DE10218943A1

DE10218943A1 - Implementing security system involves distributing authentication information via mobile radio system(s); first data record is transmitted via mobile radio network, third record via another path

Info

Publication number: DE10218943A1
Application number: DE10218943A
Authority: DE
Inventors: Roger Kilian-Kehr
Original assignee: Deutsche Telekom AG
Current assignee: Deutsche Telekom AG
Priority date: 2002-04-22
Filing date: 2002-04-22
Publication date: 2003-11-13

Abstract

The method involves the user terminal (200) forming a third data record from a first data record transmitted to the terminal and a second identity data record associated with the user terminal and sending the third data record to the security system (400) for user authentication. The first data record is sent to the terminal using at least one mobile radio network (300) and the third record is sent using another communications path (R2). Independent claims are also included for the following: (a) a security system for implementing the inventive method (b) a user terminal for implementing the inventive method (c) a security module for a user terminal (d) and a mobile radio network for implementing the inventive method.

Description

Die Erfindung betrifft ein Verfahren zur Implementierung eines Sicherheitssystems zur sicherheitsbasierten Benutzerauthentifikation einer einer Sicherheitsanlage zugeordneten Benutzer-Endeinrichtung sowie eine zur Durchführung des Verfahrens entsprechend ausgebildete Sicherheitsanlage und eine einer solchen Sicherheitsanlage zuordenbare Benutzer-Endeinrichtung. The invention relates to a method for implementation a security system for security-based User authentication of a security system assigned user terminal and one for Carried out the procedure appropriately trained Security system and such a security system assignable user terminal.

Klassische Sicherheitssysteme, wie beispielsweise Zugangskontrollsysteme werden häufig über eine Benutzerauthentifikation mittels Speicherkarten oder Chipkarten, welche kontaktbehaftet oder kontaktlos ausgebildet sein können, realisiert. Classic security systems, such as Access control systems are often over one User authentication using memory cards or Chip cards, which are contact or contactless can be formed, realized.

Üblicherweise befinden sich im Fall von Speicherkarten auf der Karte sicherheitsbasierte Informationen, wie z. B. die Identität des Benutzers, Datumsangaben und/oder Zugangsberechtigungen. Zur Benutzerauthentifikation wird diese Speicherkarte der Sicherheitsanlage, insbesondere einem zur Sicherheitsanlage gehörenden Kartenleser zur Benutzerauthentifikation entsprechend vorgezeigt. Derartige Speicherkarten weisen jedoch nur eine geringe Sicherheit auf. Insbesondere können derartige Speicherkarten auf relativ einfache Weise dupliziert werden und/oder die Kommunikation zwischen der Speicherkarte und dem Kartenleser kann von Dritten beispielsweise mittels Abhören in unerwünschter Weise erfasst werden. Usually are in the case of memory cards the card security-based information such. B. the Identity of the user, dates and / or Access permissions. For user authentication this memory card of the security system, in particular a card reader belonging to the security system User authentication shown accordingly. However, such memory cards have only a small number Security on. In particular, such Memory cards can be duplicated in a relatively simple way and / or the communication between the memory card and The card reader can be used by third parties, for example Eavesdropping in an undesirable manner.

Im Fall von Chipkarten wird in der Regel in der einem Sicherheitssystem zugeordneten Karte ein geheimer Schlüssel hinterlegt, welcher der Sicherheitsanlage bekannt ist. Übermittelt die Sicherheitsanlage der Chipkarte eine sogenannte Challenge, also im Wesentlichen ein Datensatz der eine bestimmte Anforderung enthält, wird diese von der Chipkarte zur Benutzerauthentifikation unter Verwendung des auf der Karte hinterlegten geheimen Schlüssels beispielsweise mittels eines geeigneten kryptographischen Verfahrens beantwortet. Solche Verfahren sind herkömmlicherweise als klassische Challenge/Response Verfahren bekannt. In the case of smart cards, usually one Security card associated with a secret key deposited which of the security system is known. Transmits the security system to the chip card so-called challenge, essentially a data record that contains a specific requirement, the Smart card for user authentication using the secret key stored on the card for example using a suitable cryptographic Procedure answered. Such procedures are traditionally as a classic challenge / response Process known.

Die Übermittlung der Challenge und der Response findet hierbei normalerweise über den gleichen Kommunikationskanal, also mittels einer bidirektionalen Kommunikation, beispielsweise unter Nutzung einer entsprechenden Schnittstelle zwischen dem Kartenleser und der Chipkarte, statt. The challenge and response are transmitted usually about the same Communication channel, i.e. by means of a bidirectional Communication, for example using a corresponding interface between the card reader and the chip card instead.

Aufgabe der Erfindung ist es, einen neuen und gegenüber dem aufgezeigten Stand der Technik wesentlich verbesserten Weg zur Implementierung eines Sicherheitssystems aufzuzeigen, mit welchem eine sichere und flexible Benutzerauthentifikation realisierbar ist. The object of the invention is to create a new and compared shown prior art significantly improved way to demonstrate the implementation of a security system, with which a safe and flexible User authentication is feasible.

Die Erfindung wird auf höchst überraschende Weise bereits durch ein Verfahren mit den Merkmalen des Anspruchs 1, eine Sicherheitsanlage mit den Merkmalen des Anspruchs 16 bzw. durch eine Benutzer-Endeinrichtung mit den Merkmalen des Anspruchs 22 gelöst. The invention is already in a most surprising way by a method having the features of claim 1, a Security system with the features of claim 16 or by a user terminal with the features of Claim 22 solved.

Vorteilhafte und/oder bevorzugte Weiterbildungen bzw. Ausführungsformen sind Gegenstand der jeweiligen Unteransprüche. Advantageous and / or preferred further developments or Embodiments are the subject of the respective Dependent claims.

Erfindungsgemäß ist somit zur sicherheitsbasierten Benutzerauthentifikation bei einer Sicherheitsanlage mit wenigstens einer der Sicherheitsanlage zugeordneten Benutzer-Endeinrichtung, welche in funktionaler Abhängigkeit eines ersten an diese Endeinrichtung übermittelten Datensatzes und eines zweiten der Endeinrichtung zugeordneten Identitätsdatensatzes einen dritten Datensatz bildet und diesen zur Benutzerauthentifikation an die Sicherheitsanlage rücküberträgt, vorgesehen, dass der erste Datensatz, der insbesondere einen sicherheitsbasierten Anforderungsdatensatz enthält, an die Benutzer- Endeinrichtung unter Nutzung wenigstens eines Mobilfunknetzes und der dritte Datensatz, welcher insbesondere einen zur sicherheitsbasierten Verifikation erforderlichen Antwortdatensatz enthält, unter Nutzung eines anderen Kommunikationsweges als eines von dem wenigstens einen Mobilfunknetz umfassten Kommunikationsweges übertragen wird. The invention is therefore based on security User authentication with a security system with at least one assigned to the security system User terminal device, which in functional Dependency of a first on this terminal transmitted data record and a second of the Identity data record associated with the terminal forms the third record and this for User authentication to the security system retransmitted, provided that the first record, the especially a security-based one Contains request record to which user Terminal using at least one Cellular network and the third record which especially one for security-based verification contains required response record, using a different communication path than one of those included at least one cellular network Communication path is transmitted.

Von Vorteil des erfindungsgemäß implementierten Sicherheitssystems ist insbesondere, dass der Anforderungsdatensatz, also insbesondere die Authentifikationsinformationen, im wesentlichen unabhängig vom aktuellen Aufenthaltsort der Benutzer-Endeinrichtung übertragen werden kann und somit nicht an den Zeitpunkt der eigentlichen Benutzerauthentifikation gebunden ist. Ferner ist auch eine Übertragung des Anforderungsdatensatzes im Wesentlichen unabhängig vom aktuellen Ort der Benutzer- Endeinrichtung ermöglicht. Hierdurch ist erstmalig eine äußerst flexible Handhabung einer sicherheitsbasierten Benutzerauthentifikation gewährleistet, insbesondere in Bezug auf die Übertragung und/oder Zuweisung von unterschiedlichsten sicherheitsbasierten Datensätzen und/oder Berechtigungen, wobei die Trennung der zur Übertragung des Anforderungsdatensatzes und des Antwortdatensatzes jeweils verwendeten Kommunikationswege ein wesentlich erhöhtes Maß an Sicherheit mit sich bringt. An advantage of the implemented according to the invention Security system is in particular that the Request data record, in particular the Authentication information, essentially independent from the current location of the user terminal can be transferred and therefore not at the time of actual user authentication is bound. Further is also a transfer of the request data record in the Basically regardless of the current location of the user Terminal device enables. This is the first time extremely flexible handling of a security-based User authentication guaranteed, especially in Regarding the transfer and / or assignment of various security-based data records and / or permissions, the separation of the to Transmission of the request data record and the Response data record used communication channels brings a significantly increased level of security.

In bevorzugter Weise überträgt das wenigstens eine Mobilfunknetz in regelmäßigen Zeitabständen und/oder zu definierbaren Zeitpunkten einen oder mehrere Anforderungsdatensätze an eine definierbare Anzahl von der Sicherheitsanlage zugeordneten Benutzer-Endeinrichtungen. Insbesondere, wenn ein gemeinsamer Anforderungsdatensatz übertragen wird, sieht die Erfindung in vorteilhafter Weiterbildung die Verwendung einer sogenannten Cell Broadcast(CB)-Nachricht, welche den Anforderungsdatensatz enthält, vor. This preferably transmits at least one Cellular network at regular intervals and / or too definable times one or more Request data records to a definable number of User terminal devices assigned to the security system. Especially when there is a common request record transferred, the invention sees in an advantageous Training the use of a so-called Cell broadcast (CB) message, which the Contains request record, before.

Je nach spezifischer Ausführung der Sicherheitsanlage sieht die Erfindung in alternativen Weiterbildungen vor, dass ein derartiger Anforderungsdatensatz unmittelbar von der Sicherheitsanlage selbst generiert wird und über das Mobilfunknetz an die wenigstens eine Benutzer- Endeinrichtung übermittelt wird oder, dass ein derartiger Anforderungssatz von dem Mobilfunknetz oder von einer weiteren zentralen Einrichtung, dem die Sicherheitsanlage und ggfs. weitere Sicherheitsanlagen, beispielsweise in Form eines komplexen Sicherheitssystems zugeordnet sind, generiert wird und unter Nutzung des Mobilfunknetzes der wenigstens einen Benutzer-Endeinrichtung sowie der Sicherheitsanlage übermittelt wird. Depending on the specific version of the security system looks the invention in alternative developments before that a such a request record directly from the Security system itself is generated and Mobile network to the at least one user Terminal device is transmitted or that such Requirement set from the cellular network or from one another central facility to which the security system and possibly other security systems, for example in Form of a complex security system, is generated and using the mobile network at least one user terminal and the Security system is transmitted.

In besonders bevorzugter Weiterbildung ist ferner vorgesehen, dass ein solcher Anforderungsdatensatz unterschiedlich erforderlichen sicherheitsbasierten Benutzerauthentifikationen, insbesondere lokalen und/oder zeitlich unterschiedlichen, entsprechend ausgebildet ist, so dass mit einem vorab übermittelten Anforderungsdatensatz eine bestimmte Anzahl von verschiedenen Benutzerauthentifikationen durch die Sicherheitsanlage vorgenommen werden kann. In a particularly preferred further development provided that such a request record differently required security-based User authentication, especially local and / or temporally different, is designed accordingly, so that with a pre-submitted request record a certain number of different User authentication by the security system can be made.

Die Rückübertragung des von der wenigstens einen Benutzer- Endeinrichtung gebildeten Antwortdatensatzes an die Sicherheitsanlage kann erfindungsgemäß kontaktbehaftet oder kontaktlos, beispielsweise mittels Infrarot, Funk oder optisch, unter Nutzung einer bzw. in Ansprechen auf eine von der Sicherheitsanlage umfassten Auswerteeinrichtung mit entsprechender Schnittstelle erfolgen. Vorteilhafter Weise kann die Rückübertragung folglich je nach spezifischer Ausbildung der Sicherheitsanlage über einen unidirektionalen Kommunikationsweg von der Endeinrichtung zur Auswerteeinrichtung erfolgen oder aber mittels eines bidirektionalen Kommunikationsweges auf Anforderung der Auswerteeinrichtung, insbesondere mittels einer interaktiven Kommunikation zwischen der Auswerteeinrichtung und der Endeinrichtung. The retransmission of the at least one user End device formed response to the According to the invention, the security system can have contacts or contactless, for example using infrared, radio or optically, using one or in response to one evaluation device included in the safety system appropriate interface. Advantageously the retransmission can therefore be more specific Training the security system through a unidirectional communication path from the terminal to the evaluation device or by means of a bidirectional communication path on request of Evaluation device, in particular by means of a interactive communication between the evaluation device and the terminal.

Der von der Benutzer-Endeinrichtung gebildete Antwortdatensatz wird hierzu in besonders vorteilhafter Ausführungsform in der Benutzer-Endeinrichtung zwischengespeichert, beispielsweise in einem flüchtigen Speicher, so dass beispielsweise bereits eingesetzte und/oder nicht mehr aktuelle Datensätze durch aktuelle Datensätze ausgetauscht werden können. The one formed by the user terminal The response data record is particularly advantageous for this Embodiment in the user terminal cached, for example in a volatile Memory so that, for example, already used and / or data records that are no longer current due to current ones Records can be exchanged.

Umfasst der Anforderungsdatensatz und somit der gebildete Antwortdatensatz eine Anzahl von für unterschiedliche Benutzerauthentifikationen adaptierte Daten, so ist in einer ersten Ausführungsform vorgesehen, dass der gesamte von der Benutzer-Endeinrichtung gebildete Datensatz an die Auswerteeinrichtung übertragen wird und diese nach den geforderten Informationen zur Verifikation der Benutzerauthentifikation sucht. In alternativer Ausführungsform ist vorgesehen, dass die Benutzer- Endeinrichtung die lokal und/oder zeitlich basierten entsprechenden Informationen zur Verifikation der Benutzerauthentifikation im empfangenen Anforderungsdatensatz und/oder gebildeten Antwortdatensatz sucht und nach Auswahl einen entsprechenden Datensatz mit den geforderten Antwortinformationen der Auswerteeinrichtung überträgt. Includes the request data record and thus the one formed Response record a number of for different User authentication adapted data, so is in a first embodiment provided that the entire data record formed by the user terminal to the Evaluation device is transmitted and this after the required information for the verification of the Looking for user authentication. In an alternative Embodiment provides that the user Terminal the locally and / or time-based corresponding information for the verification of the User authentication in the received Request data record and / or response data record formed searches for and after selection a corresponding data record with the required response information from Evaluating device transmits.

Als Anforderungsdatensatz können, beispielsweise in Form von Zahlen, zufällig generierte Daten und/oder auf bestimmte Ereignisse basierte Daten übertragen werden. In Kenntnis der zufälligen und/oder Ereignis-basierten Daten ermittelt die Auswerteeinrichtung unter Kenntnis des einer jeweiligen autorisierten Benutzer-Endeinrichtung zugeordneten zweiten Datensatzes mögliche Antwortdatensätze, die zur Verifizierung der Benutzerauthentifikation mit dem jeweiligen von einer Benutzer-Endeinrichtung übertragenen Antwortdatensatz verglichen werden. As a request data record, for example in the form of numbers, randomly generated data and / or on certain event based data are transmitted. In Knowledge of the random and / or event-based data the evaluation device determines with knowledge of the one respective authorized user terminal assigned second data record possible Response records used to verify the User authentication with the respective one User terminal transmitted response data record be compared.

Der einer jeweiligen Benutzer-Endeinrichtung zugeordnete zweite Datensatz umfasst hierbei in bevorzugter Ausbildung einen Authentifizierungsschlüssel und/oder Chiffrierungsschlüssel und kann ferner weitere Informationen zur Identifizierung und/oder Berechtigung der Benutzer-Endeinrichtung und/oder des Benutzers umfassen. Zur Verifizierung einer Benutzerauthentifikation ist daher erfindungsgemäß je nach spezifischer Ausbildung der Sicherheitsanlage vorgesehen, dass der von einer Benutzer- Endeinrichtung an die Sicherheitsanlage übertragene Antwortdatensatz identisch mit einem von der Sicherheitsanlage gebildeten Antwortdatensatz ist oder zumindest eine vorbestimmte Anzahl von Gemeinsamkeiten aufweist, so dass hierüber insbesondere auch Orts-, Zeit- oder Benutzer-basierte Sicherheitsstufen gewährleistbar sind. Ein zur Durchführung des erfindungsgemäßen Verfahrens entsprechend ausgebildete Sicherheitsanlage umfasst somit in bevorzugter Weise eine Schnittstelle zum Kommunizieren mit einem Mobilfunknetz, wobei die Schnittstelle in bevorzugter Weise bidirektional ausgebildet ist, je nach spezifischer Ausbildung der Sicherheitsanlage jedoch auch unidirektional zum Übertragen von Datensätzen an das Mobilfunknetz oder zum Empfangen von Datensätzen aus dem Mobilfunknetz ausgebildet ist. The one assigned to a respective user terminal The second data set includes a preferred training an authentication key and / or Encryption key and can also further Information on the identification and / or authorization of the Include user terminal and / or the user. Therefore, to verify user authentication according to the invention, depending on the specific training Security system provided that the of a user Terminal transmitted to the security system Response record identical to one of the Security system formed response data record is or at least a predetermined number of similarities has, so that in particular location, time or user-based security levels can be guaranteed are. One for carrying out the method according to the invention appropriately trained security system thus includes preferably an interface for communicating with a cellular network, the interface in is preferably bidirectional, depending on specific training of the security system, however unidirectional for transferring data records to the Mobile network or to receive data records from the Cellular network is formed.

Ferner umfasst die erfindungsgemäße Sicherheitsanlage wenigstens eine weitere zumindest unidirektionale Schnittstelle zum Empfangen von sicherheitsbasierten Datensätzen von wenigstens einer der Sicherheitsanlage zugeordneten Benutzer-Endeinrichtung, wobei die wenigstens eine weitere Schnittstelle in bevorzugter Weise zur interaktiven Kommunikation mit der wenigstens einen Benutzer-Endeinrichtung bidirektional ausgebildet ist. The security system according to the invention also includes at least one more at least unidirectional Interface for receiving security-based Records from at least one of the security system assigned user terminal, the at least another interface in a preferred manner interactive communication with the at least one User terminal device is designed bidirectionally.

Erfindungsgemäß ist die wenigstens eine weitere Schnittstelle hierbei je nach spezifischer Anforderung kontaktgebunden, oder kontaktlos, beispielsweise als Infrarot, Funk und/oder optische Schnittstelle ausgebildet. According to the invention, the at least one is further Interface depending on the specific requirement contact-bound, or contactless, for example as Infrared, radio and / or optical interface designed.

Ferner umfasst die erfindungsgemäße Sicherheitsanlage wenigstens eine Auswerteeinrichtung zur Verifizierung der Benutzerauthentifikation, die in vorteilhafter Weise eine Speichereinrichtung zum Speichern einer Anzahl von möglichen Antwortdatensätzen umfasst, sowie eine Vergleichseinrichtung zum Vergleichen eines von einer Benutzer-Endeinrichtung übermittelten Antwortdatensatzes mit gespeicherten Antwortdatensätzen. The security system according to the invention also includes at least one evaluation device for verifying the User authentication, which is advantageously a Storage device for storing a number of possible response data records, as well as a Comparison device for comparing one of one User data set transmitted response data record with saved response records.

Eine erfindungsgemäße, der Sicherheitsanlage zugeordnete Benutzer-Endeinrichtung umfasst eine Schnittstelle zu einem Mobilfunknetz, die wenigstens zum Empfangen von Anforderungsdatensätzen ausgebildet ist, sowie eine zweite weitere Schnittstelle, mittels welcher Antwortdatensätze an die zugeordnete Sicherheitsanlage übertragen werden können. Diese weitere Schnittstelle ist zumindest unidirektional zum Übertragen der Antwortdatensätze und in bevorzugter Ausbildung bidirektional, insbesondere zur interaktiven Kommunikation mit der Sicherheitsanlage ausgebildet. An inventive, assigned to the security system User terminal comprises an interface to one Cellular network, at least for receiving Request data records is formed, as well as a second further interface, by means of which response data records the assigned security system can be transferred. This further interface is at least one-way for transferring the response data records and in preferred Training bidirectional, especially for interactive Communication with the security system trained.

Ferner umfasst die erfindungsgemäße Benutzer-Endeinrichtung eine Speichereinrichtung zum Speichern des jeweils zugeordneten zweiten Datensatzes und eine Verarbeitungseinrichtung zur Bildung eines Antwortdatensatzes in definierter funktionaler Abhängigkeit zumindest eines Anforderungsdatensatzes und des zugeordneten zweiten Datensatzes. Furthermore, the user terminal device according to the invention comprises a storage device for storing each assigned second data record and a Processing device for forming a Response data record in a defined functional dependency at least one request record and the assigned second data record.

Ferner umfasst die erfindungsgemäße Benutzer-Endeinrichtung in vorteilhafter Weiterbildung wenigstens eine Speichereinrichtung zum Speichern wenigstens eines Anforderungsdatensatzes und/oder wenigstens eines Antwortdatensatzes, wobei die Speichereinrichtung bevorzugt als flüchtige Speichereinrichtung ausgebildet ist. Furthermore, the user terminal device according to the invention comprises in an advantageous development at least one Storage device for storing at least one Request data record and / or at least one Response data record, the storage device being preferred is designed as a volatile memory device.

In besonders bevorzugter Weiterbildung ist die wenigstens eine Speichereinrichtung, die Verarbeitungseinrichtung und/oder der der Benutzer-Endeinrichtung zugeordnete zweite Datensatz von einem separaten Sicherheitsmodul umfasst, welches mit der Benutzer-Endeinrichtung dauerhaft oder austauschbar verbindbar ist. In a particularly preferred development, this is at least a storage device, the processing device and / or the second assigned to the user terminal Data record from a separate security module, which is permanent with the user terminal or is interchangeably connectable.

Im Falle eines separaten Sicherheitsmoduls umfasst dieses sowie die Benutzer-Endeinrichtung ferner jeweils eine entsprechend ausgebildete Schnittstelle, die zur Kommunikation zwischen der Benutzer-Endeinrichtung und dem Sicherheitsmodul in vorteilhafter Weise bidirektional ausgebildet ist. In the case of a separate security module, this includes and the user terminal also one each appropriately trained interface that for Communication between the user terminal and the Security module in an advantageous manner bidirectional is trained.

Durch Austauschen eines separaten Sicherheitsmoduls kann somit auch der Austausch des zweiten, der Benutzer- Endeinrichtung zugeordneten Datensatzes und/oder die Logik der Verarbeitungseinrichtung auf einfachste Weise ausgetauscht bzw. verändert werden. By replacing a separate security module thus also the exchange of the second, the user Terminal assigned data record and / or the logic the processing device in the simplest way exchanged or changed.

In besonders bevorzugter Ausführung ist jedoch überdies vorgesehen, dass zumindest der zweite Datensatz in einem flüchtigen Speicher abgelegt ist, welcher beispielsweise ferngesteuert und/oder zum Zeitpunkt einer Durchführung einer Benutzerauthentifikation durch die Sicherheitsanlage und/oder unter Nutzung des wenigstens einen Mobilfunknetzes erneuert bzw. aktualisiert werden kann. In a particularly preferred embodiment, however, is also provided that at least the second record in one volatile memory is stored, which for example remote controlled and / or at the time of execution one User authentication by the security system and / or using the at least one mobile radio network can be renewed or updated.

Das wenigstens eine Mobilfunknetz umfasst erfindungsgemäß zumindest eine Schnittstelle zu der Sicherheitsanlage, um Anforderungsdatensätze auszutauschen bzw. zu aktualisieren, sowie eine weitere Schnittstelle zu einer definierbaren Anzahl von Benutzer-Endeinrichtungen zur Übermittlung von Anforderungsdatensätzen an diese zu definierbaren Zeitpunkten. According to the invention, the at least one mobile radio network comprises at least one interface to the security system in order Exchange or update requirement records, as well as another interface to a definable Number of user terminals for the transmission of Requirement data records for these to be definable Times.

Die Erfindung wird nachfolgend anhand einer bevorzugten Ausführungsform beispielhaft und unter Bezugnahme auf die beigefügte Zeichnung beispielhaft beschrieben. The invention is based on a preferred Embodiment by way of example and with reference to FIG attached drawing described as an example.

In der Zeichnung zeigt In the drawing shows

Fig. 1 eine schematische Prinzipskizze zur Implementierung des erfindungsgemäßen Sicherheitssystems unter Nutzung eines Mobilfunknetzes zur Verteilung von Authentifikationsinformationen. Fig. 1 is a schematic schematic diagram for implementing the security system according to the invention using a mobile radio network for distributing authentication information.

Bezugnehmend auf Fig. 1 weist eine zur Durchführung des erfindungsgemäßen Verfahrens bevorzugte, jedoch lediglich beispielhafte Anordnung zur Implementierung des erfindungsgemäßen Sicherheitssystems unter Nutzung eines Mobilfunknetzes zur Verteilung von Authentifikationsinformationen folgende Komponenten auf. Referring to FIG. 1, a preferred, but only exemplary, arrangement for implementing the security system according to the invention using a mobile radio network for distributing authentication information has the following components.

Ein Sicherheitsmodul 100, eine Benutzer-Endeinrichtung 200, ein Mobilfunknetz 300 und eine Sicherheitsanlage 400. A security module 100 , a user terminal 200 , a mobile radio network 300 and a security system 400 .

Das Sicherheitsmodul 100 umfasst eine Speichereinrichtung 101, in welcher ein der Endeinrichtung 200 zugeordneter Datensatz, praktischer Weise mit einer geheim zu haltenden Information, wie beispielsweise einem kryptographischen Schlüssel, ablegbar ist. Ferner umfasst das Sicherheitsmodul 100 eine bidirektionale Schnittstelle 102 und die Benutzer-Endeinrichtung 200 eine entsprechend komplementär ausgebildete Schnittstelle 202, um zwischen der Endeinrichtung 200 und dem Sicherheitsmodul 100 Datensätze über, im vorliegenden Ausführungsbeispiel mit den Pfeilen C3 und R1 angezeigten, Kommunikationskanälen auszutauschen. Die Schnittstellen 202 und 102 können kontaktbehaftet ausgebildet sein. In bevorzugter Weise sind die Schnittstellen 102 und 202 jedoch kontaktlos, beispielsweise als Infrarot, Funk oder optische Schnittstellen ausgebildet. Ferner umfasst das Sicherheitsmodul 100 eine Verarbeitungseinrichtung 103 zur Berechnung einer definierten kryptographischen Operation in funktionaler Abhängigkeit eines über den Kommunikationskanal C3 von der Endeinrichtung empfangenen Datensatzes und des in der Speichereinrichtung 101 abgelegten Datensatzes, insbesondere unter Nutzung der geheimen Information. The security module 100 comprises a storage device 101 , in which a data record assigned to the terminal device 200 can be stored in a practical manner with information to be kept secret, such as a cryptographic key. Furthermore, the security module 100 comprises a bidirectional interface 102 and the user terminal 200 an appropriately complementary interface 202 in order to exchange data records between the terminal device 200 and the security module 100 via communication channels, indicated in the present exemplary embodiment by the arrows C3 and R1. The interfaces 202 and 102 can be configured with contacts. However, the interfaces 102 and 202 are preferably made contactless, for example as infrared, radio or optical interfaces. Furthermore, the security module 100 comprises a processing device 103 for calculating a defined cryptographic operation as a function of a data record received via the communication channel C3 from the terminal device and the data record stored in the memory device 101 , in particular using the secret information.

Das Sicherheitsmodul 100 ist in einer bevorzugten Ausführungsform eine sogenannte Smart Card gemäß des internationalen Standards ISO 7816, mit der elektronische Signaturen oder andere geeignete kryptographische Operationen dargestellt werden können. In a preferred embodiment, the security module 100 is a so-called smart card in accordance with the international standard ISO 7816 , with which electronic signatures or other suitable cryptographic operations can be represented.

Die Benutzer-Endeinrichtung 200 besitzt neben der Schnittstelle 202 zur Kommunikation mit dem Sicherheitsmodul 100 eine Schnittstelle 203 für das Mobilfunknetz 300, die, wie mit dem Pfeil C2 angedeutet, zumindest zum Empfang von Informationen aus dem Mobilfunknetz 300 ausgebildet ist. Darüber hinaus umfasst die Benutzer-Endeinrichtung eine weitere Schnittstelle 201, die, wie mit dem Pfeil R2 angedeutet, zumindest zum Übertragen von Informationen über einen Kommunikationsweg in Richtung der Sicherheitsanlage 400 ausgebildet ist. Je nach verwendetem, nicht näher dargestellten Kommunikationsweg, ist die Schnittstelle 201 kontaktgebunden oder kontaktlos, also insbesondere als Infrarot, Funk oder optische Schnittstelle ausgebildet. In addition to the interface 202 for communication with the security module 100, the user terminal 200 has an interface 203 for the mobile radio network 300 which, as indicated by the arrow C2, is designed at least to receive information from the mobile radio network 300 . In addition, the user terminal comprises a further interface 201 , which, as indicated by the arrow R2, is designed at least to transmit information via a communication path in the direction of the security system 400 . Depending on the communication path used, not shown in detail, the interface 201 is contact-based or contactless, that is to say in particular in the form of an infrared, radio or optical interface.

Das Mobilfunknetz 300 umfasst wenigstens zwei, in Fig. 1 nicht dargestellte Schnittstellen, wovon eine zur Übermittlung von Datensätzen mit der Sicherheitsanlage 400 ausgebildet ist, und in bevorzugter Ausführungsweise, wie mit dem Pfeil C1 angedeutet, zum bidirektionalen Austausch ausgebildet ist. Ferner umfasst das Mobilfunknetz wenigstens eine, in Fig. 1 nicht dargestellte Schnittstelle zur Übermittlung von Datensätzen an die wenigstens eine Benutzer-Endeinrichtung 200. The mobile radio network 300 comprises at least two interfaces (not shown in FIG. 1), one of which is designed for the transmission of data records with the security system 400 , and in a preferred embodiment, as indicated by the arrow C1, is designed for bidirectional exchange. Furthermore, the mobile radio network comprises at least one interface (not shown in FIG. 1) for transmitting data records to the at least one user terminal 200 .

Die Sicherheitsanlage 400 umfasst ebenfalls eine Schnittstelle 401, welche zumindest zum Empfangen von Datensätzen von der Benutzer-Endeinrichtung 200 ausgebildet ist und eine weitere Schnittstelle 402, zum in bevorzugter Weise bidirektionalen Austauschen von Datensätzen mit dem Mobilfunknetz 300. Ferner umfasst die Sicherheitsanlage eine Auswerteeinrichtung 403 zur Durchführung einer Sicherheitsprüfung, insbesondere zur Verifizierung einer Benutzerauthentifikation. The security system 400 also comprises an interface 401 , which is designed at least for receiving data sets from the user terminal 200 , and a further interface 402 , for the preferably bidirectional exchange of data sets with the mobile radio network 300 . Furthermore, the security system comprises an evaluation device 403 for performing a security check, in particular for verifying a user authentication.

Es sei darauf hingewiesen, dass das Mobilfunknetz 300 auch eine Anzahl von miteinander kommunizierfähigen Mobilfunknetzen sein kann und die Sicherheitsanlage 400 eines aus einer Anzahl von Sicherheitsanlagen, die einer nicht weiter dargestellten zentralen Einheit zugeordnet sind. It should be pointed out that the mobile radio network 300 can also be a number of mobile radio networks that can communicate with one another, and the security system 400 can be one of a number of security systems that are assigned to a central unit (not shown further).

Gemäß einer besonders bevorzugten Ausführungsform ist das Sicherheitsmodul 100 ein GSM (Global System for Mobil communications) und/oder UMTS(Universal Mobil Telecommunication System)-Subscriber Identification Module (SIM), insbesondere gemäß der GSM-Spezifikation 11.11, oder eine beliebige andere Chipkarte, die ein SIM- Application Toolkit, insbesondere gemäß der GSM- Spezifikation 11.14, implementiert und beispielsweise über weitere Kartenlesesteckplätze in der Benutzer- Endeinrichtung 100 angesprochen werden kann. According to a particularly preferred embodiment, the security module 100 is a GSM (Global System for Mobile communications) and / or UMTS (Universal Mobile Telecommunication System) subscriber identification module (SIM), in particular according to the GSM specification 11.11 , or any other chip card, which implements a SIM application toolkit, in particular in accordance with the GSM specification 11.14 , and can be addressed, for example, via further card reading slots in the user terminal 100 .

Die Benutzer-Endeinrichtung 200 ist in besonders bevorzugter Ausführungsform ein GSM-Mobiltelefon, das zu dem SIM-Toolkit gemäß der GSM-Spezifikation 11.14 kompatibel ist oder ein sogenannter Personal Digital Assistant (PDA) mit entsprechendem Zusatzmodul, wobei in diesen Fällen die Benutzer-Endeinrichtung 200 zweckmäßiger Weise weitere unidirektional und/oder bidirektional ausgebildete Schnittstellen, über die Informationen versendet werden können, umfasst, wie z. B. Infrarot, DECT, Bluetooth oder eine sonstige kontaktlose Schnittstelle. In a particularly preferred embodiment, the user terminal device 200 is a GSM mobile phone that is compatible with the SIM toolkit according to the GSM specification 11.14 or a so-called Personal Digital Assistant (PDA) with a corresponding additional module, in which case the user terminal device 200 expediently includes further unidirectional and / or bidirectional interfaces via which information can be sent, such as. B. infrared, DECT, Bluetooth or another contactless interface.

Das Mobilfunknetz 300 ist in bevorzugter Ausführungsform ein GSM- und/oder UMTS-basiertes Mobilfunknetz, das in der Lage ist, über einen Messaging-Service wie z. B. SMS (Short Message Service) und/oder Cell Broadcast (CB) Informationen an Mobilfunkgeräte zu übertragen. In a preferred embodiment, the mobile radio network 300 is a GSM and / or UMTS-based mobile radio network which is able to use a messaging service such as B. SMS (Short Message Service) and / or Cell Broadcast (CB) to transmit information to mobile devices.

Die Sicherheitsanlage 400 ist in bevorzugter Ausführungsform Teil eines Zugangskontrollsystem einer Firma, welches von den Benutzer-Endeinrichtungen 200 zwecks Informationsübertragung angesprochen werden kann. In a preferred embodiment, the security system 400 is part of an access control system of a company, which can be addressed by the user terminals 200 for the purpose of information transmission.

Unter Zugrundelegen vorstehender beispielhafter Komponenten ist die erfindungsgemäße Vorgehensweise bevorzugt wie folgt. Based on the above exemplary components the procedure according to the invention is preferred as follows.

Das Mobilfunknetz 300 sendet praktischer Weise in regelmäßigen Zeitabständen oder zu definierbaren Zeitpunkten einen Datensatz, der zumindest einen Anforderungsdatensatz oder sogenannte Challenge enthält, über Kommunikationskanäle C2 an eine Anzahl von Benutzer- Endeinrichtungen 100. In bevorzugter Weise kann hierbei auch eine GSM Cell Braodcast(CB)-Nachricht verwendet werden, welche den Anforderungsdatensatz oder die -sätze enthält. The mobile radio network 300 practically sends a data record, which contains at least one request data record or so-called challenge, at regular time intervals or at definable times, via communication channels C2 to a number of user terminals 100 . In this case, a GSM cell braodcast (CB) message can also be used, which contains the request data record or records.

Der Anforderungsdatensatz kann dabei vorher von der Sicherheitsanlage 400 zur Verfügung gestellt werden, von dem Mobilfunknetz 300 selbst generiert werden, oder von der weiteren, nicht dargestellten zentralen Einrichtung generiert werden. Je nach spezifischer Ausprägung übermittelt das Mobilfunknetz 300 den Anforderungsdatensatz an die Sicherheitsanlage 400, oder die Sicherheitsanlage 400 übersendet den Anforderungsdatensatz an das Mobilfunknetz 300 über den Kommunikationskanal C1. In jedem Fall jedoch übersendet das Mobilfunknetz 300 den Anforderungsdatensatz an die Benutzer-Endeinrichtung 100, wobei der Sicherheitsanlage 400 der Anforderungsdatensatz, sowie ggfs. dessen orts- und/oder zeitabhängige Verwendungsmöglichkeit bekannt ist. The request data record can be made available beforehand by the security system 400 , generated by the mobile radio network 300 itself, or generated by the further central device (not shown). Depending on the specific form, the mobile radio network 300 transmits the request data record to the security system 400 , or the security system 400 transmits the request data record to the mobile radio network 300 via the communication channel C1. In any case, however, the mobile radio network 300 sends the request data record to the user terminal 100 , the security system 400 being aware of the request data record and, if appropriate, its location and / or time-dependent use.

Die Benutzereinrichtung 100 empfängt über die Schnittstelle 203 den Anforderungsdatensatz von dem Mobilfunknetz 300 und leitet sie über die Schnittstelle 202, den Kommunikationskanal C3 und die Schnittstelle 103 an das Sicherheitsmodul 100 weiter. Das Sicherheitsmodul 100 berechnet hierauf hin unter Nutzung der Verarbeitungseinrichtung 103, wie vorstehend dargelegt, einen Antwortdatensatz auf der Basis des Anforderungsdatensatzes und dem der Benutzer-Endeinrichtung 200 zugeordneten, in der Speichereinrichtung 101 abgelegten, Datensatz, insbesondere unter Verwendung der geheimen Information, wie des kryptographischen Schlüssels. Anschließend übersendet das Sicherheitsmodul 100 den gebildeten Antwortdatensatz über die Schnittstelle 102, den Kommunikationskanal R1 und die Schnittstelle 202 an die Benutzer-Endeinrichtung. Dort wird der Antwortdatensatz ggfs. in einer Speichereinrichtung 204 zwischengespeichert und ersetzt in diesem Fall vorherige zwischengespeicherte Antwortdatensätze. The user device 100 receives the request data record from the mobile radio network 300 via the interface 203 and forwards it to the security module 100 via the interface 202 , the communication channel C3 and the interface 103 . The security module 100 then calculates a response data record using the processing device 103 , as explained above, on the basis of the request data record and the data record assigned to the user terminal 200 and stored in the storage device 101 , in particular using the secret information, such as the cryptographic information key. The security module 100 then transmits the response data record formed to the user terminal device via the interface 102 , the communication channel R1 and the interface 202 . There, the response data record may be temporarily stored in a storage device 204 and in this case replaces previous temporarily stored response data records.

Bei Annäherung an die Sicherheitsanlage 400 beispielsweise an eine entsprechende Kontrollstelle wird der Antwortdatensatz in geeigneter Weise über die Schnittstelle 201, den Kommunikationskanal R2 und die Schnittstelle 401 von der Benutzer-Endeinrichtung 200 an die Sicherheitsanlage 400übertragen. Dies erfolgt in bevorzugter Weise durch explizite Nutzerinteraktion. Hierbei wird der in bevorzugter Weise in der Speichereinrichtung 204, welche beispielsweise Teil eines SMS-Speichers oder eines Telefonbuchspeichers sein kann, auf Anforderung der Sicherheitsanlage 400 abgerufen wird und diesem entsprechend übertragen. When the security system 400 is approached, for example to a corresponding control point, the response data record is transmitted in a suitable manner via the interface 201 , the communication channel R2 and the interface 401 from the user terminal device 200 to the security system 400 . This is preferably done through explicit user interaction. In this case, it is preferably called up in the memory device 204 , which can be part of an SMS memory or a telephone book memory, for example, at the request of the security system 400 and is transmitted accordingly.

Es sei darauf hingewiesen, dass der Antwortdatensatz in alternativer Form auch in einer in dem Sicherheitsmodul 100 umfassten Speichereinrichtung abrufbar gespeichert sein kann und beispielsweise erst auf Anforderung durch die Sicherheitsanlage 400, der Benutzer-Endeinrichtung 200 und infolge der Sicherheitsanlage 400 übermittelt wird. It should be noted that the response data record can alternatively also be stored in a memory device included in the security module 100 and can only be transmitted, for example, on request by the security system 400 , the user terminal device 200 and as a result of the security system 400 .

Ferner sei darauf hingewiesen, dass das Sicherheitsmodul 100 auch integraler Bestandteil der Benutzer-Endeinrichtung 200 sein kann. It should also be pointed out that the security module 100 can also be an integral part of the user terminal 200 .

Darüber hinaus kann der Antwortdatensatz weitere, beispielsweise nicht verschlüsselte, Informationen zur Identifizierung des Nutzers, der Benutzer-Endeinrichtung 200 und/oder des Sicherheitsmoduls 100 umfassen. Gemäß der vorstehend aufgezeigten bevorzugten Ausführungsformen sind dies beispielsweise die Telefonnummern des Sicherheitsmoduls 100, die GSM-International Mobile Subscriber Identification (IMSI) und/oder die International Mobile Equipment Identity (IMEI) der Benutzer- Endeinrichtung 200 im Falle eines Mobilfunktelefons. In addition, the response data record can include further, for example non-encrypted, information for identifying the user, the user terminal 200 and / or the security module 100 . According to the preferred embodiments shown above, these are, for example, the telephone numbers of the security module 100 , the GSM-International Mobile Subscriber Identification (IMSI) and / or the International Mobile Equipment Identity (IMEI) of the user terminal 200 in the case of a mobile radio telephone.

Die Auswerteeinrichtung 403 der Sicherheitsanlage 400wertet zur Verifizierung der Benutzerauthentifikation den über die Schnittstelle 401 empfangenen Antwortdatensatz der Benutzer-Endeinrichtung 200 aus. Hierzu ist vorgesehen, dass die Auswerteeinrichtung 403 in gleicher Form wie die Benutzer-Endeinrichtung 200 bzw. das Sicherheitsmodul 100 den Antwortdatensatz in Kenntnis des Anforderungsdatensatzes und des der Benutzer-Endeinrichtung zugeordneten Datensatzes berechnet und nach Vergleich des empfangenen und des berechneten Antwortdatensatzes prüft, ob die Benutzer-Endeinrichtung 200 bzw. das Sicherheitsmodul 100 Kenntnis des korrekten Geheimnisses besitzt. The evaluation device 403 of the security system 400 evaluates the response data record of the user terminal device 200 received via the interface 401 in order to verify the user authentication. For this purpose, it is provided that the evaluation device 403, in the same form as the user terminal device 200 or the security module 100, calculates the response data record with knowledge of the request data record and the data record assigned to the user terminal device and, after comparing the received and the calculated response data record, checks whether the User terminal device 200 or the security module 100 has knowledge of the correct secret.

Wird als Anforderungsdatensatz beispielsweise zufällig generierte und/oder auf bestimmte Ereignisse basierte Daten und/oder Zahlen übertragen, ermittelt die Auswerteeinrichtung 403 in Kenntnis dieser zufälligen und/oder Ereignis-basierten Daten und/oder Zahlen und unter Kenntnis des einer jeweiligen autorisierten Benutzer- Endeinrichtung 200 zugeordneten zweiten Datensatzes wenigstens einen möglichen Antwortdatensatz, der zur Verifizierung der Benutzerauthentifikation mit dem jeweiligen von der Benutzer-Endeinrichtung 200 übertragenen Antwortdatensatz verglichen wird. If, for example, data and / or numbers that are randomly generated and / or based on specific events are transmitted as the request data record, the evaluation device 403 determines with knowledge of these random and / or event-based data and / or numbers and with the knowledge of a respective authorized user terminal 200 assigned second data record, at least one possible response data record which is compared with the respective response data record transmitted by the user terminal device 200 in order to verify the user authentication.

Nach erfolgter Verifizierung werden in Folge entsprechende sicherheitsbasierte Aktionen einleitet, wie beispielsweise das Öffnen einer Tür, eines Schlosses und/oder die Zugangsberechtigung zu einem Rechner. After verification has been completed, the corresponding initiates security-based actions, such as opening a door, a lock and / or the Authorization to access a computer.

Je nach spezifischer Ausprägung der Sicherheitsanlage umfasst die Erfindung auch Ausführungsformen, bei denen zur Verifizierung die Übereinstimmung des von der Benutzer- Endeinrichtung 200 übermittelten Antwortdatensatzes mit dem von der Auswerteeinrichtung 403 berechneten Datensatz lediglich in bestimmten Teilen gegeben sein muss, so dass beispielsweise Gruppen von Benutzer-Endeinrichtungen über deren jeweils zugeordnete Datensätze einer Sicherheitsstufe zugeordnet werden können und auf einfache Weise ein hierarchisch strukturiertes Sicherheitssystem implementierbar ist. Depending on the specific form of the security system, the invention also includes embodiments in which be added to the calculated by the evaluation device 403 data only in certain parts for verifying the compliance of the user terminal 200 response data set sent must be such that, for example, groups of user Terminal devices can be assigned to a security level via their respectively assigned data records and a hierarchically structured security system can be implemented in a simple manner.

Im Rahmen der Erfindung liegen ferner Ausführungsformen, bei denen der Anforderungsdatensatz und/oder der gebildete Antwortdatensatz eine Anzahl von für unterschiedliche Benutzerauthentifikationen adaptierte Daten umfasst. Further embodiments are within the scope of the invention, where the request data record and / or the formed Response record a number of for different User authentication includes adapted data.

Hierbei kann jeweils der gesamte von einer Benutzer- Endeinrichtung 200 gebildete Datensatz an die Sicherheitsanlage 400 übertragen werden, worauf die Auswerteeinrichtung 403 nach den geforderten Informationen zur Verifikation der Benutzerauthentifikation sucht. In alternativer Ausführungsform sucht die Benutzer- Endeinrichtung 200 die jeweils für eine Verifikation der Benutzerauthentifikation entsprechenden lokal und/oder zeitlich basierten Informationen im empfangenen Anforderungsdatensatz und/oder gebildeten Antwortdatensatz und übermittelt nach entsprechender Auswahl lediglich die geforderten Antwortinformationen an die Auswerteeinrichtung 403. In this case, the entire data record formed by a user terminal device 200 can be transmitted to the security system 400 , whereupon the evaluation device 403 searches for the required information for verifying the user authentication. In an alternative embodiment, the user terminal 200 searches for the locally and / or time-based information corresponding to a verification of the user authentication in the received request data record and / or formed response data record and, after a corresponding selection, only transmits the required response information to the evaluation device 403 .

Claims

1. A method for security-based user authentication in a security system ( 400 ) by means of at least one user terminal ( 200 ) assigned to the security system ( 400 ), in which, depending on the function, a first data record transmitted to the terminal and a second one of the user terminal ( 200 ) a third data record is formed by the user terminal device ( 200 ) and is transmitted to the security system ( 400 ) for user authentication, characterized in that the first data record is sent to the user terminal device ( 200 ) using at least one mobile radio network ( 300 ) and the third data record is transmitted using a different communication path (R2) than a communication path comprised by the at least one mobile radio network ( 300 ).

2. The method according to claim 1, further characterized in that the transmission of the first data record includes the transmission of a security-based request data record and the transmission of the third data record includes the transmission of a response data record required for security-based verification of the user authentication by the security system ( 400 ).

3. The method according to claim 1 or 2, further characterized in that at regular intervals and / or at definable times, the transmission of at least one first data record to a definable number of user terminals assigned by the security system takes place via the mobile radio network ( 300 ).

4. The method according to any one of the preceding claims, further characterized in that the transfer using a cell broadcast (CB) message he follows.

5. The method according to any one of the preceding claims, further characterized in that the first data record is generated directly by the security system ( 400 ) itself and transmitted via the mobile radio network ( 300 ) to the at least one user terminal ( 200 ) or that the The first data record is generated by the mobile radio network ( 300 ) or another central device, to which the security system ( 400 ) and possibly further security systems are assigned, and using the mobile network ( 300 ) of the at least one user terminal ( 200 ) and the security system ( 400 ) is transmitted.

6. The method according to any one of the preceding claims, further characterized in that the first Record for different, especially local and / or different in time, security-based user authentication, is trained accordingly.

7. The method according to the preceding claim, further characterized in that the security system ( 400 ) searches from the transmitted third data record for required information for verifying the user authentication.

8. The method according to claim 6, further characterized in that the user terminal ( 200 ) selects the locally and / or time-based required information for the verification of the user authentication and, after selection, transmits a corresponding third data record with the requested information.

9. The method according to any one of the preceding claims, further characterized in that the transmission of the third data record to the security system ( 400 ) takes place with or without contact.

10. The method according to any one of the preceding claims, further characterized in that the transfer of the third data set via a unidirectional Communication path (R2) or by means of a bidirectional communication path (R2) performed becomes.

11. The method according to any one of the preceding claims, further characterized in that the user authentication is verified using or in response to an evaluation device ( 403 ) included in the security system ( 400 ).

12. The method according to any one of the preceding claims, further characterized in that the third data record is cached in the user terminal ( 200 ).

13. The method according to any one of the preceding claims, further characterized in that with the first Record generated randomly and / or on certain Transfer event-based data and / or numbers become.

14. The method according to any one of the preceding claims, further characterized in that the second data record of the security system is known and an authentication key, an encryption key and / or further information for identifying and / or authorizing the user terminal ( 200 ) and / or the user includes.

15. The method according to any one of the preceding claims, further characterized in that for verifying a user authentication of the third data record transmitted from the user terminal ( 200 ) to the security system ( 400 ) is identical to or at least one of the response data record formed by the security system ( 400 ) has a predetermined number of similarities.

16. Security system for carrying out the method according to one of the preceding claims, comprising an interface ( 402 ) which is designed at least for data transmission to at least one mobile radio network ( 300 ) and an interface ( 401 ) which is at least for receiving security-based data records from at least one the user terminal ( 200 ) assigned to the security system ( 400 ) is designed,

17. The security system according to claim 16, further characterized in that the interface ( 402 ) and / or the interface ( 401 ) is bidirectional.

18. Security system according to claim 16 or 17, further characterized in that the interface ( 401 ) is designed for interactive communication with the at least one user terminal ( 200 ).

19. Security system according to one of claims 16 to 18, further characterized in that the interface ( 401 ) is contact-based or contactless, in particular as an infrared, radio and / or optical interface.

20. Security system according to one of claims 16 to 19, further characterized by an evaluation device ( 403 ) for verifying a user authentication.

21. Security system according to claim 20, further characterized in that the evaluation device ( 403 ) comprises a storage device for storing a number of possible response data sets and a comparison device for comparing a response data set transmitted by a user terminal device ( 200 ) with stored response data sets.

22. User terminal device for carrying out the method according to one of claims 1 to 15, comprising an interface ( 203 ) to a mobile radio network ( 300 ) which is designed at least for receiving data sets, and a second one, at least for transmitting data sets to one assigned security system ( 400 ) according to one of claims 16 to 21 designed interface ( 201 ).

23. User terminal device according to claim 22, further characterized in that the second interface ( 201 ) is bidirectional.

24. User terminal device according to claim 22 or 23, further characterized by a memory device ( 101 ) for storing the respectively assigned second data record and a processing device ( 103 ) for forming a response data record in a defined functional dependency of at least one data record transmitted by the mobile radio network ( 300 ) and the assigned second data record.

25. User terminal device according to one of claims 22 to 24, further characterized by a memory device ( 204 ) for storing at least one data record transmitted by the mobile radio network ( 300 ) and / or at least one response data record formed.

26. User terminal device according to the preceding claim, characterized in that the storage device ( 204 ) is a volatile memory.

27. User terminal device according to one of claims 22 to 26, characterized in that the at least one memory device ( 103 , 204 ), the processing device ( 103 ) and / or the second data record assigned to the user terminal device ( 200 ) by one of the users End device ( 200 ) can be assigned to the security module ( 100 ) which can be connected permanently or interchangeably to the user end device ( 200 ).

28. User terminal device according to the preceding claim, characterized in that the user terminal device ( 200 ) and the security module ( 100 ) each have an appropriately designed interface ( 202 , 102 ,) for communication between the user terminal device ( 200 ) and the Security module ( 100 ) comprises.

29. User terminal device according to the preceding claim, characterized in that the interfaces ( 202 , 102 ,) are bidirectional.

30. User terminal device according to one of claims 27 to 29, characterized in that the security module ( 100 ) comprises a volatile memory ( 101 ).

31. Security module for a user terminal device according to any one of claims 27 to 30.

32. Mobile radio network for carrying out the method according to one of claims 1 to 15, comprising an interface to a security system according to one of claims 16 to 21, and at least one further interface for transmitting data records to a definable number of user terminals ( 200 ) any one of claims 22 to 30.