of the proposed method can also be implemented. In cases where only a registered mobile device with NFC is to be used to generate the CVC value in connection with a card, and this mobile device may also be offline during the transaction, since the actual online transaction takes place via a PC or a laptop Alternatively, a limited number of salt values may be pre-transferred to the mobile device. These values can then each be used once to generate a CVC value with an EMC card, ie as so-called single-use keys. Thus, the inventive method can also be used offline and limits the risk in case of loss of the mobile device. The device must first be registered with the bank and authenticate itself to retrieve new salt values. It is also advantageous if the device authenticates against the card. Preferably, the salt values should be in a security environment be stored, for. B. protected by white-box cryptography.

Somit werden ein Verfahren und eine Systemanordnung mitsamt einem Bezahlmittel vorgeschlagen, welche technisch wenig aufwendig bereitgestellt bzw. betrieben werden können und dennoch eine sichere Bezahlung ermöglichen.Thus, a method and a system arrangement including a payment means are proposed, which can be provided and operated technically less expensive and still allow secure payment.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • WO 2015/085100 A1 [0002] WO 2015/085100 A1 [0002]

Zitierte Nicht-PatentliteraturCited non-patent literature

  • RFC6238 [0013] RFC6238 [0013]
  • Standard RFC4226 [0058] Standard RFC4226 [0058]
  • RFC4226 [0058] RFC4226 [0058]

Claims (16)

Verfahren zum effizienten und dynamischen Bereitstellen einer Prüfnummer zur Authentisierung eines Bezahlmittels (1), aufweisend: – Bereitstellen (100) einer von einem ersten Kommunikationspartner (3) zufällig gewählten Zeichenfolge an das Bezahlmittel (1); – Generieren (101) der Prüfnummer durch eine Steuerungseinheit des Bezahlmittels (1) in Abhängigkeit eines Initialisierungswerts und der bereitgestellten (100) Zeichenfolge; und – Authentifizieren (103) des Bezahlmittels (1) unter Verwendung der generierten Prüfnummer durch einen zweiten Kommunikationspartner (4), welcher ebenfalls die Prüfnummer in Abhängigkeit des Initialisierungswerts und der bereitgestellten Zeichenfolge errechnet (102).Method for the efficient and dynamic provision of a check number for the authentication of a means of payment ( 1 ), comprising: - providing ( 100 ) one of a first communication partner ( 3 ) randomly selected string to the payment means ( 1 ); - To generate ( 101 ) of the check number by a control unit of the payment means ( 1 ) depending on an initialization value and the provided ( 100 ) String; and - Authenticate ( 103 ) of the payment means ( 1 ) using the generated check number by a second communication partner ( 4 ), which also calculates the check number depending on the initialization value and the provided string ( 102 ). Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Bezahlmittel mittels einer externen Stromquelle versorgt wird.A method according to claim 1, characterized in that the payment means is powered by an external power source. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Bezahlmittel (1) derart ausgestaltet wird, dass keine optische Ausgabe auf dem Bezahlmittel (1) erfolgt.Method according to claim 1 or 2, characterized in that the payment means ( 1 ) is configured such that no optical output on the payment means ( 1 ) he follows. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Initialisierungswert während eines Herstellungsschritts des Bezahlmittels (1) bereitgestellt wird.Method according to one of the preceding claims, characterized in that the initialization value during a manufacturing step of the payment means ( 1 ) provided. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Zeichenfolge eine zeitliche Gültigkeit aufweist.Method according to one of the preceding claims, characterized in that the string has a temporal validity. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass mindestens eine weitere Zeichenfolge bereitgestellt wird, welche bei einer Ungültigkeit der ursprünglichen Zeichenfolge durch den Verifikationsserver verwendet wird.A method according to claim 5, characterized in that at least one further character string is provided, which is used in an invalidation of the original string by the verification server. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass in dem Bezahlmittel (1) mindestens eine Zeichenfolge abgespeichert wird.Method according to one of the preceding claims, characterized in that in the payment means ( 1 ) at least one string is stored. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zur Kommunikation mit dem Bezahlmittel (1) ein Lesegerät (2) bereitgestellt wird, welches zumindest indirekt über eine Kommunikationsschnittstelle mit den Kommunikationspartnern (3, 4) verfügt.Method according to one of the preceding claims, characterized in that for communication with the payment means ( 1 ) a reader ( 2 ), which at least indirectly via a communication interface with the communication partners ( 3 . 4 ). Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass in dem Lesegerät (2) mindestens eine Zeichenfolge abgespeichert wird.Method according to one of the preceding claims, characterized in that in the reading device ( 2 ) at least one string is stored. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der erste Kommunikationspartner (3) als ein Public-Salt-Server und der zweite Kommunikationspartner (4) als ein Verifikations-Server bereitgestellt wird.Method according to one of the preceding claims, characterized in that the first communication partner ( 3 ) as a public salt server and the second communication partner ( 4 ) is provided as a verification server. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Zeichenfolge öffentlich ist und der Initialisierungswert lediglich dem Bezahlmittel (1) und dem zweiten Kommunikationspartner (4) bekannt ist.Method according to one of the preceding claims, characterized in that the string is public and the initialization value only the payment means ( 1 ) and the second communication partner ( 4 ) is known. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Prüfnummer einen Card Validation Code (CVC) bereitstellt.Method according to one of the preceding claims, characterized in that the check number provides a Card Validation Code (CVC). Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Bezahlmittel (1) als eine EMV-Karte, eine Kreditkarte, ein Wearable und/oder eine Smartcard bereitgestellt wird.Method according to one of the preceding claims, characterized in that the payment means ( 1 ) as an EMV card, a credit card, a wearable and / or a smart card. Systemanordnung zum effizienten und dynamischen Bereitstellen einer Prüfnummer zur Authentisierung eines Bezahlmittels (1), aufweisend: – einen ersten Kommunikationspartner (3) eingerichtet zum Bereitstellen (100) einer zufällig gewählten Zeichenfolge an das Bezahlmittel (1); – eine Steuerungseinheit eingerichtet zum Generieren (101) der Prüfnummer in dem Bezahlmittel (1) in Abhängigkeit eines Initialisierungswerts und der bereitgestellten (100) Zeichenfolge; und – einen zweiten Kommunikationspartner (4) eingerichtet zum Authentifizieren (103) des Bezahlmittels (1) unter Verwendung der generierten Prüfnummer, welcher ebenfalls die Prüfnummer in Abhängigkeit des Initialisierungswerts und der bereitgestellten Zeichenfolge errechnet (102).System arrangement for the efficient and dynamic provision of a check number for the authentication of a payment medium ( 1 ), comprising: - a first communication partner ( 3 ) arranged to provide ( 100 ) of a randomly selected string to the payment means ( 1 ); A control unit configured to generate ( 101 ) of the verification number in the payment means ( 1 ) depending on an initialization value and the provided ( 100 ) String; and - a second communication partner ( 4 ) set up for authentication ( 103 ) of the payment means ( 1 ) using the generated check number, which also calculates the check number depending on the initialization value and the provided string ( 102 ). Bezahlmittel (1) zum effizienten und dynamischen Bereitstellen einer Prüfnummer, dadurch gekennzeichnet, dass die Prüfnummer lediglich elektronisch ausgegeben wird und das Bezahlmittel mittels einer passiven Stromquelle versorgt wird.Payment means ( 1 ) for the efficient and dynamic provision of a test number, characterized in that the test number is issued only electronically and the payment means is powered by a passive power source. Computerprogrammprodukt mit Steuerbefehlen, welche das Verfahren gemäß einem der Ansprüche 1 bis 12 implementieren.Computer program product with control instructions implementing the method according to one of claims 1 to 12.
DE102016011878.4A 2016-10-04 2016-10-04 Dynamic provision of a verification number Pending DE102016011878A1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102016011878.4A DE102016011878A1 (en) 2016-10-04 2016-10-04 Dynamic provision of a verification number
EP17780003.4A EP3523768A1 (en) 2016-10-04 2017-09-29 Dynamic provision of a verification number
PCT/EP2017/001164 WO2018065091A1 (en) 2016-10-04 2017-09-29 Dynamic provision of a verification number

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016011878.4A DE102016011878A1 (en) 2016-10-04 2016-10-04 Dynamic provision of a verification number

Publications (1)

Publication Number Publication Date
DE102016011878A1 true DE102016011878A1 (en) 2018-04-05

Family

ID=60019856

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016011878.4A Pending DE102016011878A1 (en) 2016-10-04 2016-10-04 Dynamic provision of a verification number

Country Status (3)

Country Link
EP (1) EP3523768A1 (en)
DE (1) DE102016011878A1 (en)
WO (1) WO2018065091A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0552392A1 (en) * 1992-01-22 1993-07-28 Siemens Nixdorf Informationssysteme Aktiengesellschaft Method for mutual authentification of an IC-card and a terminal
DE102009051201A1 (en) * 2009-10-29 2011-05-05 Siemens Aktiengesellschaft Authentication and data integrity protection of a token
WO2015085100A1 (en) 2013-12-05 2015-06-11 Mastercard International Incorporated Method and system for network based dynamic cvc authentication

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2479602C (en) * 2002-03-19 2014-12-23 Mastercard International Incorporated Method and system for conducting a transaction using a proximity device
US8756674B2 (en) * 2009-02-19 2014-06-17 Securekey Technologies Inc. System and methods for online authentication
US10360558B2 (en) * 2015-03-17 2019-07-23 Ca, Inc. Simplified two factor authentication for mobile payments

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0552392A1 (en) * 1992-01-22 1993-07-28 Siemens Nixdorf Informationssysteme Aktiengesellschaft Method for mutual authentification of an IC-card and a terminal
DE102009051201A1 (en) * 2009-10-29 2011-05-05 Siemens Aktiengesellschaft Authentication and data integrity protection of a token
WO2015085100A1 (en) 2013-12-05 2015-06-11 Mastercard International Incorporated Method and system for network based dynamic cvc authentication

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
Challenge-Response-Authentifizierung. In: Wikipedia, die freie Enzyklopädie. Bearbeitungsstand: 23. September 2016, 12:30 UTC. URL: https://de.wikipedia.org/w/index.php?title=Challenge-Response-Authentifizierung&oldid=158154750 [abgerufen: 26. Mai 2017] *
ECKERT, C.: IT-Sicherheit: Konzepte - Verfahren - Protokolle. IT-Sicherheit: Konzepte - Verfahren – Protokolle. Oldenbourg Wissenschaftsverlag; Auflage: neunte Auflage, 2014. S.465 -, 495. – ISBN-13: 978-3486578515 *
RFC4226
RFC6238
Standard RFC4226

Also Published As

Publication number Publication date
EP3523768A1 (en) 2019-08-14
WO2018065091A1 (en) 2018-04-12

Similar Documents

Publication Publication Date Title
EP3574610B1 (en) Method for carrying out a two-factor authentication
DE102009051201B4 (en) Authentication and data integrity protection of a token
DE112011100182T5 (en) Transaction check for data security devices
EP2765752A1 (en) Method for equipping a mobile terminal with an authentication certificate
DE102018005038A1 (en) Smart card as a security token
EP3465513B1 (en) User authentication by means of an id token
EP3422274A1 (en) Method for configuring or changing a configuration of a payment terminal and/or for allocating a payment terminal to an operator
EP3767513B1 (en) Method for secure execution of a remote signature, and security system
EP2996299B1 (en) Method and assembly for authorising an action on a self-service system
WO2011072952A1 (en) Device and method for ensuring access rights to a maintenance functionality
EP3125464B1 (en) Blocking service for a certificate created using an id token
DE102016011878A1 (en) Dynamic provision of a verification number
EP3271855B1 (en) Method for generating a certificate for a security token
DE102012224083A1 (en) Method for Personalizing a Secure Element (SE) and Computer System
EP2909779B1 (en) Method for generating a one-time-password (otp)
EP3232640B1 (en) Validation and disabling of certificates
DE10259270A1 (en) Personalization of security modules
EP3283999B1 (en) Electronic system for producing a certificate
WO2014060265A1 (en) Method for authentication by means of a token
EP2880810B1 (en) Authentication of a document to a reading device
WO2016071196A1 (en) Method for altering a data structure stored in a chip card, signature device and electronic system
EP3248357A1 (en) Certificate token for providing a digital certificate of a user
EP2819077A1 (en) Method for activating at least one service in an e-wallet
DE102012214132A1 (en) Procedure for releasing a transaction
DE102012004484A1 (en) Procedure for creating a derived instance

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0009320000

Ipc: G06Q0020400000

R163 Identified publications notified
R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT EPAYMENTS GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE