DE602004012233T2 - Verfahren zur Bereitstellung eines Signierungsschlüssels zur digitalen Signierung, Überprüfung oder Verschlüsselung von Daten - Google Patents

Verfahren zur Bereitstellung eines Signierungsschlüssels zur digitalen Signierung, Überprüfung oder Verschlüsselung von Daten Download PDF

Info

Publication number
DE602004012233T2
DE602004012233T2 DE602004012233T DE602004012233T DE602004012233T2 DE 602004012233 T2 DE602004012233 T2 DE 602004012233T2 DE 602004012233 T DE602004012233 T DE 602004012233T DE 602004012233 T DE602004012233 T DE 602004012233T DE 602004012233 T2 DE602004012233 T2 DE 602004012233T2
Authority
DE
Germany
Prior art keywords
party
signing
key
ccbs
signing key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE602004012233T
Other languages
English (en)
Other versions
DE602004012233D1 (de
Inventor
Stephan Dr. Rupp
Matthias Duspiva
Franz-Josef Banet
Hans Josef Stegers
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent SAS
Original Assignee
Alcatel Lucent SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel Lucent SAS filed Critical Alcatel Lucent SAS
Publication of DE602004012233D1 publication Critical patent/DE602004012233D1/de
Application granted granted Critical
Publication of DE602004012233T2 publication Critical patent/DE602004012233T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur Bereitstellung eines Schlüssels, insbesondere zur digitalen Signierung, Überprüfung oder Verschlüsselung von Daten, der zwischen einer ersten Partei und einer zweiten Partei auszutauschen ist, das die Schritte des Sendens eines Identifizierungs-Codes, der die erste Partei eindeutig kennzeichnet, von der ersten Partei an einen Gateway, die Überprüfung des Identifizierungs-Codes durch den Gateway unter Verwendung eines Authentifizierungs-Servers und die Erzeugung eines Signierungsschlüssels umfasst.
  • Die vorliegende Erfindung betrifft ferner ein mobiles Endgerät und einen Gateway.
  • Verfahren nach dem Stand der Technik zur Bereitstellung eines Signierungsschlüssels zur digitalen Signierung von Daten beruhen oft auf langfristigen Signierungsschlüsseln, die nicht sehr sicher sind, da keine Möglichkeit besteht, die Signierungsschlüssel dynamisch zu ändern.
  • Es gibt auch Verfahren zur dynamischen Erzeugung/Auswahl von Signierungsschlüsseln, diese Verfahren verwenden aber üblicherweise spezielle Software und/oder Hardware, wie z. B. personalisierte Chip-Karten.
  • Ferner ist in vielen Fällen ein Vertrag mit einer Zertifizierungsstelle erforderlich.
  • US 2003/0237004 A1 offenbart ein Verfahren und eine Vorrichtung zur Zertifikat-Überprüfung, wobei Clients am virtuellen privaten Netz (VPN) ein Paar von kryptografischen Schlüsseln eines öffentlichen Schlüssels besitzen. Eine Unterstützung für eine entsprechende Infrastruktur von öffentlichen Schlüsseln (PKI) wird von einem Zugangs-Gateway und einem Authentifizierungs-Server auf gemeinsam genutzte Weise bereitgestellt.
  • WO 03/096140 offenbart ein System, ein Verfahren und ein Computerprogramm zur Autorisierung einer mobilen Station durch Verwendung digitaler Signaturen, ein von einem Dienstanbieter bereitgestelltes Produkt, einen Dienst, einen Zugang oder andere Rechte zu benutzen. Diese digitalen Signaturen basieren auf einem gemeinsamen Signierungsschlüssel und können überprüft werden, indem ein Signatur-Überprüfungs-Dienst verwendet wird. Dieses System, Verfahren und Computerprogramm wird die Identität der verwendeten mobilen Station überprüfen, indem es langfristige Schlüssel, die in der mobilen Station gespeichert sind, und ein Authentifizierungs-Zentrum benutzt.
  • Es ist daher eine Aufgabe der vorliegenden Erfindung, ein verbessertes Verfahren zur Bereitstellung eines Signierungsschlüssels, sowie ein verbessertes mobiles Endgerät und einen verbesserten Gateway bereitzustellen.
  • Bezüglich des Verfahrens zur Bereitstellung eines Signierungsschlüssels wird das Ziel durch die Eigenschaften des kennzeichnenden Teils von Anspruch 1 erreicht.
  • Obwohl in der weiteren Beschreibung der Begriff "Signierungsschlüssel" benutzt wird, muss verstanden werden, dass der Signierungsschlüssel einen digitalen Schlüssel allgemein beschreibt und dass der Signierungsschlüssel sowohl zur Überprüfung oder zur Verschlüsselung von Daten, insbesondere von Transaktions-Daten, als auch zur Signierung, verwendet werden kann. Daher ist der Gegenstand der Erfindung nicht auf die Möglichkeit des Signierens von Daten begrenzt.
  • Die Schritte des Sendens und Überprüfens eines Identifizierungs-Codes und der Erzeugung eines Signierungsschlüssels sind zum Beispiel in den Authentifizierungs-Mechanismen von GSM-Kommunikationssystemen (Global System for Mobile Communications) implementiert, wobei z. B. eine internationale Mobilstations-Kennung (IMSI) als Identifizierungs-Code benutzt wird.
  • Die GSM-Authentifizierungs-Mechanismen basieren unter anderem auf so genannten A3- und A8-Algorithmen, wobei der letztgenannte auch "Voice Privacy Algorithm" genannt wird, da er dazu benutzt wird, Sprachdaten zu verschlüsseln, die zwischen einem mobilen GSM-Endgerät und einer GSM-Basis-Transceiver-Station (BTS) ausgetauscht werden.
  • Der A8-Algorithmus liefert z. B. eine 64-Bit-Zahl, die auch als Chiffrier-Schlüssel Kc bezeichnet wird. Gemäß der vorliegenden Erfindung wird dieser Chiffrier-Schlüssel an die erste Partei geliefert, die z. B. ein mobiles Endgerät benutzt, wie z. B. ein Mobiltelefon oder einen PDA (Personal Digital Assistant) oder einen tragbaren Personal-Computer mit einer drahtlosen GSM-Schnittstelle, und das einen Signierungsschlüssel benötigt, um eine Transaktion mit der zweiten Partei zu authentifizieren. Die erste Partei kann den durch den A8-Algorithmus des GSM-Systems erhaltenen Chiffrier-Schlüssel Kc als einen solchen Signierungsschlüssel verwenden.
  • Um in der Lage zu sein, eine so erhaltene digitale Signatur von der ersten Partei zu überprüfen, ist die zweite Partei auch mit dem Chiffrier-Schlüssel, bzw. dem Signierungsschlüssel ausgestattet.
  • Durch Verwendung eines Signierungsschlüssels, der gemäß der vorliegenden Erfindung aus einem Chiffrier-Schlüssel des GSM- Systems abgeleitet wird, ist es der zweiten Partei möglich, die Integrität der signierten Daten zu überprüfen und die erste Partei zu authentifizieren. Die zweite Partei kann z. B. ein Online-Dienstanbieter sein, der Waren und/oder Dienstleistungen über das Internet anbietet, und die erste Partei kann z. B. ein Kunde der zweiten Partei sein.
  • Insbesondere ist bei dem Verfahren der vorliegenden Erfindung keine zusätzliche Software oder Hardware und auch kein Vertrag mit einer Zertifizierungsstelle erforderlich, da das Verfahren der Erfindung auf einem vorhandenen Authentifizierungs-Mechanismus des GSM-Standards beruht, was die Flexibilität verbessert.
  • Gemäß einer Ausführung der vorliegenden Erfindung wird ein weiterer Signierungsschlüssel erzeugt, der von dem Signierungsschlüssel abhängt, der aber nicht mit dem Chiffrier-Schlüssel des A8-Algorithmus identisch ist.
  • Um die Sicherheit des Verfahrens der Erfindung zu erhöhen und den verfügbaren Code-Raum zu vergrößern, ist es möglich, den weiteren Signierungsschlüssel abhängig von weiteren Daten zu erzeugen, die der ersten Partei und einem Authentifizierungs-Server gemeinsam sind, die aber nicht öffentlich verfügbar sind. Die weiteren Daten können z. B. aus jeder Form von Mitgliedschafts-Daten der ersten Partei abgeleitet werden, wie Adresse, weiteren persönlichen Daten oder ähnlichem.
  • Die Erzeugung des weiteren Signierungsschlüssels kann z. B. durchgeführt werden, indem Signier-Algorithmen nach dem Stand der Technik zur Verwendung mit symmetrischen Schlüsseln benutzt werden, wie z. B. der Nachrichten-Authentifizierungs-Code oder Keyed Hashing für Nachrichten-Authentifizierung, siehe z. B. RFC 2104 (Internet Request for Comments).
  • Gemäß einer anderen vorteilhaften Ausführung der vorliegenden Erfindung wird ein Signierungsschlüssel mit langer Lebensdauer bereitgestellt, der für eine Vielzahl von Signierungs- und Authentifizierungs-Transaktionen benutzt werden kann. Um die Wiederverwendung eines solchen Signierungsschlüssels mit langer Lebensdauer zu ermöglichen, liefert eine andere Variante des Verfahrens der Erfindung einen Schritt des Speicherns der Signierungsschlüssel mit langer Lebensdauer.
  • Noch eine weitere Ausführung der vorliegenden Erfindung ist dadurch gekennzeichnet, dass eine Vielzahl von Signierungsschlüsseln bereitgestellt wird, von denen jeder vorzugsweise nur für eine einzige Benutzung gültig ist.
  • Die Vorteile der Bereitstellung einer Vielzahl von Signierungsschlüsseln sind offensichtlich: Es wird nur ein einziger GSM-Authentifizierungs-Prozess benötigt, der gemäß der vorliegenden Erfindung eine Vielzahl von Signierungsschlüsseln ergibt und so weitere GSM-Authentifizierungen vermeidet, solange noch Signierungsschlüssel zur Verwendung da sind.
  • Die Signierungsschlüssel können in einem mobilen Endgerät der ersten Partei und in dem Gateway gespeichert werden, von wo sie von der zweiten Partei später erhalten werden können. Die Speicherung von Signierungsschlüsseln beschleunigt zukünftige Signierungs-Prozesse und garantiert die Möglichkeit der Signierung, sogar wenn die GSM-Funktionalität (zeitweise) nicht zur Verfügung steht, was die Folge einer fehlenden Netzabdeckung sein kann.
  • Eine weitere vorteilhafte Ausführung der Erfindung ist dadurch gekennzeichnet, dass ein zusätzlicher Schlüssel oder eine Vielzahl von zusätzlichen Schlüsseln bereitgestellt wird, die dazu benutzt werden können, den/die Signierungsschlüssel zu chiffrieren. Der/die zusätzlichen Schlüssel werden zu einem mobilen Endgerät der ersten Partei und zum Gateway übertragen und dort gespeichert, was eine sichere Kommunikation durch Chiffrierung der/des Signierungsschlüssel(s) sicherstellt, sogar wenn die GSM-Funktionalität nicht vorhanden ist.
  • Durch Verschlüsselung der/des Signierungsschlüssel(s) mit dem/den zusätzlichen Schlüssel(n) ist es möglich, eine sichere Übertragung von Signierungsschlüsseln zwischen dem mobilen Endgerät der ersten Partei und dem Gateway aufzubauen, wobei anstelle der GSM-Kommunikation jede Art von Adhoc-Netzwerk auf der Basis von DECT (Digital Enhanced Cordless Telecommunications), Bluetooth und IrDA-Systemen benutzt werden kann.
  • Gemäß einer weiteren vorteilhaften Ausführung der vorliegenden Erfindung wird der Signierungsschlüssel dazu benutzt, eine Kommunikation zwischen der ersten Partei und der zweiten Partei zu chiffrieren, was es auch erlaubt, Adhoc-Netzwerke, wie z. B. Bluetooth, zur Übertragung von vertraulichen Signierungs-Daten zu verwenden.
  • Eine andere Ausführung der vorliegenden Erfindung schlägt vor, die Kreditwürdigkeit der ersten Partei zu überprüfen, was dazu beiträgt, unnötige GSM-Authentifizierungen zu vermeiden. Die Überprüfung kann in dem Gateway durchgeführt werden, bevor eine GSM-Authentifizierung ausgelöst wird, die für einen zukünftigen Signierungsprozess zu benutzen ist. Wenn die Kreditwürdigkeit der ersten Partei z. B. nicht ein vorher festgelegtes Kriterium erfüllt, sind keine weiteren Transaktionen von dem Gateway erlaubt. Insbesondere ist eine GSM-Authentifizierung, um z. B. einen Signierungsschlüssel zu erhalten, unnötig.
  • Eine weitere sehr vorteilhafte Ausführung der vorliegenden Erfindung ist dadurch gekennzeichnet, dass der/die Signierungsschlüssel und/oder der/die zusätzlichen) Schlüssel über einen Kurzmitteilungs-Dienst (SMS) einer Mobilkommunikations-Infrastruktur und/oder über eine andere sichere Verbindung an die erste Partei und/oder an die zweite Partei gesendet wird. Hierdurch wird das Risiko, dass der Signierungsschlüssel von einer unberechtigten Partei abgehört wird, minimiert. Es ist offensichtlich, dass ein Multimedia-Nachrichten-Dienst (NMS) oder ähnliches ebenfalls dazu benutzt werden kann, den/die Signierungsschlüssel und/oder den/die zusätzlichen Schlüssel sicher zu übertragen.
  • Die Aufgabe der vorliegenden Erfindung wird ferner durch ein mobiles Endgerät und einen Gateway gemäß den Ansprüchen 12 bis 14 erreicht.
  • Weitere Vorteile und Details der Erfindung werden in der folgenden detaillierten Beschreibung mit Bezug auf die Zeichnungen präsentiert, in denen:
  • 1a eine erste Ausführung des Verfahrens gemäß der vorliegenden Erfindung zeigt,
  • 1b eine zweite Ausführung des Verfahrens gemäß der vorliegenden Erfindung zeigt,
  • 1c eine dritte Ausführung des Verfahrens gemäß der vorliegenden Erfindung zeigt,
  • 2 eine vierte Ausführung des Verfahrens gemäß der vorliegenden Erfindung zeigt.
  • 1a zeigt ein mobiles Endgerät 1 einer ersten Vertragspartei, das einen Online-Dienstanbieter OSP kontaktiert, der eine zweite Vertragspartei bildet.
  • Wie man in 1a sehen kann, wird erstens eine Verbindung zwischen dem mobilen Endgerät 1 und dem Online-Dienstanbieter OSP über ein drahtloses Zugangsnetz 2 aufgebaut, das ein Adhoc-Netzwerk, z. B. auf der Basis von DECT, Bluetooth oder IrDA sein kann, und zweitens über einen Personal-Computer PC, der wiederum mit dem Online-Dienstanbieter über das Internet IP verbunden ist. Das mobile Endgerät 1 und der Personal-Computer PC sind beide mit einer entsprechenden DECT-, Bluetooth- oder IrDA-Schnittstelle ausgestattet.
  • Anstelle des Personal-Computers PC kann jede andere Art von Zugangspunkt, wie z. B. ein WAN-(Wireless Local Area Network)-Router oder ähnliches benutzt werden.
  • Die erste Partei wünscht, einen Online-Dienst zu benutzen, der von dem Online-Dienstanbieter OSP angeboten wird, und somit ist es erforderlich, dass sie sich bei dem Online-Dienstanbieter OSP authentifiziert.
  • Zu diesem Zweck gibt der Online-Dienstanbieter OSP eine Authentifizierungs-Anforderung M_01 an das mobile Endgerät 1 der ersten Partei aus, das mit einer Authentifizierungs-Antwort M_02 antwortet, die einen Identifizierungs-Code enthält, der die erste Partei bzw. ihr mobiles Endgerät 1 eindeutig kennzeichnet.
  • Der von dem mobilen Endgerät 1 an den Online-Dienstanbieter OSP gesendete Identifizierungs-Code ist eine so genannte International Mobile Subscriber Identity (IMSI), die in einer SIM-(Subscriber Identity Module)-Karte gespeichert ist, welche in dem mobilen Endgerät 1 enthalten ist.
  • Der Identifizierungs-Code wird über eine Nachricht M_02a vom Online-Dienstanbieter OSP an ein Kundenbetreuungs- und Rechnungserstellungs-System CCBS weitergeleitet, von wo er wieder an einen Authentifizierungs-Server AuC in Form einer GSM-Standard-Authentifizierungs-Anforderung M_03a weitergeleitet wird.
  • Wegen seiner Position in der Übertragungs-Konfiguration, die in 1a gezeigt wird, kann das Kundenbetreuungs- und Rechnungserstellungs-System CCBS auch als Gateway verstanden werden, der z. B. das Kontaktieren des Authentifizierungs-Servers AuC verwaltet.
  • Der Authentifizierungs-Server AuC kann z. B. in einem Heimatregister (Home Location Register, HLR) eines Netzbetreibers eines Mobilfunknetzes, an dem die erste Partei Teilnehmer ist, enthalten sein. Der Authentifizierungs-Server AuC ist mit dem Kundenbetreuungs- und Rechnungserstellungs-System CCBS über ein Signalisierungssystem SSN7 verbunden.
  • Bei Empfang der GSM-Standard-Authentifizierungs-Anforderung M_03a vom Kundenbetreuungs- und Rechnungserstellungs-System CCBS führt der Authentifizierungs-Server AuC eine GSM-Standard-Authentifizierung durch, Schritt 111a in 1a, die die Erzeugung eines so genannten Tripletts enthält, das folgendes umfasst:
    • – eine Zufallszahl
    • – eine signierte Antwort, und
    • – einen Chiffrier-Schlüssel,
    das mit der Nachricht M_03b zum Kundenbetreuungs- und Rechnungserstellungs-System CCBS zurück gesendet wird.
  • Die Zufallszahl des Tripletts wird an das mobile Endgerät 1 mit der Nachricht M_03c weitergeleitet, die in Schritt 111b die GSM-Standard-Authentifizierung auf der Basis des bekannten A3- und A8-Algorithmus des GSM-Standards wiederholt (vgl. ETSI-GSM Technical Specification GSM 03.20, Version 3.3.2).
  • Dies führt zu einer so genannten Challenge Response, d. h. die Zufallszahl, digital signiert mit demselben Chiffrier-Schlüssel wie er im Authentifizierungs-Server AuC benutzt wird. Die Challenge Response wird über die Nachricht M_03d an das Kundenbetreuungs- und Rechnungserstellungs-System CCBS zurück geliefert.
  • In Schritt 111c wird die signierte Antwort vom Authentifizierungs-Server AuC und die Challenge Response vom mobilen Endgerät 1 in dem Kundenbetreuungs- und Rechnungserstellungs-System CCBS auf Gleichheit überprüft. Wenn sie gleich sind, hat die erste Partei, die das mobile Endgerät 1 benutzt, sich selbst erfolgreich beim Kundenbetreuungs- und Rechnungserstellungs-System CCBS authentifiziert.
  • Ein positives Authentifizierungs-Ergebnis M_02b wird daraufhin zum Online-Dienstanbieter OSP übertragen, der vom Kundenbetreuungs- und Rechnungserstellungs-System CCBS über die Nachricht M_04, die auch die International Mobile Subscriber Identity (IMSI) des mobilen Endgerätes 1 enthält, einen Signierungsschlüssel anfordert.
  • Der Signierungsschlüssel kann der Chiffrier-Schlüssel des oben erwähnten Tripletts sein. In diesem Fall ist die Erzeugung eines Signierungsschlüssels nicht erforderlich. Andernfalls wird ein Signierungsschlüssel in Schritt 120 in 1a erzeugt und wird sowohl an den Online-Dienstanbieter OSP, als auch das mobile Endgerät 1 geliefert, was durch die Pfeile 130 in 1a angedeutet wird.
  • Die Bereitstellung 130 des Signierungsschlüssels wird über eine sichere Verbindung durchgeführt, die im Fall der Übertragung an den Online-Dienstanbieter eine sichere Sitzung über das Internet IP sein kann. Bezüglich der Übertragung zum mobilen Endgerät 1 wird eine sichere drahtlose Verbindung durchgeführt, indem ein Kurzmitteilungs-Dienst (SMS) eines GSM-Netzwerks verwendet wird.
  • Zusätzlich dazu kann der Signierungsschlüssel selbst zur Übertragung zum mobilen Endgerät 1 verschlüsselt werden, wozu ein geeigneter Schlüssel verwendet wird, der aus geheimen Daten besteht, die nur das Kundenbetreuungs- und Rechnungserstellungs-System CCBS und die erste Partei 1 gemeinsam kennen, um die Übertragungssicherheit des Signierungsschlüssels zu erhöhen.
  • Nun besitzen sowohl der Online-Dienstanbieter OSP, als auch die erste Partei mit ihrem mobilen Endgerät 1 einen Signierungsschlüssel, der dazu verwendet werden kann, Daten digital zu signieren.
  • Zum Beispiel kann die erste Partei beliebige unsignierte/unverschlüsselte Vertrags-Parameter 135, wie z. B. einen Preis oder etwas anderes mit der zweiten Partei, d. h. dem Online-Dienstanbieter OSP, austauschen, und zusätzlich signieren beide diese Parameter digital. Dann sendet die erste Partei auch die signierten Parameter zur zweiten Partei, die einfach ihre eigenen signierten Parameter mit den von der ersten Partei empfangenen Parametern vergleicht. Wenn beide Sätze signierter Parameter identisch sind, ist die Integrität der Parameter, sowie die Identität der ersten Partei sichergestellt, und eine Transaktion, wie z. B. ein Vertrag oder eine Zahlung 140 und ähnliches kann durchgeführt werden.
  • Somit ist es durch Verwendung vorhandener GSM-Authentifizierungs-Maßnahmen entsprechend der Nachrichten M_03a, M_03b, M_03c, M_03d möglich, Signierungsschlüssel an die erste und zweite Partei zu liefern, ohne zusätzliche Hardware oder Software und insbesondere ohne einen Vertrag mit einer (externen) Zertifizierungsstelle.
  • 1b zeigt eine zweite Ausführung der vorliegenden Erfindung, bei der ein positives Ergebnis der GSM-Authentifizierung entsprechend Schritt 111c in 1a angenommen wird und zeigt nicht die Nachrichten M_03a, M_03b, M03c, M03d, die zum oben beschriebenen GSM-Authentifizierungs-Prozess gehören.
  • Nach der erfolgreichen Beendigung der GSM-Authentifizierung, vgl. Nachricht M_02b in 1a, fordert der Online-Dienstanbieter OSP vom Kundenbetreuungs- und Rechnungserstellungs-System CCBS einen Signierungsschlüssel über die Nachricht M_04 (1b, 1a) an, die auch die International Mobile Subscriber Identity (IMSI) des mobilen Endgerätes 1 enthält, wobei letztere vom Online-Dienstanbieter OSP auf die oben beschriebene Weise empfangen wurde.
  • Durch Senden der IMSI des mobilen Endgerätes zum Kundenbetreuungs- und Rechnungserstellungs-System CCBS wird eine geeignete, individuelle Schlüssel-Erzeugung für das mobile Endgerät 1 ermöglicht. Andernfalls wäre es in dem CCBS nicht klar, für welches mobile Endgerät eine Schlüssel-Erzeugung auszulösen ist, was ein kritischer Punkt ist, da die Signierungsschlüssel spezifisch für das entsprechende mobile Endgerät 1 oder seine IMSI oder ähnliches ist.
  • Das Kundenbetreuungs- und Rechnungserstellungs-System CCBS hat einen Schlüssel-Erzeuger 3 zum Erzeugen eines Signierungsschlüssels auf der Grundlage der Eingangsdaten, wie z. B. der International Mobile Subscriber Identity (IMSI) des mobilen Endgerätes 1, einer sitzungsspezifischen Zufallszahl, die bereits während der Standard-GSM-Authentifizierung ausgetauscht wurde, vgl. Nachricht M_03b in 1a, eines Chiffrier-Schlüssels und/oder anderer geheimer Daten, die nur von der ersten Partei und dem Authentifizierungs-Server AuC gemeinsam benutzt werden. Die Eingangsdaten werden von einer Datenbank 4 bereitgestellt, und die Eingabe wird in 1b durch die Pfeile 4a symbolisiert.
  • Der Signierungsschlüssel wird in dem Schlüssel-Erzeuger 3 erzeugt und dann an den Online-Dienstanbieter OSP durch Nachricht M_04a zurückgegeben.
  • Derselbe Schlüssel-Erzeuger 3 befindet sich im mobilen Endgerät 1, insbesondere auf einer SIM-(Subscriber Identity Module)-Karte im mobilen Endgerät 1, und der oben erwähnte Signierungsschlüssel wird basierend auf derselben Eingabe 4a auch in dem mobilen Endgerät 1 erzeugt.
  • Nach der Erzeugung des Signierungsschlüssels in dem mobilen Endgerät 1 wird ein standardisierter Signier-Algorithmus, wie z. B. ein Nachrichten-Authentifizierungs-Code MAC oder ein Keyed Hashing für Nachrichten-Authentifizierung HMAC (vgl. RFC 2104, Internet Request for Comments) auf das Dokument 5 angewendet, und das Dokument 5 wird an den Online-Dienstanbieter OSP zusammen mit dem so signierten Dokument 5 über die Nachricht M_05 gesendet.
  • Bei Empfang der Nachricht M_05 überprüft der Online-Dienstanbieter OSP das Dokument 5 und das signierte Dokument, indem er einen standardisierten Signierungs-Algorithmus, wie z. B. einen Nachrichten-Authentifizierungs-Code MAC oder ein Keyed Hashing für Nachrichten-Authentifizierung HMAC auf das Dokument 5 anwendet. Es ist offensichtlich, dass sowohl das mobile Endgerät 1, als auch der Online-Dienstanbieter OSP denselben standardisierten Signierungs-Algorithmus MAC/HMAC verwenden müssen.
  • Wenn die signierte Version von Dokument 5, die vom Online-Dienstanbieter OSP erzeugt wird, identisch zur signierten Version von Dokument 5 ist, die vom mobilen Endgerät 1 erzeugt wurde, ist die Identität des mobilen Endgerätes 1 und die Integrität des Dokumentes 5 bewiesen.
  • Eine weitere Ausführung der vorliegenden Erfindung ist in 1c gezeigt. Im Gegensatz zu 1b wird ein asymmetrischer Signierungsprozess verwendet. Zu diesem Zweck wird ein Erzeuger 3a für einen öffentlichen Schlüssel, der zum Beispiel in dem Kundenbetreuungs- und Rechnungserstellungs-System CCBS enthalten sein kann, mit Eingangsdaten 4a von einer Datenbank 4 versorgt, wie bereits oben erklärt, um einen öffentlichen Signierungsschlüssel zu erzeugen, der auf die Anfrage M_04 mit der Nachricht M_04a zum Online-Dienstanbieter OSP gesendet wird.
  • Das mobile Endgerät 1 enthält einen Erzeuger 3b für einen privaten Schlüssel, der einen privaten Signierungsschlüssel erzeugt, der von einem asymmetrischen Chiffrier-Algorithmus ac benutzt wird, um eine Signatur zu erzeugen, die zusammen mit dem Dokument 5 mit der Nachricht M_05 an den Online-Dienstanbieter OSP gesendet wird.
  • Der Online-Dienstanbieter OSP überprüft dann die Identität des mobilen Endgerätes 1 und die Integrität des Dokumentes 5, indem er in Schritt 150 asymmetrische Chiffrier- und Dechiffrier-Algorithmen nach dem Stand der Technik anwendet.
  • 2 zeigt eine weitere Anwendung des Verfahrens gemäß der vorliegenden Erfindung, in dem zuerst eine GSM-Standard-Authentifizierung durchgeführt wird, wie bereits mit Referenz auf 1a, 1b, 1c erklärt.
  • Nachdem in Schritt 111c die Überprüfung auf Gleichheit der Challenge Response vom Authentifizierungs-Server AuC und der Challenge Response vom mobilen Endgerät 1 in dem Kundenbetreuungs- und Rechnungserstellungs-System CCBS durchgeführt wurde, wird die Vielzahl von Signierungsschlüsseln in dem Kundenbetreuungs- und Rechnungserstellungs-System CCBS erzeugt und in Schritt 130 an das mobile Endgerät 1 geliefert. Das mobile Endgerät 1 speichert in Schritt 135 die Vielzahl von Signierungsschlüsseln, und die Signierungsschlüssel werden auch in dem Kundenbetreuungs- und Rechnungserstellungs-System CCBS gespeichert, was in Schritt 135a durchgeführt wird.
  • Die Speicherung von Signierungsschlüsseln beschleunigt zukünftige Signierungs-Prozesse und garantiert die Möglichkeit der Signierung, sogar wenn die GSM-Funktionalität oder ein anderer Kommunikationskanal, der üblicherweise für die sichere Übertragung von Signierungsschlüsseln, insbesondere an das mobile Endgerät, benutzt wird, (zeitweise) nicht zur Verfügung steht, was z. B. die Folge einer fehlenden Netzabdeckung sein kann.
  • Noch eine weitere Variante der vorliegenden Erfindung schlägt vor, nach einer erfolgreichen GSM-Standard-Authentifizierung mindestens ein Token mit langer Lebensdauer zu erzeugen.
  • Beide Varianten verringern die Netzwerk-Belastung der zur Authentifizierung benutzten Netzwerke, da eine neue Authentifizierung nur erforderlich ist, wenn der Signierungsschlüssel mit langer Lebensdauer abgelaufen ist oder jeder Signierungsschlüssel aus der Vielzahl von Signierungsschlüsseln benutzt wurde.
  • Ferner kann, wenn ein Signierungsschlüssel mit langer Lebensdauer noch gültig ist oder wenn gespeicherte Signierungsschlüssel im mobilen Endgerät 1 zur Verfügung stehen, eine benutzertransparente Authentifizierung durchgeführt werden, da der Zugriff auf einen gespeicherten Signierungsschlüssel keine Benutzer-Interaktion erfordert. In diesem Fall muss ein mobiles Endgerät, das die gespeicherten Signierungsschlüssel enthält, durch ein Passwort geschützt sein.
  • Der/die Signierungsschlüssel können im Allgemeinen durch einen Chiffrier-Schlüssel des GSM-Standard-Authentifizierungs-Prozesses erzeugt/erhalten werden. Zusätzlich dazu können geheime Daten, die nur von der ersten Partei und einem Authentifizierungs-Server AuC gemeinsam benutzt werden, dazu verwendet werden, einen weiteren Signierungsschlüssel zu erzeugen.
  • Die Bereitstellung eines zusätzlichen Schlüssels oder einer Vielzahl zusätzlicher Schlüssel, die dazu benutzt werden können, den/die Signierungsschlüssel zu chiffrieren, ist auch mit dem Verfahren gemäß der vorliegenden Erfindung möglich. Der/die zusätzlichen) Schlüssel werden zum mobilen Endgerät 1 der ersten Partei und zum Gateway CCBS gesendet, was eine sichere Übertragung des/der Signierungsschlüssel ermöglicht, sogar wenn die GSM-Funktionalität nicht gegeben ist.
  • Durch Verschlüsselung der/des Signierungsschlüssel(s) mit dem/den zusätzlichen Schlüsseln) ist es möglich, eine sichere Übertragung von Signierungsschlüsseln zwischen dem mobilen Endgerät 1 der ersten Partei und dem Gateway CCBS aufzubauen, wobei anstelle der GSM-Kommunikation jede Art von Adhoc-Netzwerk auf der Basis von DECT (Digital Enhanced Cordless Telecommunications), Bluetooth und IrDA-Systemen benutzt werden kann.
  • Allgemein kann jede Art von Transaktion, die eine Benutzer-Authentifizierung oder Verifizierung von Transaktionsdaten erfordert, durch die vorliegende Erfindung verbessert werden. Insbesondere Zahlungs-Transaktionen können vorteilhaft vereinfacht werden, während gleichzeitig die Transaktions-Sicherheit erhöht wird.
  • Es ist auch möglich, die durch das Verfahren der vorliegenden Erfindung erhaltenen Signierungsschlüssel für den Zugang zu so genannten Single-Sign-On-Diensten zu verwenden. Single-Sign-On-Dienste sorgen für einen zentralisierten Authentifizierungs-Prozess mittels einer einzigen Authentifizierungs-Einheit, auch als "Identitäts-Anbieter" bekannt, die eine Benutzer-Authentifizierung für eine Vielzahl von Dienstanbietern durchführt, die einen "Circle of Trust" definieren. Nach einer solchen Authentifizierung kann der identifizierte Benutzer sich mit jedem Dienstanbieter des Circle of Trust vertraglich verpflichten, ohne aufgefordert zu werden, sich erneut zu authentifizieren. Single-Sign-On-Dienste werden z. B. durch ein so genanntes Liberty Alliance Project bereitgestellt (vgl. die Website http://www.projectliberty.org/).
  • Im Allgemeinen kann vor der Auslösung einer Standard-GSM-Authentifizierung (M_03a, ..., 1a) die Kreditwürdigkeit der ersten Partei vom Kundenbetreuungs- und Rechnungserstellungs-System CCBS überprüft werden. Hierdurch wird es unnötig, die GSM-Standard-Authentifizierung durchzuführen, wenn die erste Partei eine schlechte Kreditwürdigkeit hat, wodurch die Netzwerk-Belastung verringert wird.
  • In den Fällen, in denen der Signierungsschlüssel von dem Kundenbetreuungs- und Rechnungserstellungs-System CCBS über eine Kurzmitteilung (SMS) an das mobile Endgerät 1 gesendet wird, ist es nicht erforderlich, dass das Kundenbetreuungs- und Rechnungserstellungs-System CCBS die entsprechende Kurzmitteilung an ein Kurzmitteilungs-Dienst-Zentrum (SMSC) weitergibt. Stattdessen kann das Kundenbetreuungs- und Rechnungserstellungs-System CCBS eine Adresse, insbesondere die so genannte MSC_ID, eines Mobilfunk-Vermittlungs-Zentrums (MSC) des GSM-Netzwerks von einem Heimatregister (HLR) anfordern und die Kurzmitteilung direkt an das mobile Endgerät 1 senden. Hierdurch werden Verzögerungen verhindert, die durch eine Verarbeitung der Kurzmitteilung in dem Kurzmitteilungs-Dienst-Zentrum (SMSC) verursacht werden können.
  • Das Verfahren gemäß der vorliegenden Erfindung liefert ferner einen zusätzlichen Wert für Netzbetreiber, da sie Benutzern sichere und einfache Transaktionen für Zahlungen anbieten können, z. B. in Supermärkten, zur Authentifizierung von Bietern bei Online-Auktionen und ähnliches.
  • Es ist auch möglich, Zahlungs-Anwendungen bereitzustellen, die in dem mobilen Endgerät 1 zusätzlich zu einer regulären Firmware der Geräte implementiert sind. Die Zahlungs-Anwendungen können dazu benutzt werden, die oben erwähnten Transaktions-Prozesse zu steuern, und sie können direkten Zugang zu einer GSM-Schnittstelle des mobilen Endgerätes 1 haben.
  • Ein weiterer Vorteil der vorliegenden Erfindung ist die Tatsache, dass Benutzer des entsprechenden mobilen Endgerätes 1 die Authentifizierung gemäß der vorliegenden Erfindung spontan benutzen können, um an Tombolas oder Auktionen teilzunehmen, die zum Beispiel veranstaltet werden, um Leute für Marketing-Ereignisse anzulocken. Eine getrennte, d. h. nicht elektronische Überprüfung der Identität dieser Leute ist wegen der Authentifizierung gemäß der vorliegenden Erfindung nicht erforderlich. Die Information der Bieter und/oder Gewinner der Tombola kann ebenfalls z. B. durch das Kundenbetreuungs- und Rechnungserstellungs-System CCBS auf hochentwickelte Weise über Kurzmitteilungen (SMS), Telefonanrufe oder elektronische Post durchgeführt werden.
  • Wie oben bereits angegeben, ist der Gegenstand der Erfindung nicht auf die Möglichkeit des Signierens von Daten beschränkt.
  • Es ist auch möglich, den Signierungsschlüssel dazu zu verwenden, Daten (digital) zu überprüfen oder zu verschlüsseln, was von einer jeweiligen Anwendung und vom Typ der bereitgestellten Transaktion abhängt. Zum Beispiel kann der Signierungsschlüssel dazu verwendet werden, Verträge, Preislisten, Bestellungen, für Electronic Banking verwendete Transaktions-Nummern und ähnliches zu unterzeichnen und/oder zu verschlüsseln und/oder zu überprüfen.
  • Gemäß einer weiteren Ausführung der vorliegenden Erfindung kann, wenn der Online-Dienstanbieter OSP und das Kundenbetreuungs- und Rechnungserstellungs-System CCBS beide im selben Circle of Trust enthalten sind, der z. B. von der Liberty Alliance verwaltet wird, der Online-Dienstanbieter OSP eine Authentifizierung durch das Kundenbetreuungs- und Rechnungserstellungs-System CCBS auslösen, ohne eine IMSI von der ersten Partei anzufordern, weil in diesem Fall, das Kundenbetreuungs- und Rechnungserstellungs-System CCBS selbst eine Authentifizierungs-Anforderung ausgibt (vgl. M_01, 1a). In diesem Fall spielt das Kundenbetreuungs- und Rechnungserstellungs-System CCBS auch die Rolle eines Identitäts-Anbieters (IDP).
  • Um die Sicherheit weiter zu verbessern, kann das Kundenbetreuungs- und Rechnungserstellungs-System CCBS eine Identität der ersten Partei schützen, indem es vorhandene Parameter benutzt, wie eine temporäre Mobilstations-Kennung (TMSI) und/oder einen Standort-Bereichs-Index (LAI), vgl. C. Luders: Mobilfunksysteme, Vogel Verlag, Würzburg, 2001.
  • Es ist auch möglich, gesonderte Anonymisierungs-Dienste zu verwenden, die unabhängig von Verfahren arbeiten, die von Kommunikationsnetzen bereitgestellt werden.
    • 1a
    • 1b
    • 1c
    • 2

Claims (11)

  1. Verfahren zur Bereitstellung eines Schlüssels zum digitalen Signieren und/oder Überprüfen und/oder Verschlüsseln von Daten, die zwischen einer ersten Partei und einer zweiten Partei auszutauschen sind, das folgende Schritte umfasst: – Senden (M_02, M02a) eines Identifizierungs-Codes, der die erste Partei eindeutig kennzeichnet, von der ersten Partei an einen Gateway (CCBS), – Überprüfung des Identifizierungs-Codes durch den Gateway (CCBS) unter Verwendung eines Authentifizierungs-Servers (AuC), wobei vorhandene Authentifizierungs-Mechanismen entsprechend dem Standard GSM, Global Systems for mobile communications, für den Schritt der Überprüfung verwendet werden, – Erzeugen (120) eines Signierungsschlüssels durch den Gateway, – Bereitstellen (130) des Signierungsschlüssels an die erste Partei und/oder an die zweite Partei, wobei das Verfahren dadurch gekennzeichnet ist, dass der Schritt des Erzeugens (120) es umfasst, eine Vielzahl von Signierungsschlüsseln zu erzeugen, von denen jeder nur für eine einmalige Verwendung gültig ist, und dadurch, dass der Schritt des Bereitstellens (130) das Bereitstellen der Signierungsschlüssel an die erste Partei und an den Gateway (CCBS) nach dem Erzeugen der Signierungsschlüssel und das Bereitstellen eines Signierungsschlüssels an die zweite Partei von dem Gateway (CCBS) bei Anforderung von der zweiten Partei an den Gateway (CCBS) umfasst.
  2. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass ein weiterer Signierungsschlüssel erzeugt wird, der vom ersten Signierungsschlüssel und/oder von weiteren Daten abhängt, die von der ersten Partei und dem Authentifizierungs-Server (AUC) gemeinsam genutzt werden.
  3. Verfahren gemäß einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass ein Signierungsschlüssel mit langer Lebensdauer bereitgestellt wird (130), der für eine Vielzahl von Signierungs- und Authentifizierungs-Transaktionen benutzt werden kann.
  4. Verfahren gemäß Anspruch 3, dadurch gekennzeichnet, dass ein zusätzlicher Schlüssel oder eine Vielzahl von zusätzlichen Schlüsseln zur Chiffrierung des Signierungsschlüssels oder der Schlüssel bereitgestellt wird.
  5. Verfahren gemäß einem der Ansprüche 3 bis 4, dadurch gekennzeichnet, dass der Signierungsschlüssel mit langer Lebensdauer und/oder die Vielzahl von Signierungsschlüsseln und/oder der zusätzliche Schlüssel und/oder die Vielzahl von zusätzlichen Schlüsseln gespeichert (135, 135a) werden.
  6. Verfahren gemäß einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der oder die Signierungsschlüssel und/oder der oder die zusätzlichen Schlüssel über einen Kurzmitteilungs-Dienst (SMS) einer Mobilkommunikations-Infrastruktur und/oder eine andere sichere Verbindung an die erste Partei und/oder die zweite Partei gesendet werden.
  7. Verfahren gemäß einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der oder die Signierungsschlüssel zur Chiffrierung einer Kommunikation zwischen der ersten Partei und der zweiten Partei verwendet wird.
  8. Verfahren gemäß einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der oder die Signierungsschlüssel und/oder der oder die zusätzlichen Schlüssel für Authorisierungs-Transaktionen, insbesondere für Zahlungs-Transaktionen, und/oder für den Zugriff auf Single-Sign-On-Dienste verwendet werden.
  9. Verfahren gemäß einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass eine Kreditwürdigkeit der ersten Partei überprüft wird.
  10. Verfahren gemäß einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass ein Chiffrier-Schlüssel Kc, der durch Verwendung eines A8-Algorithmus gemäß dem GSM-Standard erhalten wird, als Signierungsschlüssel verwendet wird.
  11. Gateway (CCBS), der in der Lage ist, das Verfahren gemäß einem der vorherigen Ansprüche auszuführen.
DE602004012233T 2004-05-19 2004-05-19 Verfahren zur Bereitstellung eines Signierungsschlüssels zur digitalen Signierung, Überprüfung oder Verschlüsselung von Daten Expired - Lifetime DE602004012233T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP04291293A EP1599008B1 (de) 2004-05-19 2004-05-19 Verfahren zur Bereitstellung eines Signierungsschlüssels zur digitalen Signierung, Überprüfung oder Verschlüsselung von Daten

Publications (2)

Publication Number Publication Date
DE602004012233D1 DE602004012233D1 (de) 2008-04-17
DE602004012233T2 true DE602004012233T2 (de) 2008-06-26

Family

ID=34931119

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004012233T Expired - Lifetime DE602004012233T2 (de) 2004-05-19 2004-05-19 Verfahren zur Bereitstellung eines Signierungsschlüssels zur digitalen Signierung, Überprüfung oder Verschlüsselung von Daten

Country Status (8)

Country Link
US (1) US20050262355A1 (de)
EP (1) EP1599008B1 (de)
CN (1) CN100583883C (de)
AT (1) ATE388570T1 (de)
DE (1) DE602004012233T2 (de)
MX (1) MXPA05012876A (de)
RU (1) RU2404520C2 (de)
WO (1) WO2005112344A2 (de)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7333809B2 (en) 2003-03-18 2008-02-19 At&T Mobility Ii Llc Multi-standard prepaid communication services
US9143502B2 (en) * 2004-12-10 2015-09-22 International Business Machines Corporation Method and system for secure binding register name identifier profile
US7784092B2 (en) * 2005-03-25 2010-08-24 AT&T Intellectual I, L.P. System and method of locating identity providers in a data network
US7706792B1 (en) 2005-08-10 2010-04-27 At&T Mobility Ii Llc Intelligent customer care support
EP1952254A4 (de) * 2005-10-17 2011-06-22 Alebra Technologies Inc Verfahren, prozess und system zur gemeinsamen benutzung von daten in einem heterogenen speichernetzwerk
WO2007063876A1 (ja) * 2005-12-01 2007-06-07 Nec Corporation 電子入札システムおよび電子入札方法
CN1805339B (zh) * 2005-12-31 2010-05-12 北京握奇数据系统有限公司 支持数字签名的个人可信设备及其实现签名的方法
DE102006060042A1 (de) * 2006-12-19 2008-06-26 Siemens Ag Verfahren und Server zum Bereitstellen eines zweckgebundenen Schlüssels
FI20070157A0 (fi) * 2007-02-23 2007-02-23 Nokia Corp Nopea päivityssanomien autentikointi avainderivaatiolla mobiileissa IP-järjestelmissä
US8090343B2 (en) 2007-05-29 2012-01-03 At&T Mobility Ii Llc Optimized camel triggering for prepaid calling
US7983655B2 (en) 2007-06-20 2011-07-19 At&T Mobility Ii Llc Conditional call treatment for prepaid calls
US8090344B2 (en) 2007-07-23 2012-01-03 At&T Mobility Ii Llc Dynamic location-based rating for prepaid calls
US8774798B2 (en) 2007-08-28 2014-07-08 At&T Mobility Ii Llc Determining capability to provide dynamic local time updates in a prepaid terminating call
US8180321B2 (en) 2007-09-26 2012-05-15 At&T Mobility Ii Llc Recovery of lost revenue in prepaid calls
US8549279B1 (en) 2007-10-23 2013-10-01 United Parcel Service Of America, Inc. Encryption and tokenization architectures
JP4977665B2 (ja) * 2007-10-26 2012-07-18 株式会社日立製作所 通信システム及びゲートウェイ装置
US8601266B2 (en) * 2010-03-31 2013-12-03 Visa International Service Association Mutual mobile authentication using a key management center
US8452957B2 (en) * 2010-04-27 2013-05-28 Telefonaktiebolaget L M Ericsson (Publ) Method and nodes for providing secure access to cloud computing for mobile users
CN101902371A (zh) * 2010-07-26 2010-12-01 华为技术有限公司 安全监控方法、签名密钥发送方法、终端、服务器及系统
US9253168B2 (en) * 2012-04-26 2016-02-02 Fitbit, Inc. Secure pairing of devices via pairing facilitator-intermediary device
CN104168249A (zh) * 2013-05-16 2014-11-26 中国电信股份有限公司 对数据进行签名的方法、装置和系统
EP3013014A1 (de) * 2014-10-21 2016-04-27 Gemalto Sa Verfahren für Zugriff auf einen Dienst, zugehörige erste Vorrichtung, zweite Vorrichtung und System
CN106375390B (zh) * 2016-08-29 2019-11-12 北京爱接力科技发展有限公司 一种物联网中数据传输方法、系统及其装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US237004A (en) * 1881-01-25 Pants
DE69521413T2 (de) * 1994-01-13 2002-05-29 Certco Inc Verschlüsselungseinrichtung und verfahren mit möglichkeit zur gesicherten zentralen schlüsselablage
US6097817A (en) * 1997-12-10 2000-08-01 Omnipoint Corporation Encryption and decryption in communication system with wireless trunk
US20020056043A1 (en) * 1999-01-18 2002-05-09 Sensar, Inc. Method and apparatus for securely transmitting and authenticating biometric data over a network
WO2000049755A2 (en) * 1999-02-19 2000-08-24 Nokia Networks Oy Network arrangement for communication
AU2000264222A1 (en) * 2000-02-08 2001-08-20 Swisscom Mobile Ag Single sign-on process
US7308431B2 (en) * 2000-09-11 2007-12-11 Nokia Corporation System and method of secure authentication and billing for goods and services using a cellular telecommunication and an authorization infrastructure
US7194765B2 (en) * 2002-06-12 2007-03-20 Telefonaktiebolaget Lm Ericsson (Publ) Challenge-response user authentication
ITMO20020006A1 (it) * 2002-01-10 2003-07-10 Dream Team Srl Metodo e sistema per l'identificazione di utenti e l'autenticazione di documenti digitali su reti telematiche
JP4304362B2 (ja) * 2002-06-25 2009-07-29 日本電気株式会社 Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム

Also Published As

Publication number Publication date
WO2005112344A2 (en) 2005-11-24
WO2005112344A3 (en) 2006-04-13
RU2006101864A (ru) 2007-08-10
EP1599008B1 (de) 2008-03-05
ATE388570T1 (de) 2008-03-15
MXPA05012876A (es) 2006-02-22
DE602004012233D1 (de) 2008-04-17
US20050262355A1 (en) 2005-11-24
CN100583883C (zh) 2010-01-20
CN1700699A (zh) 2005-11-23
RU2404520C2 (ru) 2010-11-20
EP1599008A1 (de) 2005-11-23

Similar Documents

Publication Publication Date Title
DE602004012233T2 (de) Verfahren zur Bereitstellung eines Signierungsschlüssels zur digitalen Signierung, Überprüfung oder Verschlüsselung von Daten
DE60029217T2 (de) Verfahren und vorrichtung zum initialisieren von sicheren verbindungen zwischen und nur zwischen zueinandergehörenden schnurlosen einrichtungen
DE60308971T2 (de) Verfahren und Vorrichtung für sichere Datenkommunikationsverbindungen
DE60310968T2 (de) Sicherheits- und Privatsphärenverbesserungen für Sicherheitseinrichtungen
DE69727641T2 (de) Verfahren zum Senden einer sicheren Botschaft in einem Telekommunikationssystem
DE60002700T2 (de) Verbessertes Verfahren für die Authentifikation des Teilnehmerkennungsmoduls eines Benutzers
EP2749003B1 (de) Verfahren zur authentisierung eines telekommunikationsendgeräts umfassend ein identitätsmodul an einer servereinrichtung eines telekommunikationsnetzes, verwendung eines identitätsmoduls, identitätsmodul und computerprogramm
DE602004000695T2 (de) Erzeugung von asymmetrischen Schlüsseln in einem Telekommunicationssystem
EP1449324B1 (de) Nutzung eines public-key-schlüsselpaares im endgerät zur authentisierung und autorisierung des telekommunikations-teilnehmers gegenüber dem netzbetreiber und geschäftspartnern
EP3574610A1 (de) Verfahren zum durchführen einer zweifaktorauthentifizierung
DE102007044905A1 (de) Verfahren und Vorrichtung zur Ermöglichung einer Dienstnutzung und Feststellung der Teilnehmeridentität in Kommunikationsnetzen mittels softwarebasierten Zugangsberechtigungsausweisen (vSIM)
DE69838003T2 (de) Verfahren zum etablieren des vertrauenswürdigkeitgrades eines teilnehmers während einer kommunikationsverbindung
EP3909221B1 (de) Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät
EP2289016A2 (de) Verwendung eines mobilen telekommunikationsgeräts als elektronische gesundheitskarte
DE10392788T5 (de) Nichtablehnung von Dienstvereinbarungen
DE102011075257B4 (de) Beantwortung von Anfragen mittels des Kommunikationsendgeräts eines Nutzers
DE112008002860T5 (de) Verfahren und Vorrichtung für das Bereitstellen einer sicheren Verknüpfung mit einer Benutzeridentität in einem System für digitale Rechteverwaltung
EP1588295A2 (de) Verfahren zum erbringen von diensten in einem datenübertragungsnetz und zugehörige komponenten
EP3908946B1 (de) Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät
DE60224391T2 (de) Sicherer Zugang zu einem Teilnehmermodul
EP1406464A1 (de) Verfahren sowie Kommunikationsendgerät zum gesicherten Aufbau einer Kommunikationsverbindung
DE60311328T2 (de) Verfahren und vorrichtung zur netzwerksicherheit
EP3540623B1 (de) Verfahren zur erzeugung eines pseudonyms mit hilfe eines id-tokens
EP2933769B1 (de) Transaktionsverfahren
DE102022000857B3 (de) Verfahren zur sicheren Identifizierung einer Person durch eine Verifikationsinstanz

Legal Events

Date Code Title Description
8364 No opposition during term of opposition