DE102021005350A1 - Autorisieren einer Anwendung auf einem Sicherheitselement - Google Patents

Autorisieren einer Anwendung auf einem Sicherheitselement Download PDF

Info

Publication number
DE102021005350A1
DE102021005350A1 DE102021005350.8A DE102021005350A DE102021005350A1 DE 102021005350 A1 DE102021005350 A1 DE 102021005350A1 DE 102021005350 A DE102021005350 A DE 102021005350A DE 102021005350 A1 DE102021005350 A1 DE 102021005350A1
Authority
DE
Germany
Prior art keywords
user verification
application
user
controller
sensor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021005350.8A
Other languages
English (en)
Inventor
Oliver Gibis
Werner Ness
Alexander Summerer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient ePayments GmbH
Original Assignee
Giesecke and Devrient Mobile Security GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient Mobile Security GmbH filed Critical Giesecke and Devrient Mobile Security GmbH
Priority to DE102021005350.8A priority Critical patent/DE102021005350A1/de
Priority to CN202280071466.3A priority patent/CN118159966A/zh
Priority to PCT/EP2022/000097 priority patent/WO2023072423A1/de
Publication of DE102021005350A1 publication Critical patent/DE102021005350A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Collating Specific Patterns (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Ein erfindungsgemäßes Verfahren zum Autorisieren einer auf einem Sicherheitselement 3 installierten Anwendung 12 umfasst die Schritte der Erfassens 41 eines Benutzermerkmals durch einen Sensor 6 eines Benutzerverifikationselements 100 und Erzeugens von Sensordaten, die das Benutzermerkmal charakterisieren; des Ableitens 42 eines Benutzerverifikationsstatus aus den Sensordaten durch das Benutzerverifikationselement 100; und des Übermittelns 43 des Benutzerverifikationsstatus von dem Benutzerverifikationselement 100 an das Sicherheitselement 3 zum Autorisieren der Anwendung 12 durch das Sicherheitselement 3.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Autorisieren einer auf einem Sicherheitselement installierten Anwendung sowie eine entsprechende Vorrichtung mit einem Sicherheitselement und einem Benutzerverifikationselement.
  • Es sind mobile Vorrichtungen bekannt, die für digitale Transaktionen eingesetzt werden können, etwa für digitales Bezahlen oder dergleichen. Derartige Vorrichtungen können beispielsweise als Uhren oder Schlüsselanhänger ausgeführt sein, aber auch als Telekommunikationsendgeräte, wie etwa Mobiltelefone oder dergleichen. Häufig ist es vorteilhaft, diese Vorrichtungen mit einer Möglichkeit zur Benutzerverifikation auszustatten, beispielsweise mittels einer biometrischen Prüfung, um Transaktionen abzusichern.
  • Allerdings können die für eine Transaktion erforderlichen Applikationen bzw. Anwendungen, die häufig auf den betreffenden Sicherheitselementen installiert sind und von diesen ausgeführt werden, nicht durch den Hersteller der Vorrichtungen modifiziert werden, etwa weil dies Zertifizierungs- oder andere Sicherheitsanforderungen nicht zulassen.
  • In anderen Fällen werden die Anwendungen als Binärcode von Drittanbietern bereitgestellt und der Quellcode liegt dem Hersteller der genannten Vorrichtungen gar nicht vor. Für ein Absichern von Transaktionen muss daher beispielsweise der Drittanbieter mit einer entsprechenden Modifikation beauftragt werden. Um sämtliche relevanten Anwendungen entsprechend zu modifizieren, müssen unter Umständen verschiedene Arten von biometrischen Prüfungen individuell berücksichtigt und/oder verschiedene Drittanbieter tätig werden. Dies führt regelmäßig dazu, dass Anwendungen zusätzlich oder erneut zertifiziert werden müssen, was erhebliche Kosten und Zeitaufwand zur Folge hat.
  • Es ist insofern die Aufgabe der vorliegenden Erfindung, eine Lösung vorzuschlagen, die die oben genannten sowie weitere Nachteile des Standes der Technik überwindet.
  • Gelöst wird diese Aufgabe durch ein Verfahren sowie eine Vorrichtung gemäß den unabhängigen Ansprüchen. In den abhängigen Ansprüchen werden weitere Ausgestaltungen und bevorzugte Ausführungsformen der Erfindung angegeben.
  • Die vorliegende Erfindung betrifft ein Autorisieren einer auf einem Sicherheitselement installieren Anwendung und umfasst mehrere Schritte: Gemäß einem ersten Schritt wird ein Benutzermerkmal eines Benutzers mittels eines Sensors eines Benutzerverifikationselements erfasst und daraus werden Sensordaten ermittelt, die das Benutzermerkmal charakterisieren. In einem zweiten Schritt leitet das Benutzerverifikationselement aus den Sensordaten einen Benutzerverifikationsstatus des Benutzers ab. In einem dritten Schritt wird der abgeleitete Benutzerverifikationsstatus von dem Benutzerverifikationselement an das Sicherheitselement zum Autorisieren der Anwendung durch das Sicherheitselement übermittelt und die Anwendung anhand des Benutzerverifikationsstatus autorisiert.
  • Die derart charakterisierte Erfindung ermöglicht es, einem Sicherheitselement mit darauf installierten Anwendungen einen Benutzerverifikationsstatus bereitzustellen und dort zur Autorisierung der Anwendung zu nutzen. Weder das Sicherheitselement bzw. dessen Betriebssystem noch die Anwendung selbstmuss die Benutzerverifikation selbst durchführen oder hierfür spezifisch angepasst werden. Bereits existierende Anwendungen können erfindungsgemäß mit einem Zugriffs- und/ oder Transaktionsschutz versehen werden, ohne deren Quellcode oder Binärcode zu verändern, eine Neuinstallation oder erneute Zertifizierung durchzuführen, oder die Anwendung anderweitig modifizieren zu müssen. Die Benutzerverifikation wird erfindungsgemäß modularisiert und dadurch von der eigentlichen Autorisierung entkoppelt.
  • Entsprechend werden erfindungsgemäß alle Aspekte der Benutzerverifikation auf einem Benutzerverifikationselement gebündelt, welches separat von dem Sicherheitselement realisiert ist und diesem bzw. der betreffenden Anwendung den benötigten Benutzerverifikationsstatus für deren Autorisierung zu Verfügung stellt. Etwaige auf dem Sicherheitselement ausgeführte, sicherheitsrelevante oder benutzer- oder anwendungsindividuelle Anwendungen müssen deshalb nicht für eine spezifische Benutzerverifikation angepasst werden.
  • Die erfindungsgemäße Vorrichtung ist entsprechend ausgestattet und eingerichtet, um die erfindungsgemäße Autorisierung der auf dem Sicherheitselement installierten Anwendung zu prüfen. Dazu umfasst die erfindungsgemäße Vorrichtung ein Benutzerverifikationselement und ein Sicherheitselement mit darauf installierten Anwendungen. Das Benutzerverifikationselement ist eingerichtet, ein Benutzermerkmal durch den Sensor zu erfassen und daraus einen Benutzerverifikationsstatus abzuleiten, der das Benutzermerkmal charakterisiert. Ferner ist das Benutzerverifikationselement eingerichtet, den Benutzerverifikationsstatus an das Sicherheitselement zu übermitteln. Das Sicherheitselement wiederum ist eingerichtet, den Benutzerverifikationsstatus entgegenzunehmen und diesen zum Autorisieren der Anwendung zu nutzen.
  • Vorzugsweise umfasst das erfindungsgemäße Verfahren den Schritt des Bereitstellens der genannten Vorrichtung mit Sicherheitselement und Benutzerverifikationselement. Das Sicherheitselement und das Benutzerverifikationselement sind hierbei baulich getrennt und unterhalten eine Datenkommunikationsverbindung.
  • Das Benutzerverifikationselement umfasst neben dem Sensor vorzugsweise zumindest einen dem Sensor zugeordneten Sensorcontroller sowie einen Verifikationscontroller. Vorzugsweise umfasst das Sicherheitselement wiederum eine Vermittlungsanwendung. Während der Sensorcontroller den Benutzerverifikationsstatus aus den Sensordaten ableitet übermittelt der Verifikationscontroller den Benutzerverifikationsstatus an das Sicherheitselement bzw. an dessen Vermittleranwendung. In diesem Rahmen kann die Vermittleranwendung abhängig vom Benutzerverifikationsstatus bestimmte Schritte zulassen oder verweigern, etwa die betreffende Anwendung autorisieren oder die Autorisation verweigern und die Ausführung von Transaktionen verhindern.
  • Der Sensorcontroller kann bestimmen, ob sich aus den Sensordaten ein positiver Benutzerverifikationsstatus ergibt und kann den Benutzerverifikationsstatus an den Verifikationscontroller weiterleiten. Insbesondere kann der Sensorcontroller unabhängig von den übrigen Komponenten der erfindungsgemäßen Vorrichtung bestimmen, ob der Benutzer durch die Sensordaten verifiziert werden kann.
  • Vorzugsweise wird gemäß einem Schritt des erfindungsgemäßen Verfahrens bei Vorliegen eines von dem Sensorcontroller ermittelten positiven Benutzerverifikationsstatus mindestens eine Anwendung auf dem Sicherheitselement selektiert und/ oder eine Transaktion mit der mindestens einen Anwendung durchgeführt. Bei Vorliegen eines positiven Benutzerverifikationsstatus werden beispielsweise Transaktionen mit dem Sicherheitselement zugelassen.
  • Die Benutzerverifikation mittels des Sensors und dessen Sensorcontrollers vermeidet eine sicherheitstechnische Anpassung der für die Transaktion erforderlichen Anwendung. Diese Anpassungen können stattdessen in der Vermittleranwendung und im Verifikationscontroller vorgenommen werden. Da die Benutzerverifikation mittels Sensordaten logisch und vorzugsweise baulich getrennt von den Anwendungen des Sicherheitselements realisiert und der Benutzerverifikationsstatus sicher an die Anwendungen übergeben wird, wird eine Modifikation der Anwendungen und damit ein Bruch der entsprechenden Zertifizierungen vermieden.
  • Der Sensor ist vorzugsweise ein biometrischer Sensor, der Sensordaten erzeugt, die ein biometrisches Benutzermerkmal charakterisieren. Besonders bevorzugt ist der biometrische Sensor ein Fingerabdrucksensor und der Sensorcontroller ein Fingerabdruck-Controller. Dadurch kann der Benutzerverifikationsstatus einfach ermittelt werden, weil der Benutzer keine besonderen Gegenstände besitzen oder Kenntnisse nachweisen muss. Insbesondere entlastet ein biometrischer Sensor den Verifikationscontroller. In einigen Fällen kann dies zu einem niedrigeren Energiebedarf und einer entsprechend längeren Batterielaufzeit führen.
  • Vorzugsweise wird die Vermittleranwendung des Sicherheitselements, der Verifikationscontroller und/oder der Sensorcontroller vorpersonalisiert, indem personalisierte Daten in diesen Komponenten sicher hinterlegt werden. Diese Daten umfassen vorzugsweise einen Schlüsselsatz mit einem oder mehreren kryptographischen Schlüsseln, die zur Verschlüsselung der betreffenden Datenkommunikation geeignet sind. Vorzugsweise wird bei der Vorpersonalisierung derselbe Schlüsselsatz in Vermittleranwendung, Verifikationscontroller und Sensorcontroller hinterlegt. Alternativ kann ein Schlüsselsatz zur Kommunikation des Verifikationscontrollers mit dem Sensorcontroller und ein weiterer Schlüsselsatz zur Kommunikation mit der Vermittleranwendung verwendet werden.
  • Die Verschlüsselung der Datenkommunikation zwischen Verifikationscontroller, Vermittleranwendung und/ oder Sensorcontroller verhindert das unberechtigte Auslesen oder Manipulieren des Benutzerverifikationsstatus durch einen Angreifer. Die zwischen den genannten Komponenten übermittelten Informationen und Daten werden zumindest teilweise mit Nachrichtenauthentifizierungscodes gesichert, um die Authentizität der übertragenen Informationen und Daten zu gewährleisten bzw. prüfen zu können.
  • Der Benutzerverifikationsstatus wird bevorzugt gemäß eines Sicherheitsprotokolls übermittelt, welches vorzugsweise ein Challenge-Response-Verfahren nutzt. Vorzugsweise findet die Informationsübertragung zwischen Verifikationscontroller, Vermittleranwendung und/oder Sensorcontroller zumindest teilweise gemäß einem derartigen Sicherheitsprotokoll statt. Dadurch werden Manipulationen des Benutzerverifizierungsstatus verhindert, beispielsweise durch logische Angriffe einer Schadsoftware im Verifikationscontroller oder physische Angriffe auf Kabelverbindungen zwischen den Komponenten. Diese Maßnahmen ermöglichen eine sichere Kommunikation über unsichere Komponenten der erfindungsgemäßen Vorrichtung hinweg.
  • Erfindungsgemäß wird eine Anwendung autorisiert, indem die Vermittleranwendung einen positiven Benutzerverifikationsstatus feststellt. In diesem Fall kann die Anwendung selektiert werden und/ oder es kann eine Transaktion mit Hilfe der Anwendung durchgeführt werden. Vorzugsweise wird nach dem Selektieren einer Anwendung und/ oder dem Durchführen einer Transaktion mit Hilfe einer Anwendung der Benutzerverifikationsstatus zurückgesetzt, sodass ein weiteres Selektieren von Anwendungen und/oder Durchführen einer Transaktion nur bei erneuter Benutzerverifikation möglich ist. Falls die erfindungsgemäße Vorrichtung beispielsweise nach einer Benutzerverifikation und darauffolgender Transaktion entwendet wird, wird so eine weitere, dann unautorisierte Transaktion verhindert.
  • Das Sicherheitselement führt Transaktionen in der Regel mittels einer geeigneten Sende- und Empfangseinrichtung am Sicherheitselement oder Verifikationscontroller kontaktlos durch, etwa mittels eines NFC- oder Bluetooth-Moduls mit Antenne. Die Sende- und Empfangseinrichtung kann beispielsweise am Sicherheitselement oder Verifikationscontroller angeordnet sein. Eine für eine derartige kontaktlose Transaktion eingerichtete Vorrichtung benötigt keine sicherheitstechnisch bedenklichen nach außen geführten Leitungen.
  • Vorzugsweise werden Authentisierungstransaktionen, Bezahltransaktionen und/oder Zugangstransaktion erfindungsgemäß autorisiert. Mittels einer Authentisierungstransaktion wird beispielsweise ein Benutzer authentisiert, der zuvor verifiziert wurde, so dass der Benutzer etwa eine Bezahltransaktion durchführen und/oder Zugang zu einem System oder Objekt erlangen kann.
  • Gemäß einigen Ausführungsformen hat die erfindungsgemäße Vorrichtung die Form eines Schlüsselanhängers, insbesondere ist sie ein „Key Fob“ mit integriertem Fingerabdrucksensor.
  • Vorzugsweise detektiert der Verifikationscontroller, ob der Benutzer eine Benutzerverifikation durchführen will. In diesem Fall fordert der Verifikationscontroller eine Challenge von der Vermittlungsanwendung an, etwa eine Zufallszahl, welche vorzugsweise mit einem Nachrichtenauthentifizierungscode geschützt ist, zum Beispiel mittels eines HMAC-Codes.
  • Der Sensorcontroller überprüft dann die Integrität der Challenge mit Hilfe des Nachrichtenauthentifizierungscodes. Falls der Nachrichtenauthentifizierungscode der Challenge positiv ist, führt der Sensorcontroller vorzugsweise eine Benutzerverifikation durch und ermittelt einen Benutzerverifikationsstatus.
  • Der Sensorcontroller überprüft dann die Integrität der Challenge mit Hilfe des Nachrichtenauthentifizierungscodes und führt im Falle der vorliegenden Integrität eine Benutzerverifikation durch und ermittelt einen Benutzerverifikationsstatus. Anschließend übermittelt der Sensorcontroller den verschlüsselten und gesicherten Benutzerverifikationsstatus an den Verifikationscontroller, welcher diesen an die Vermittleranwendung weiterleitet, welche den Benutzerverifikationsstatus entschlüsselt und abspeichert, wenn der zugehörige Nachrichtenauthentifizierungscode als korrekt erkannt wird. Das Betriebssystem des Sicherheitselements kann auf den derart gespeicherten Benutzerverifikationsstatus zugreifen und erlaubt im Falle eines positiven Benutzerverifikationsstatus die Selektion der Anwendung und/oder die Ausführung der betreffenden Transaktion durch die Anwendung.
  • Weitere Merkmale und Vorteile der Erfindung ergeben sich aus der folgenden Beschreibung erfindungsgemäßer Ausführungsbeispiele sowie weiterer Ausführungsalternativen im Zusammenhang mit den Zeichnungen, die zeigen:
    • 1 eine erste Ausführungsform der erfindungsgemäßen Vorrichtung;
    • 2 eine zweite Ausführungsform der erfindungsgemäßen Vorrichtung;
    • 3 eine dritte Ausführungsform der erfindungsgemäßen Vorrichtung; und
    • 4 das erfindungsgemäße Verfahren.
  • 1 zeigt eine Vorrichtung 1 mit einem Verifikationscontroller 2, der als BLE-Controller ausgeführt sein kann, beispielsweise als Bluetooth Low Energy Controller DIALOG BLE 5.0 DA14683 (WL-CSP53). Die Vorrichtung 1 weist ein Sicherheitselement 3 auf, z.B. eine Chipkarte, Smart Card, eSE, eUICC-Karte oder dergleichen, etwa einen Infineon Chip SLE78 mit einem G+D Sm@rt Caf6 Betriebssystem. Die Vorrichtung 1 umfasst weiter einen Sensorcontroller 4, insbesondere einen Fingerabdruckcontroller 5, etwa einen Nuvoton NuMicro M480, sowie einen Sensor 6, etwa einen Fingerabdrucksensor 7.
  • Der BLE-Verifikationscontroller 2 ist gemäß der Ausführungsform nach 1 der Hauptprozessor und routet alle Datenkommunikation über den BLE-Kanal zum Fingerabdruckcontroller 5 (TX/RX) und weiter zum Sicherheitselement 3. 1 zeigt in diesem Zusammenhang eine Datenverbindung DATA und Leitungen RST und CLK zwischen dem Verifikationscontroller 2 und dem Sicherheitselement 3 bzw. dem Sensorcontroller 4, ebenso wie Datenverbindungen TX („transmit“) und RX („receive“).
  • Der Verifikationscontroller 2 wird durch eine Batterie 8 mit Strom versorgt, etwa eine Lithium-Ionen-Batterie. Der Verifikationscontroller 2 versorgt die weiteren Komponenten der Vorrichtung 1 mit Strom (PWD), insbesondere das Sicherheitselement 3 und den Sensorcontroller 4. Zudem ist ein Leistungsschaltkreis 9 („Power Switch Circuit“) mit dem Verifikationscontroller 2 verbunden. Auf dem Sicherheitselement 3 sind Anwendungen 12 (z.B. JavaCard Applets und/oder qVSDC) installiert, die entweder über den Verifikationscontroller 2 kontaktbasiert oder über die angeschlossene Antenne 10 kontaktlos kommunizieren.
  • Der Fingerabdrucksensor 7 übermittelt biometrische Sensordaten, die ein Benutzermerkmal des Benutzers abbilden bzw. dieses repräsentieren, an den Fingerabdruckcontroller 5, welcher feststellt, ob der betreffende Benutzer anhand der Daten verifiziert werden kann. Der entsprechende Benutzerverifikationsstatus wird dann verschlüsselt an den Verifikationscontroller 2 und von dort weiter an die Vermittleranwendung 11 auf dem Sicherheitselement 3 übertragen. Durch die Verschlüsselung werden Manipulationen weitgehend ausgeschlossen, beispielsweise durch logische Angriffe einer Schadsoftware im Verifikationscontroller oder durch physische Angriffe, etwas Bit-Manipulationen an Schwachstellen, wie den Kabelverbindungen zwischen Fingerabdruckcontroller 5 und Verifikationscontroller 2 und Sicherheitselement 3.
  • Insbesondere sieht die Vorrichtung ein Challenge-Response-Sicherheitsprotokoll („Key Fob Fingerprint Security Protocol“) zur Sicherung der Übertragung des Benutzerverifikationsstatus über unsichere Systemkomponenten vor, wie den BLE-Controller oder die Kabelverbindungen der Vorrichtung 1.
  • Die Vorrichtung 1 weist im Sicherheitselement 3 eine Vermittleranwendung 11 auf, die den Benutzerverifikationsstatus gemäß dem Sicherheitsprotokoll entgegennimmt und abspeichert. Sobald eine Anwendung 12 selektiert wird oder eine Transaktion mit dieser durchgeführt wird, prüft das Betriebssystem 14 des Sicherheitselements 3 den Benutzerverifikationsstatus und lässt die Selektion bzw. Transaktion nur bei positivem Benutzerverifikationsstatus zu. Nach erfolgter Transaktion setzt das Sicherheitselement 3 den Benutzerverifikationsstatus zurück, sodass eine weitere Transaktion, etwa eine Selektion der Anwendung, ohne erneute Benutzerverifikation nicht möglich ist.
  • Die Vermittleranwendung 11, der Fingerabdruckcontroller 5 und der Verifikationscontroller 2 werden bei der Herstellung der Vorrichtung 1 innerhalb einer abgesicherten Umgebung mit dem Schlüsselsatz EncKeyID und MacKeyID für das Sicherheitsprotokoll „Key Fob Fingerprint Security Protocol“ vorpersonalisiert.
  • 2 illustriert den Ablauf einer Benutzerverifikation in mehreren Schritten:
    • Schritt 21: Sobald der Verifikationscontroller 2 (z.B. der BLE-Controller) feststellt, dass der Benutzer eine Benutzerverifikation mit einem Fingerabdruck als Benutzermerkmerkmal beabsichtigt, fordert der Verifikationscontroller 2 mit dem GET_CHALLENGE-Kommando eine Challenge (z.B. eine Zufallszahl) von der Vermittleranwendung 11 im Sicherheitselement an.
    • Schritt 22: Die Vermittleranwendung 11 gibt die Challenge, die mit dem Nachrichtenauthentifizierungscode HMAC geschützt ist, an den Verifikationscontroller zurück.
    • Schritt 23: Der Verifikationscontroller 2 führt zur Prüfung des Fingerabdrucks das MATCH-Kommando mit der HMAC-gesicherten Challenge als Eingabeparameter aus und referenziert die Schlüssel EncKeyID und MacKeyID als zusätzliche Eingabeparameter.
    • Schritt 24: Der Fingerabdruckcontroller 5 prüft die Integrität der Challenge mit Hilfe der HMAC-Signatur.
    • Schritt 25: Der Fingerabdruckcontroller 5 führt die Benutzerverifikation mittels Fingerabdrucks durch, falls die HMAC-Signatur korrekt ist. Andernfalls wird dem Verifikationscontroller 2 eine Fehlermeldung mitgeteilt.
    • Schritt 26: Der Fingerabdruckcontroller 5 verschlüsselt den Benutzerverifikationsstatus (OK Match, No Match) und sichert diesen über einen Nachrichtenauthentifizierungscode (HMAC) mit Hilfe der Schlüssel EncKey und MacKey ab.
    • Schritt 27: Der Fingerabdruckcontroller 5 sendet den verschlüsselten und mit HMAC gesicherten Benutzerverifikationsstatus an den Verifikationscontroller 2 zurück.
    • Schritt 28: Der Verifikationscontroller 2 leitet den Benutzerverifikationsstatus an die Vermittleranwendung 11 auf dem Sicherheitselement 3 weiter.
    • Schritt 29: Die Vermittleranwendung 11 auf dem Sicherheitselement 3 prüft die HMAC-Signatur des empfangenen Benutzerverifikationsstatus.
    • Schritt 30: Falls die HMAC-Signatur gültig ist, wird der Benutzerverifikationsstatus von der Vermittleranwendung 11 entschlüsselt.
    • Schritt 31: Der entschlüsselte Benutzerverifikationsstatus wird in der Vermittleranwendung 11 gespeichert.
    • Schritt 32: Das Betriebssystem 14 des Sicherheitselements 3 erfragt den Benutzerverifikationsstatus von der Vermittleranwendung 11 zusammen mit den definierten AIDs und Regeln und prüft diese.
    • Schritt 33: Wenn die Benutzerverifikation erfolgreich war und die Anwendung 12 eine der definierten AIDs aufweist, erlaubt das Betriebssystem 14 die Selektion der Anwendung 12 bzw. die Transaktion mit der Anwendung 12.
  • Bei der Benutzerverifikation gemäß 2 wird der Benutzerverifikationsstatus im Sicherheitselement 3 gespeichert. Alternativ kann der Benutzerverifikationsstatus im Verifikationscontroller 2 gespeichert werden, z.B. im BLE-Controller. Dazu erzeugt der Verifikationscontroller 2 eine Challenge und einen entsprechenden Nachrichtenauthentifizierungscode, etwa einen HMAC-Code, führt ein MATCH-Kommando mit der HMAC-gesicherten Challenge als Eingabeparameter aus und referenziert die kryptographischen Schlüssel EncKeyID und MacKeyID als zusätzliche Eingabeparameter.
  • Der Fingerabdruckcontroller 5 prüft die Integrität der Challenge mit Hilfe der HMAC-Signatur und führt die Benutzerverifikation mittels Fingerabdrucks durch, falls die HMAC-Signatur korrekt ist. Andernfalls wird dem Verifikationscontroller 2 eine Fehlermeldung übergeben. Der Fingerabdruckcontroller 5 verschlüsselt dann den Benutzerverifikationsstatus (OK Match, No Match), sichert diesen über einen Nachrichtenauthentifizierungscode (HMAC) ab und sendet den verschlüsselten und mit HMAC gesicherten Benutzerverifikationsstatus an den Verifikationscontroller 2 zurück. Der Verifikationscontroller 2 prüft anschließend den Nachrichtenauthentifizierungscode des empfangenen Benutzerverifikationsstatus und entschlüsselt den Benutzerverifikationsstatus, falls die HMAC-Signatur gültig ist. Der entschlüsselte Benutzerverifikationsstatus wird schließlich im Verifikationscontroller 2 gespeichert.
  • Das MATCH-Kommando kann insbesondere zu den folgenden Ergebnissen führen:
    OK Ready: Befehl empfangen; Warten auf Fingerabdruck (=Benutzermerkmal) auf dem Sensor;
    OK FP: Finger auf dem Sensor detektiert (=Sensordaten);
    OK Match: Die gewählte Vorlage stimmt mit dem Finger auf dem Sensor überein und Rückgabe des übereinstimmenden ID-Werts;
    NO Match: Die gewählte Vorlage stimmt nicht mit dem Finger auf dem Sensor überein.
  • Der Sensorcontroller 4, der Fingerabdruckcontroller 5, der Verifikationscontroller 2 sowie die Vermittleranwendung 11 erfordern vorgespeicherte Schlüssel für Verschlüsselung und Nachrichtenauthentifizierungscodes, damit ein Kommando zur Benutzerverifikation ausgeführt werden kann. Die Speicherung dieser Schlüssel in den genannten Komponenten findet während der Herstellung der Vorrichtung 1 statt und wird durch ein KEY_LOCK-Kommando permanent gesetzt.
  • Für eine auf dem Verifikationscontroller 2 basierende Benutzerverifikation werden die Schlüssel im Verifikationscontroller 2 selbst gespeichert und von diesem gegen Überschreiben gesperrt. Für die Benutzerverifikation basierend auf dem Sicherheitselement werden die Schlüssel EncKeyID_1 [16 Bytes] und MacKeyID_1 [32 Bytes] im Sicherheitselement 3 und im Sensorcontroller 4 gespeichert. Für die Benutzerverifikation basierend auf dem Verifikationscontroller 2 werden die Schlüssel EncKeyID_2 und MacKeyID_2 im Verifikationscontroller 2 und im Sensorcontroller 4 gespeichert. Diese Schlüssel können nach der Ausführung des KEY_LOCK-Kommandos nicht mehr geändert werden.
  • 3 zeigt die Vorrichtung 1 umfassend das Sicherheitselement 2 sowie das Benutzerverifikationselement 100 mit dem Verifikationscontroller 2, dem Sensor 6 und dem Sensorcontroller 4.
  • Der Verifikationscontroller 2 weist eine Prozessoreinheit 201, einen flüchtigen Speicher 202 und einen nichtflüchtigen Speicher 203 auf. Zudem weist der Verifikationscontroller 2 Kommunikationsschnittstellen 204 und 205 zur Verbindung mit dem Sensorcontroller 4 und dem Sicherheitselement 3 auf.
  • Das Sicherheitselement umfasst eine Prozessoreinheit 301, einen flüchtigen Speicher 302 und einen nichtflüchtigen Speicher 303 sowie eine Kommunikationsschnittstelle 304, die mit dem Verifikationscontroller 2 verbunden ist.
  • Der Sensorcontroller 4 weist eine Prozessoreinheit 401, einen flüchtigen Speicher 402, einen nichtflüchtigen Speicher 403 und eine Kommunikationsschnittstelle 404 auf, die mit dem Verifikationscontroller 2 verbunden ist.
  • Dabei ist das Benutzerverifikationselement 100 ausgestaltet und eingerichtet, um eine Benutzerverifikation mit Hilfe des Sensors 6 durchzuführen und den erhaltenen Benutzerverifikationsstatus verschlüsselt an die Vermittleranwendung 11 auf dem Sicherheitselement 3 zu übertragen. Insbesondere wird der Benutzerverifikationsstatus verschlüsselt vom Sensorkontroller 4 an den Verifikationskontroller 2 und von dort an das Sicherheitselement 3 übermittelt.
  • Das Sicherheitselement 3 ist dabei ausgestaltet und eingerichtet, den vom Benutzerverifikationselement 100 übermittelten, verschlüsselten Benutzerverifikationsstatus zu entschlüsseln.
  • 4 illustriert abschließend die Schritte des erfindungsgemäßen Verfahrens zum Autorisieren einer auf einem Sicherheitselement 3 installierten Anwendung 12 mittels einer erfindungsgemäßen Vorrichtung 1 mit Benutzerverifikationselement 100 und Sicherheitselement 3:
    • Schritt 41: Erfassen eines Benutzermerkmals eins Benutzers der Vorrichtung 1 durch einen Sensor 6 eines Benutzerverifikationselements (100) und Erzeugen von Sensordaten, die das Benutzermerkmal charakterisieren, durch den Sensorcontroller 4 des Benutzerverifikationselements 100;
    • Schritt 42: Ableiten eines Benutzerverifikationsstatus aus den Sensordaten durch das Benutzerverifikationselement bzw. dessen Sensorcontroller;
    • Schritt 43: Gesichertes Übermitteln des Benutzerverifikationsstatus von dem Benutzerverifikationselement 100 an das Sicherheitselement 3 zum Autorisieren der Anwendung 12 durch die Vermittlungsanwendung 11;
    • Schritt 44: Speichern der Autorisierungsinformationen auf dem Sicherheitselement 3 (optional); und
    • Schritte 45, 46: Selektieren der Anwendung 12 auf dem Sicherheitselement 3 und/oder Durchführen einer Transaktion mit Hilfe der Anwendung 12, sofern die Autorisierungsinformationen die Anforderungen der Liste erfüllt (optional).

Claims (15)

  1. Verfahren zum Autorisieren einer auf einem Sicherheitselement (3) installierten Anwendung (12), umfassend die folgenden Schritte: - Erfassen (41) eines Benutzermerkmals durch einen Sensor (6) eines Benutzerverifikationselements (100) und Erzeugen von Sensordaten, die das Benutzermerkmal charakterisieren; - Ableiten (42) eines Benutzerverifikationsstatus aus den Sensordaten durch das Benutzerverifikationselement (100); und - Übermitteln (43) des Benutzerverifikationsstatus von dem Benutzerverifikationselement (100) an das Sicherheitselement (3) zum Autorisieren der Anwendung (12) durch das Sicherheitselement (3).
  2. Verfahren nach Anspruch 1, umfassend den Schritt des Bereitstellens einer Vorrichtung (1), die das Sicherheitselement (3) und das Benutzerverifikationselement (100) umfasst.
  3. Verfahren nach Anspruch 1 oder 2, wobei der Benutzerverifikationsstatus von einem dem Sensor (6) zugeordneten Sensorcontroller (4) des Benutzerverifikationselements (100) abgeleitet wird und/oder der Benutzerverifikationsstatus von einem Verifikationscontroller (2) des Benutzerverifikationselements (100) an eine Vermittleranwendung (11) des Sicherheitselements (3) übermittelt wird.
  4. Verfahren nach Anspruch 3, wobei der Verifikationscontroller (2) den Benutzerverifikationsstatus aus den Sensordaten ableitet (42) und/oder der Sensorcontroller (4) bestimmt, ob sich aus den Sensordaten ein positiver Benutzerverifikationsstatus ergibt, und den abgeleiteten Benutzerverifikationsstatus an den Verifikationscontroller (2) weiterleitet.
  5. Verfahren nach einem der Ansprüche 1 bis 4, wobei eine Datenkommunikation zwischen dem Benutzerverifikationselement (100) und dem Sicherheitselement (3) verschlüsselt wird und/oder zumindest teilweise mit Nachrichtenauthentifizierungscodes gesichert wird.
  6. Verfahren nach einem der Ansprüche 1 bis 5, wobei der Benutzerverifikationsstatus gemäß einem Sicherheitsprotokoll von dem Benutzerverifikationselement (100) an das Sicherheitselement (3) übermittelt wird (43).
  7. Verfahren nach Anspruch 3 und Anspruch 6, wobei der Sensorcontroller (4) und/ oder der Verifikationscontroller (2) und/oder die Vermittleranwendung (11) vorpersonalisiert werden, insbesondere mit einem das Sicherheitsprotokoll betreffenden kryptographischen Schlüsselsatz.
  8. Verfahren nach Anspruch 3 und Anspruch 6 oder 7, wobei der Benutzerverifikationsstatus von dem Verifikationscontroller (2) an die Vermittleranwendung (11) mittels eines Sicherheitsprotokolls verschlüsselt übermittelt wird (43), welches ein Challenge-Response-Verfahren betrifft.
  9. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Benutzermerkmal durch einen biometrischen Sensor (6) des Benutzerverifikationselements (100) erfasst wird, insbesondere durch einen Fingerabdrucksensor (7).
  10. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Autorisieren der Anwendung (12) den weiteren Schritt umfasst: - Selektieren (45) der Anwendung (12) auf dem Sicherheitselement (3) und/oder Durchführen (46) einer Transaktion mit Hilfe der Anwendung (12), sofern eine Vermittleranwendung (11) des Benutzerverifikationselements (100) einen positiven Benutzerverifikationsstatus feststellt.
  11. Verfahren nach Anspruch 10, wobei die Vermittleranwendung (11) bei Vorliegen eines positivem Benutzerverifikationsstatus eine auf dem Sicherheitselement (3) installierte Anwendung (12) bestimmt, welche selektiert (45) und/oder mit Hilfe welcher Anwendung (12) eine Transaktion durchgeführt wird (46).
  12. Verfahren nach Anspruch 10 oder 11, wobei die Vermittleranwendung (11) über eine Liste von Kommandos verfügt, bei deren Ausführung der Benutzerverifikationsstatus einer Anwendung (12) zurückgesetzt wird und/ oder nach dem Selektieren (45) der Anwendung und/ oder dem Durchführen (46) der Transaktion den Benutzerverifikationsstatus zurücksetzt, sodass ein weiteres Selektieren (45) und/oder Durchführen einer Transaktion (46) eine Benutzerverifikation erfordert.
  13. Verfahren nach einem der Ansprüche 10 bis 12, wobei die Transaktion mittels des Sicherheitselements (3) kontaktlos durchgeführt wird (46) und/oder als Transaktion eine Authentisierungstransaktion, eine Bezahltransaktion und/oder eine Zugangskontrolltransaktion durchgeführt wird (46).
  14. Vorrichtung (1) umfassend ein Benutzerverifikationselement (100) mit einem Sensor (6) und ein Sicherheitselement (3) mit einer darauf installierten Anwendung (12), wobei das Benutzerverifikationselement (100) eingerichtet ist, ein Benutzermerkmal durch den Sensor (6) zu erfassen (41) und daraus einen Benutzerverifikationsstatus abzuleiten, der das Benutzermerkmal charakterisiert, sowie den Benutzerverifikationsstatus an das Sicherheitselement (3) zu übermitteln; und das Sicherheitselement (3) eingerichtet ist, zum Autorisieren der Anwendung (12) den Benutzerverifikationsstatus entgegenzunehmen.
  15. Vorrichtung nach Anspruch 14, wobei die Vorrichtung eingerichtet ist, ein Verfahren nach einem der Ansprüche 1 bis 13 auszuführen.
DE102021005350.8A 2021-10-27 2021-10-27 Autorisieren einer Anwendung auf einem Sicherheitselement Pending DE102021005350A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102021005350.8A DE102021005350A1 (de) 2021-10-27 2021-10-27 Autorisieren einer Anwendung auf einem Sicherheitselement
CN202280071466.3A CN118159966A (zh) 2021-10-27 2022-10-18 关于安全元件的授权应用程序
PCT/EP2022/000097 WO2023072423A1 (de) 2021-10-27 2022-10-18 Autorisieren einer anwendung auf einem sicherheitselement

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021005350.8A DE102021005350A1 (de) 2021-10-27 2021-10-27 Autorisieren einer Anwendung auf einem Sicherheitselement

Publications (1)

Publication Number Publication Date
DE102021005350A1 true DE102021005350A1 (de) 2023-04-27

Family

ID=84245847

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021005350.8A Pending DE102021005350A1 (de) 2021-10-27 2021-10-27 Autorisieren einer Anwendung auf einem Sicherheitselement

Country Status (3)

Country Link
CN (1) CN118159966A (de)
DE (1) DE102021005350A1 (de)
WO (1) WO2023072423A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090307142A1 (en) 2008-06-06 2009-12-10 Upendra Mardikar Trusted service manager (tsm) architectures and methods

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2591751A1 (en) * 2004-12-20 2006-06-29 Proxense, Llc Biometric personal data key (pdk) authentication
KR102460459B1 (ko) * 2015-02-27 2022-10-28 삼성전자주식회사 전자 장치를 이용한 카드 서비스 방법 및 장치
KR102324468B1 (ko) * 2017-03-28 2021-11-10 삼성전자주식회사 얼굴 인증을 위한 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090307142A1 (en) 2008-06-06 2009-12-10 Upendra Mardikar Trusted service manager (tsm) architectures and methods

Also Published As

Publication number Publication date
CN118159966A (zh) 2024-06-07
WO2023072423A1 (de) 2023-05-04

Similar Documents

Publication Publication Date Title
EP3416140B1 (de) Verfahren und vorrichtung zum authentisieren eines nutzers an einem fahrzeug
EP2215609B1 (de) Verfahren zum freischalten einer chipkartenfunktion mittels fernüberprüfung
DE102013215303A1 (de) Mobiles elektronisches Gerät
DE102013013179A1 (de) Verfahren zum Betreiben eines Sicherheitselements
EP3449655B1 (de) Verfahren zur sicheren interaktion eines nutzers mit einem mobilen endgerät und einer weiteren instanz
DE102021005350A1 (de) Autorisieren einer Anwendung auf einem Sicherheitselement
EP3125464B1 (de) Sperrdienst für ein durch einen id-token erzeugtes zertifikat
EP3271855B1 (de) Verfahren zur erzeugung eines zertifikats für einen sicherheitstoken
EP3336732A1 (de) Nutzerauthentifizierung mit einer mehrzahl von merkmalen
EP1915718B1 (de) Verfahren zur absicherung der authentisierung eines tragbaren datenträgers gegen ein lesegerät über einen unsicheren kommunikationsweg
DE102021005351A1 (de) Autorisieren einer Anwendung auf einem Sicherheitselement
EP3882796A1 (de) Nutzerauthentifizierung unter verwendung zweier unabhängiger sicherheitselemente
EP3336736B1 (de) Hilfs-id-token zur multi-faktor-authentifizierung
EP2909779B1 (de) Verfahren zur erzeugung eines one-time-password (otp)
DE102020205933A1 (de) Verfahren zur Kopplung eines Authentifizierungsmittels mit einem Fahrzeug
DE102021126509B4 (de) Tragbare Chipvorrichtung und Verfahren zum Ausführen eines Softwaremodul-Updates in einer tragbaren Chipvorrichtung
WO2005055018A1 (de) Verfahren und vorrichtung zur sicherung digitaler daten
EP2734984B1 (de) Verfahren zum schutz eines chipkarten-terminals gegen unberechtigte benutzung
WO2005073826A1 (de) System mit wenigstens einem computer und wenigstens einem tragbaren datenträger
DE102019109343A1 (de) Verfahren und Vorrichtung zur Übertragung digitaler Daten
WO2020234459A1 (de) Verfahren zur authentifizierung eines nutzers und authentifizierungssystem
EP2834767B1 (de) Computersystem sowie verfahren zum sicheren booten eines computersystems
DE102021206838A1 (de) Verfahren zum Einstellen einer Authentifizierungsmethode an einer elektronischen Vorrichtung und elektronische Vorrichtung
WO2003088053A2 (de) Programmsicherungsverfahren
EP1563360A1 (de) Verfahren zum schutz eines tragbaren datentr gers

Legal Events

Date Code Title Description
R163 Identified publications notified
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT EPAYMENTS GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE