EP3685563A1 - Method for configuring user authentication on a terminal device by means of a mobile terminal device and for logging a user onto a terminal device - Google Patents

Method for configuring user authentication on a terminal device by means of a mobile terminal device and for logging a user onto a terminal device

Info

Publication number
EP3685563A1
EP3685563A1 EP18803528.1A EP18803528A EP3685563A1 EP 3685563 A1 EP3685563 A1 EP 3685563A1 EP 18803528 A EP18803528 A EP 18803528A EP 3685563 A1 EP3685563 A1 EP 3685563A1
Authority
EP
European Patent Office
Prior art keywords
terminal
user
mobile terminal
network
time password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP18803528.1A
Other languages
German (de)
French (fr)
Inventor
Markus Müller
Frank Ertl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Apiida AG
Original Assignee
Apiida AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Apiida AG filed Critical Apiida AG
Publication of EP3685563A1 publication Critical patent/EP3685563A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity

Definitions

  • the invention relates to a method for establishing user authentication at a terminal by means of a mobile terminal and subsequently logging on a user at a digital terminal.
  • the invention relates to a method for authenticating the user to the terminal.
  • the invention is directed to a method of logging a user in a network by means of a one-time password in the absence of a mobile terminal used to authenticate the user.
  • the invention also includes a mobile terminal and two different computer program products.
  • a login of a user to a terminal in a network should always be secure in order to protect the network from unauthorized access and to keep confidential data safe.
  • a so-called two-factor authentication has been used.
  • the logging in user must be in possession of two independent factors.
  • a chip card also called a smart card.
  • Every smart card to be used in the network must be personalized and output to the respective user. This requires a complex infrastructure for creating the smart cards and also requires a corresponding output system. The replacement of a defective or a lost chip card represents a significant overhead.
  • Each terminal that a user must authenticate to requires a corresponding card reader. This reader must be constantly carried if the terminal has no corresponding reader in the network. This significantly reduces user acceptance. Alternatively, each terminal must be equipped with a corresponding reader, which in turn increases the hardware costs for the IT infrastructure, if a reader is available for the respective terminal at all.
  • Smart cards are often unpopular with users because they have to be felt as an additional means of authentication and do not fulfill any additional purpose, ie they are useless after authentication at the end device.
  • US 7 783 702 B2 describes a method for accessing a terminal by means of a mobile telephone via Bluetooth.
  • an “engine” (“phone-to-computer” or “computer-to-phone”)
  • a remote access to the terminal is made possible by the mobile terminal, thereby enabling an authentication at the terminal by the mobile terminal Identity uses the phone number of the mobile device, and the infrastructure used is unsecured, allowing an attacker to gain easy access to the device.
  • US 2014/0068723 A1 describes two-factor authentication.
  • This method uses a mobile phone on which a message is displayed as soon as authentication is requested from an authentication service, such as a website or a terminal.
  • the mobile phone uses a universal user identity, UUID, for identification.
  • UUID universal user identity
  • the mobile phone should learn the authentication behavior of the mobile phone user and a recognized typical authentication behavior, such as service and location and time, the authentication of the user is enabled without further user interaction.
  • This procedure is highly uncertain, especially if an unauthorized third party simply copies and applies the learned pattern.
  • US 8,646,060 B2 a method for adaptive authentication is explained. In this case, a smartphone is used as an authentication device to log on to a terminal. The user is automatically logged off when the user leaves the terminal.
  • the smartphone uses a Bluetooth connection.
  • This method uses a communication server or an authentication application.
  • the data transmission between the terminal and the smartphone can be certificate-based, comprise a public-key infrastructure, or PKI for short, and run in a secure memory or a security element. If the mobile phone is lost, two-factor authentication is not possible. The user therefore can not log on to the system securely.
  • a major disadvantage of the previous solutions for authentication by means of a mobile phone is the much lower security level for authentication than, for example, when using a smart card solution.
  • cryptographic keys are generated in the mobile phone, but these are generated by the operating system of the mobile phone itself, and only in a memory area, such as a software container that is directly accessible from the operating system, filed. An unauthorized third party can gain access to the keys in this way.
  • An improvement in security is achieved by the method described in US 2015/0121068 AI for a user authentication to an online service.
  • using a secure runtime environment, English Trusted Execution Environment (TEE) and a secure application, English Trusted Application, TA for short increases security. Only certified software vendors have access to this TEE.
  • TEE Trusted Execution Environment
  • TA English Trusted Application
  • US 2016/0 330 199 A1 describes a method for authenticating a user of a terminal for accessing a service provider. The authentication is performed by means of a mobile phone of the user. If the mobile phone does not exist, it will Authenticated using a mobile phone of a colleague and performed during the authentication by means of the service provider generated OTP.
  • a disadvantage of the existing solutions is the lack of compatibility with already established systems. So far there is no possibility of a mixed operation for the authentication with smart card and authentication with a mobile phone. In addition, the smart card or the mobile phone must necessarily be carried along by the user in each of the previous solutions. In the event of a loss, a forgetting, a defect or a temporary inoperability, for example if the accumulator is undercharged, two-factor authentication is no longer possible in these systems. If permitted in the respective environment, then a one-factor solution is used, which significantly reduces the security of the network. Environments where the use of two factors is mandatory do not allow authentication in this case.
  • the object of the present invention is to eliminate the above-mentioned disadvantages.
  • a registration method by means of two-factor authentication is to be provided, which is simple and flexible and can always be used.
  • the object is achieved with the technical measures described in the independent claims.
  • Advantageous embodiments are described in the respective dependent claims.
  • the object is achieved by a method for the method for establishing user authentication at a terminal by means of a mobile terminal, the method comprising the following steps: setting up a secure application on the mobile terminal; Connecting the secure application to a management system for activating the secure application; Requesting and obtaining a new user certificate at a certification authority by the activated secure application; Securing access to the new user certificate by assigning a PIN or using existing biometric authentication; Starting the secure application on the mobile terminal and establishing a wireless communication connection from the mobile terminal to the terminal; Starting the authorization request routine in the terminal and establishing a communication connection to the network or a directory service for authenticating the user; Generate one Authorization request by the network or directory service and transmitting it to the terminal; Signing the authorization request by means of the user certificate in the secure application; Transmitting the signed authorization request to the network or the directory service for verifying the signature, preferably checking the validity of the
  • the method further comprises: generating a one-time password by the entitlement request routine of the terminal; and storing the one-time password at a registrar and / or a registration service.
  • the linking step obtains information from the registration authority for establishing a connection to the management system in the secure application and provides this information as a QR code and records it by means of a camera of the mobile terminal.
  • the secure application runs in a secure runtime environment of the mobile terminal and the user certificate is generated for a cryptographic key pair stored in a secure storage area of the mobile terminal accessible only to the secure runtime environment.
  • the object is achieved by a method for registering a user at a terminal by means of the generated one-time password in the absence of a mobile terminal to be used for authenticating the user.
  • the method comprises the following steps: Switching the logon process on the terminal to use a one-time password instead of authentication by means of the mobile terminal for authenticating this user to this terminal, wherein the one-time password in a previous authentication of the user, ie a successful logon the user on the network, has been created and stored in a registry; Providing the one-time password to the user; Querying the one-time password for login by means of an authorization request routine of the terminal; Checking the one-time password and authenticating the user at the terminal of the network; Generate one new one-time password through the entitlement request routine of the terminal; and storing the new one-time password in the registry instead of the previous one-time password and using the new one-time password upon subsequently enrolling the user on the terminal in the absence of the mobile terminal to be used to authenticate the user.
  • the query step also includes, for example, a transfer step, wherein the input one-time password is transmitted by means of the authorization request routine of the terminal. If there is no connection to the registrar during the authentication process, the generation of the new one-time password and the transfer to the registrar will be postponed to a later date and then executed if there is a communication link to the registrar. Until then, the original one-time password remains valid and can be used to authenticate the user.
  • a terminal is here understood to mean a device which is connected to a public or private data or telecommunications network.
  • the terminal is for example a client.
  • a client communicates with a server over the network to retrieve its services.
  • the terminal may be a stationary terminal, so a workstation, a PC, a workstation or even a portable terminal, such as a notebook, a netbook, an ultrabook or a tablet PC.
  • a mobile terminal is a terminal that is due to its size and weight without major physical effort portable and therefore mobile, for example, a terminal for mobile, network-independent data, voice and video communication and navigation, such as a smartphone, a mobile phone or a handheld.
  • logging on the user at the terminal is meant in particular its authentication by the network or the terminal.
  • the user authenticates himself to the network or terminal and upon user verification the user is considered authentic.
  • logging in particular means the process of an authorization check for the certification, if necessary, of a genuineness of an actually existing access authorization.
  • the user is authorized to use the terminal as part of their network permissions.
  • the inventive switching of the logon process at the terminal can be done automatically, for example, after a certain period of time, in which the terminal has indeed recognized the presence of a user but not a commonly used for authentication mobile terminal. Switching can also be done by the user at the terminal through user interaction.
  • the switching can also be done by means of a remote access to the terminal via a network, for example based on a command of a registration authority.
  • the switching may involve changing a graphical user interface, or GUI, at the terminal, which requests the input of an authentication sequence.
  • a network is a computer network or computer network, ie an association of various technical, primarily independent terminals. This merger allows communication among the terminals.
  • the goal here is the sharing of resources such as network printers, servers, media files and databases. Also important is the ability to centrally manage devices, users, their permissions and data.
  • the presence of a communication connection to the network is not absolutely necessary, so that a logon to the terminal could also be made locally in a so-called offline mode of the terminal.
  • a one-time password is used.
  • a one-time password English one-time password, OTP for short, is a one-time-authentication for the user authentication.
  • Each one-time password is valid in a preferred embodiment only for a single use and can not be used a second time to authenticate the user. Accordingly, each authentication or authorization requires a new one-time password. It is safe against passive attacks, ie unauthorized listening. So-called replay attacks are impossible. In offline mode, the one-time password remains valid until the new one-time password has been successfully negotiated with the registrar.
  • the OTP makes it possible to carry out a two-factor authentication even without the presence of its mobile terminal, which is usually provided for authentication on the network.
  • the OTP has been compulsorily generated during a previous authentication of the user, that is, the OTP is not a random string provided by a system, but a string negotiated upon successful authentication of the user such that the OTP has the security level of the otherwise used user certificate of the mobile terminal.
  • This OTP is stored in a registry of the network. There are two variants for using the one-time password.
  • the one-time password is used to encrypt a stored in a secure area of the terminal replacement user certificate. During authentication, this is then decrypted with the one-time password entered by the user and used for authentication. If it is entered incorrectly, the decryption process fails. In this embodiment, the one-time password is not stored on the terminal.
  • Hash algorithms can not be reversed, i. a hash value can no longer be used to derive the original one-time password.
  • the one-time password entered by the user is also hashed and compared to the stored value.
  • the one-time password may be changed by the user e.g. be requested by telephone or via a different route from the registry. In this process, the latter has the opportunity to ascertain the identity of the applicant without any doubt.
  • the registration authority is an entity in the network and can be designed, for example, as a self-administration portal in order to enable a user to independently log on to the method according to the invention.
  • This registry for example, creates information for a secure application, English Trusted Application, TA for short, in a secure runtime environment, English Trusted Execution Environment, short TEE, in the mobile device, so that a safe and easy initialization of the method can be done. For example, based on the switching of the logon process, the registrar also checks whether the user is authorized to use the terminal. The registry can also transmit necessary configuration data. If necessary, the OTP is provided to the user. In a preferred embodiment, the OTP is communicated to the user via one of the connection between the terminal and the network provided various connection.
  • the user in a simple application, a phone call or video call with, for example, a service or information point of the network (help desk) and asks the OTP by verbal announcement.
  • the user must uniquely identify himself, for example by means of an identification document or a stored photo of the user.
  • the helpdesk verifies the user based on the stored data and provides the OTP if it matches.
  • the OTP can also be transmitted via a different channel than the telephone, for example a second mobile terminal of the user or a hardware token, for example a USB stick or memory card. It is important that the user receives the OTP only if his identity has been established, ie the identity of the user has been verified beyond doubt.
  • the OTP is requested by the terminal.
  • an authorization request routine of the terminal English Credential Provider, short CP used.
  • This CP is used to authenticate the user, in particular to a so-called domain controller to allow a login to the terminal.
  • the CP is, for example, the CP already installed on the terminal within the scope of the authentication application according to the invention by means of the mobile terminal, so that the security level is maintained.
  • This CP alters the conventional logon procedure at the terminal and is usually responsible for communication with the mobile terminal. By using a CP that directly controls and monitors communication with the mobile device, the security level in the system is significantly increased.
  • the CP is a trusted entity and is part of the authentication system.
  • the CP prevents a malicious mini-driver from being installed that allows an attacker to record the communication between the terminal and the mobile terminal.
  • This CP is now also advantageously used when entering the OTP, to prevent the OTP is tapped by an attacker and used for unauthorized logon.
  • the user then uses the provided OTP in a corresponding input mask of the terminal.
  • the terminal verifies and verifies the OTP allowing authentication of the user.
  • the OTP is used to access a replacement certificate which is stored in a secure memory area, for example a trusted platform module TPM, of the terminal.
  • TPM trusted platform module
  • This first embodiment variant finds Application, if a registration on the terminal must be made by means of a certificate, for example, is mandatory due to a company policy.
  • the OTP can be used as a second factor for logging in at the terminal with a user name and a further password. In this second embodiment variant, therefore, a conventional login on the terminal is only released after a successful verification and verification of the OTP, so that the two-factor authentication is retained here as well.
  • a new OTP is generated by the CP and stored encrypted in the registry. If the OTP is used together with a replacement user certificate, it will be invalidated and the CP will automatically request a new one. This new certificate is encrypted with the OTP and stored in secure storage. If the OTP is used with username and another password, only the hash value of the old OTP will be replaced by the one of the new one. This new OTP is to be used when the user logs in again without the mobile terminal to be used to authenticate the user. If there is no connection to the registrar at the time of authentication, the generation and transfer to the registrar is postponed until the connection is restored.
  • the transfer and storage of the new OTP is preferably cryptographically encrypted.
  • Encryption also ciphering, hereby means the conversion of data in the "plaintext" into data in the "ciphertext", also called cipher, by means of a key, so that the plaintext from the ciphertext can only be retrieved using a secret key. It is used for confidentiality of messages, for example to protect data against unauthorized access or to transmit messages confidentially.
  • the corresponding keys are negotiated between the terminal and the registration office or distributed in advance by correspondingly secure transmission.
  • the method according to the invention always ensures a two-factor authentication.
  • the first factor is ownership of the mobile terminal with the certificate thereon.
  • the second factor is the PIN or a biometric value, for example a fingerprint or an eye scan, which is additionally requested by the user.
  • the second factor is replaced by the telephone call or video call with the help desk and the required verification of the identity of the user.
  • the procedure with the help desk ensures that the user is actually the appropriate employee.
  • the OTP can be created on the terminal side or registration site side. The generation of the OTP on the terminal is ensured that the terminal is not provided externally a manipulated and an attacker known OTP.
  • This method enables a secure fallback method for logging on to a terminal even in the event that the otherwise commonly used mobile terminal is not present, for example because of a defect or a loss or a low battery state or simply forgetting this.
  • the two-factor authentication is maintained, the security level is not lowered and a simple authentication of the user is possible.
  • This solution can also be used if there is no communication connection between the terminal and the network. Thus, an offline login is also possible.
  • the new OTP is automatically made available to the registrar as soon as a communication link between the terminal and the network is available again.
  • the system thus also represents an advantage over the smart card solutions for logging in on the terminal, since no secure possibility can be created here if the smart card is not available.
  • the solution according to the invention offers the possibility here of using a second factor for a single application, which is securely negotiated between the CP and the registration office.
  • a directory service is used in the network to authenticate the user, and the user is logged on to the terminal by successful authentication in the directory service.
  • the directory service is preferably network-wide central and in the case of a Windows TM operating system, the Active Directory, short AD.
  • a network is structured according to the real structure of the enterprise or its spatial distribution. It manages various objects in a network such as users, groups, computers, services, servers, file shares, and other devices such as printers and scanners and their properties. With the help of AD the information of the objects can be organized, provided and monitored.
  • the users of the Networks are granted according to access restrictions, so not every user can view or use any file or network object.
  • the login then takes place, for example, by means of Kerberos certificate authentication.
  • the OTP can also be stored in the directory service to facilitate access to it from existing help desk applications. Preferably, the storage of the OTP is encrypted.
  • a (digital) certificate is a digital dataset that confirms certain properties of the user and whose authenticity and integrity can be tested by cryptographic methods.
  • the digital certificate contains in particular the data required for its verification.
  • the public-key certificates of the public-key infrastructure, PKI for short are relevant for this invention, which are defined, for example, according to the standard X.509 and which confirm the identity of the owner and other properties of a public cryptographic key.
  • the validity of the digital certificate is usually limited to a period of time specified in the certificate.
  • the validity of a certificate can be revoked if, in the absence of the mobile terminal, an authentication of the user in the network for logging on to a terminal is nevertheless to take place. This is preferably done when the mobile terminal foreseeable by loss or technical defect is no longer used. This ensures that the user certificate is not being used by an attacker to log on to the network. In less severe cases, such as non-usability by an empty accumulator, the validity of the certificate remains.
  • the authorization request routine will negotiate each new one-time password with the registry and transmit the new one-time password cryptographically secured, for example, by asymmetric or symmetric encryption. In this way, an attacker will not be able to corrupt the fallback method.
  • the OTP was negotiated between a secure runtime environment of the mobile terminal and an instance of the network, for example the registrar.
  • a cryptographic challenge method for example, according to the Challenge Handshake Authentication Protocol, short CHAP, applied.
  • OTP generation is equated with OTP negotiation.
  • a new user certificate is created for authenticating the user, this creation comprising the following method steps: setting up (installing) a secure application on a further mobile terminal; Connecting the secure application to a management system for activating the secure application; Creating new keys for use in cryptographic techniques in secure application; Requesting and obtaining the new user certificate at a certification authority by the activated secure application; Logging in using the new user certificate of the secure application and the authorization request routine of the terminal in the network; Generating a new one-time password by the entitlement request routine of the terminal; Storing the new one-time password in the registry instead of the previous one-time password and using the new one-time password on a subsequent user login on the terminal in the absence of the mobile terminal to be used to authenticate the user.
  • the secure application TA preferably runs in the secure runtime environment TEE of the mobile terminal.
  • the user certificate is generated for a cryptographic key pair stored in a secure storage area of the mobile terminal accessible only to the secure runtime environment.
  • the TA is installed on the mobile terminal of the user.
  • This TA is used in the user certificate creation phase to generate the key pair that forms the basis of the user certificate.
  • this TA is in the usual application procedure used to perform all cryptographic operations during user authentication. For this the terminal is selected and the TA is started. Within the usual login procedure, the user must always prove that he is authorized to access this key pair. He can do this via a PIN or one of the biometric sensors of the new mobile device.
  • a service is also installed on the mobile terminal together with the TA. The biometric sensor then queries an existing biometric authentication. This service automatically checks the security level of the new mobile device.
  • the login process automatically detects whether the new mobile device is secure or rooted and whether all relevant security patches have been imported. If this is not the case, this new mobile terminal can not be used as a second secure factor.
  • the TA for example, is an application for the operating systems Android TM or iOS TM and, in addition to the normal program processing, enables the execution of program code within a TEE on the mobile terminal or an alternatively protected area in the mobile terminal and is therefore called a secure application.
  • the part of the TA running in the TEE generates and stores the key pair in the new mobile terminal.
  • the Trusted Application Manager is an instance of the network or a remote system and checks for a license and also a registry of the secure application.
  • This TAM also known as Trusted Server, is responsible for building a secure channel into the TEE of the new mobile device. This channel can not be viewed by the operating system of the mobile device.
  • information is obtained from the registration authority for establishing a connection to the TAM in the TA.
  • This information can be provided, for example, as a QR code and captured by means of a camera of the mobile terminal.
  • the information from the registration authority also contains information for retrieving the user certificate from the certification authority, for example based on the Simple Certificate Enrollment Protocol, or SCEP for short.
  • SCEP Simple Certificate Enrollment Protocol
  • the mobile terminal authentication step comprises the steps of: starting the secure application on the mobile terminal and establishing a wireless communication connection from the mobile terminal to the terminal; Starting the authorization request routine in the terminal and establishing a communication connection to the network for authenticating the user; Generating an authorization request by the network and transmitting it to the terminal; Activation of the user certificate in the mobile terminal by entering a PIN or by using a biometric sensor; Signing the authorization request by means of the user certificate in the secure application; Transmitting the signed authorization request to the network for verifying the signature and validity of the certificate; and granting a login permission from the network upon successful verification.
  • This application method bypasses the disadvantages of a smart card login and an unsafe login by means of a mobile terminal alike.
  • This solution can be put into operation by the user himself, in case of replacement or loss of the mobile terminal, a logon can still be made.
  • the mobile terminal is an independent terminal and is usually transported separately from the terminal on which the user wishes to log in, so that user acceptance for the method according to the invention also increases.
  • the required keys are generated directly on the mobile terminal within a TEE.
  • a cryptographic encryption method is used, in particular an asymmetric encryption method.
  • the private key of the generated key pair does not leave the mobile terminal. Only via the TEE can it be accessed. All operations related to this key pair also occur within the TEE.
  • the terminal receives the CP.
  • This CP makes the communication with the mobile terminal completely transparent to the operating system.
  • the communication between the terminal and the mobile terminal is radio-based, for example by means of short-range technology according to the standard Bluetooth LE, which ensures that the user of the mobile terminal is also physically in the vicinity of the terminal.
  • a mixed operation is possible at any time, so that the user can also use other authentication.
  • An evaluation of the field strength measurement can be used to detect whether a user is approaching a terminal or of and, accordingly, the CP can initiate a login procedure or log off the user.
  • the terminal automatically recognizes the availability of a paired mobile terminal and logs on the user when it has started the TA and logged in with the PIN or a suitable biometric sensor to this.
  • the biometric sensor queries a biometric authentication of the user, which was previously deposited. The user does not have to make any selection of the CP at the end device, but merely to be within the communication range of the end device.
  • this method works even if the mobile device and / or the device is disconnected from the network. This is achieved by the direct communication between the mobile terminal and the terminal on which the user wishes to log on. The use of a central login server is waived.
  • the invention also includes a mobile terminal for registering a user with a terminal of a network according to the method described above.
  • the mobile terminal includes a secure runtime environment including the secure application; a wireless connection module, such as Bluetooth LE module, configured to communicate with an authorization request routine of a terminal; another wireless connection module, in particular cellular or broadband connection module, configured to communicate with a certification authority for obtaining a user certificate; a storage area for securely depositing a key pair, wherein the secure runtime environment is set up to exclusively access the storage area; and a camera for collecting information of a registrar.
  • a computer program product which is executably incorporated in a secure runtime environment of a mobile terminal and which is set up for authenticating a user to a network, for which purpose the method described above is carried out.
  • This computer program product includes in particular the secure application in the mobile terminal.
  • a computer program product which is executable introduced in a terminal of a network and which for querying a Authorization of a user is set up, for which purpose the method described above is performed.
  • This uterogram product is in particular the authorization request routine in the terminal.
  • Fig.l an embodiment of a process flow diagram of a method according to the invention
  • FIG. 2 shows a first embodiment of a system according to the invention for authenticating a user to a terminal
  • 3 shows a second embodiment of a system according to the invention for authenticating a user to a terminal
  • FIG. 5 shows an embodiment of a method sequence for registering a user according to the invention at a terminal by means of a mobile terminal.
  • FIG. 6 shows a first embodiment of a method sequence for registering a user according to the invention at a terminal without a mobile terminal.
  • FIG. 7 shows a second embodiment of a method sequence for registering a user according to the invention on a terminal without a mobile terminal.
  • the method 100 further comprises a polling step 103 for retrieving the one-time password for log-on by means of an authorization request routine of the terminal and possibly transmitting the input one-time password by means of the authorization request routine of the terminal.
  • the method 100 also includes a check step 104 for checking the one-time password by means of an authorization request routine of the terminal and authenticating the user to the terminal.
  • the method 100 also includes generating step 105 for generating and storing a new one-time password through the entitlement request routine of the terminal.
  • the method 100 also includes a store step 106 for storing the new one-time password in the registry instead of the previous one-time password and using the new one-time password on subsequent enrollment of the user on the terminal, again to authenticate the user to use mobile terminal.
  • FIG. 2 shows a first exemplary embodiment of a system according to the invention for authenticating a user to a terminal 1.
  • the system consists of the terminal 1, which includes an authorization request routine 9, hereinafter referred to as Credential Provider CP 9.
  • the system also consists of a mobile terminal 2, which is used to authenticate a user (not shown) on the terminal 1.
  • the mobile terminal 2 includes a secure runtime environment, also referred to as TEE (not shown), and a secure application 8, also referred to as TA 8.
  • the TA 8 is set up to access a secure memory area of the mobile terminal 2, in which a key pair 11 generated by the mobile terminal 2 is stored.
  • the mobile terminal 2 further comprises a wireless communication module for establishing a Bluetooth LE communication 6 with the terminal 1 and exchanging data for logging in and authenticating the user.
  • Bluetooth LE or BLE for short, is a radio technology with which the two terminals 1 and 2 can network in an environment of about 10 meters, whereby a comparatively low power consumption is required.
  • An advantage of BLE is that the field strength between the connected terminals 1 and 2 can be evaluated and one can thus indicate the approximate distance from which the connection is deemed to be insufficient and the terminal 1 is blocked. Due to the CP 9 and the TA 8, despite the limited connection parameters in BLE, it is possible to carry out a certificate application.
  • the system also includes a registry 3, on which a registration application 10 is set up.
  • the terminal 1 and the registration point 3 are, for example, objects of the same network 13.
  • the communication between the terminal 1 and the registration point 3 takes place, for example, via a wired connection, such as LAN, or wirelessly via WLAN or a broadband mobile connection, such as LTE.
  • the registration authority 3 is set up as a self-administration portal to allow a user to set up the registration process.
  • information for an installation of the TA 8 and the CP 9 can be retrieved, should the network 13 not provide this information otherwise.
  • the authorization of the user is checked as to whether he is ever released for the use of the terminal 1.
  • the registrar 3 transmits the necessary configuration data, including a SCEP-OTP of the certification authority required for generating an associated user certificate, to the mobile terminal 2 by means of a QR code
  • Terminal 2 has a camera (not shown) to detect the QR code.
  • the QR code is then evaluated by means of a processor of the mobile terminal 2 and thus receive the information of the QR code.
  • the information of the QR code provides the connection information to the TAM 5.
  • This information also represents the information for establishing a connection and requesting the user certificate in a certification authority 4 on the basis of a key pair 11, for example a SCEP-OTP.
  • the use of QR codes and the associated optical information transmission to the mobile terminal 2 a recording of the radio communication 6 ineffective.
  • the information of the registration office 3 can also be transmitted via the network 13 to the terminal 1 and transmitted from there to the mobile terminal 2.
  • the information of the government agency 3 via a mobile network (not shown) or an alternative broadband network, for example. WLAN are transmitted directly to the mobile terminal 2.
  • only first parts of the information of the registration office 3 can be received via the QR code, with further parts of the information of the government office 3 being transmitted via the mobile radio network / broadband network or the network 13 to the mobile terminal 2.
  • the system also includes a certification authority 4, English Certificate Authority, or CA 4 for short, ie an entity issuing digital certificates, including user certificate 14.
  • the digital certificates 14 used in the system according to the invention contain cryptographic keys and additional information which serve to authenticate the user and also to encrypt and decrypt confidential data, which are then distributed over the network 13 or also the mobile radio network or alternative broadband networks.
  • additional information for example, validity period, references to certificate revocation lists, etc. are included, which are introduced by the CA 4 in the certificate 14.
  • the role of the CA 4 is to issue and verify these digital user certificates 14. She wears the responsible for the provision, allocation and integrity of the certificates issued by it. This forms the core of the public-key infrastructure, PKI for short.
  • the CA 4 is not necessarily part of the network 13 and may be an external entity.
  • the CA 4 issues the user certificate 14 for the key pair 1 1 generated in the mobile terminal 2.
  • the confidential key also called a private key, does not leave the TEE of the mobile terminal 2.
  • the CA 4 creates the certificate 14 and returns it to the mobile terminal 2.
  • the SCEP is used for the distribution.
  • the system also includes a management system 5, English Trusted Application Manager, TAM 5 short This TAM 5 is responsible for establishing a secure channel in the TEE of the mobile terminal 2. Thus, data can be transmitted to the mobile terminal 2 without being able to be intercepted by the operating system of the mobile terminal 2.
  • TAM 5 English Trusted Application Manager
  • the TAM 5 registers the TA 8 and checks the license of the TA 8 by means of an associated whivergabestelle 7.
  • the TAM 5 is also able to generate in the mobile terminal 2 to be used key pair 1 1 and store in the TA should the TA 8 to be set up, for example, when using RSA keys instead of previously generated in TEE elliptic curve cryptography, short ECC keys.
  • the communication between TA 8 and TAM 5 is cryptographically secured.
  • the system according to FIG. 2 therefore comprises a PKI consisting of generated key pairs 11 and user certificates 14 generated by means of certification authority 4.
  • a registration authority 3 provides the information required for initializing TA 8 and CP 9.
  • a registration application 10 is used.
  • the TA 8 is in a TEE of the mobile terminal 2 which is configurable by means of TAM 5 and licensing authority 7.
  • the communication 6 between terminal 1 and mobile terminal 2 is BLE-based.
  • FIG. 3 shows a second exemplary embodiment of a system according to the invention for authenticating a user to a terminal 1.
  • the system according to FIG. 3 completely corresponds to the system according to FIG. 2 and only the differences between these systems are referred to below.
  • FIG. 3 shows further server services 15 that can be used for logging the events that have occurred as well as for communication with third-party systems.
  • the created certificates 14 can be transferred to a card management system, in short CMS, so that the logon authorization can also be withdrawn directly from the network 13.
  • an OTP can be generated and securely stored encrypted in the TA 8 and the server 15. Should the user be offline and have no access to the mobile terminal 2, the system according to the invention, for example by means of an information center (help desk) or the registration point 3 OTP - after sufficient identification of the user - to be asked to log in.
  • the history is stored in TA 8 via the user's key pair 1 1.
  • This history is requested by the registration office 3, the further server 15 or the certification authority 4.
  • This communication is based on a public-key cryptography standard, in short PKCS, ie a standard for asymmetric cryptography, for example a PKCS # 11 interface or a mini-driver or a CMP protocol, which the further server 15 should support.
  • the registration center 3 receives the key history from the further server 15 as a PKCS # 12 file and encrypts this with the public key of the user certificate 14
  • the TA 8 connects to the registrar 3 in a TLS session.
  • the TA 8 downloads the encrypted PKCS # 12 file, decrypts this file with the private key of the key pair 11, and stores the file in the TEE of the mobile terminal 2.
  • the registry 3 obtains the key history from the other server 15 as PKCS # 12 File and sends this as PUSH message to the terminal 1 in encrypted form, using the cryptographic key during the initialization phase of the TA 8 is used.
  • the Registrar 3 obtains the key history from the other server 15 as a PKCS # 12 file and divides this file into various parts to be transmitted to the mobile terminal 2 as a QR code.
  • the detection of the QR code by means of a camera of the mobile terminal 2 takes place in the same way as in the initialization phase of the system for providing the information of the registration authority 3. It is important here that the information is encrypted with the public key of the user certificate 11 and only then QR code to be converted.
  • the camera of the mobile terminal 2 acquires the information of the QR Codes and decrypts the information with the private key of key pair 11 for storage in the TEE.
  • the method according to FIG. 4 comprises the terminal 1, the mobile terminal 2, the registration point 3, the certification center 4 (CA 4) and the management system 5 (TAM 5) according to FIGS. 2 and 3 described above.
  • a step a the user is enabled in the registry 3 for the system.
  • the identity of the user can be taken from the directory service 12.
  • the registry 3 also connects to the CA 4 in step a 'to retrieve information needed to request the user certificate.
  • the registry 3 causes the installation of the CP 9 in the terminal 1 according to step b, for example via the network 13, if it has not already been installed on the terminal via other methods.
  • the TA 8 is installed on the mobile terminal 2 in step c.
  • the CA 4 transmits a SCEP-OTP for the creation of the user certificate 14 back to the registration site 3 in step a '.
  • the SCEP-OTP can also be transmitted directly from the CA 4 to the mobile terminal 2.
  • the steps a, b and c can be performed simultaneously or consecutively.
  • the registration office 3 creates a QR code in step d.
  • This QR code includes information for the mobile terminal 2.
  • the information may represent a bundle of information, including the SCEP-OTP from the CA 4, connection information to the CA 4, and connection information to the TAM 5. This information may also be divided into separate QR - Codes converted and the mobile terminal 2 are provided.
  • the QR code or the QR codes are received by the mobile terminal 2 in step e by detecting the QR code by means of a camera.
  • the information contained in the QR code can also be transmitted via other means such as the network 13 or in other formats.
  • the TA 8 is set up, with the QR code read out to set up the TA 8.
  • the TA 8 connects to the TAM 5 in step f based on the connection information contained in the QR code.
  • the license of the TA 8 is checked and activated.
  • a key pair 11 is generated in the TA 8 (step g). The key pair 11 is generated either in the TA8 or the TEE of the mobile terminal 2 itself or generated by the TAM 5 in the case of missing functionality in the TEE and the TA 8 is provided.
  • a certificate 14 is also requested for the key pair 11 (step h) and, by means of the connection information contained in the QR code, establishes a connection to the CA4.
  • a certificate 14 is created in the CA4, see step i and the certificate 14 is transmitted to the TA 8 and optionally stored in the TEE (step j).
  • the user assigns an access password or PIN for the TA 8.
  • the user may use biometric backup methods such as fingerprints to retrieve a biometric value deposited in the method.
  • step b the registry 3 causes the directory service 14 to install after step j.
  • the CA 4 also creates a replacement certificate, which is stored cryptographically secured in step j 'in a secure memory area of the terminal 1.
  • the cryptographic keys for this certificate are generated on the terminal 1 and transmitted to the CA 4 for certificate generation.
  • This application can be made via SCEP, or another method.
  • the replacement certificate is preferably stored in the TPM of the terminal 1. This first variant embodiment is used when a registration on the terminal 1 is to be made possible exclusively by means of a certificate.
  • the user can now log on to the terminal 1 by means of his mobile terminal 2.
  • a Bluetooth LE connection 6 is established between the terminal 1 and the mobile terminal 2.
  • a number of libraries are to be used, in particular the standard interfaces "common application programming interface" version 1 and 2, in short: CAPI vi & v2
  • the CP 9 is additionally installed to control the login process of the terminal 1 for a Authentication by means of mobile terminal 2.
  • the CP 9 controls and monitors the connection to the mobile terminal 2, so that no unsafe mini-driver is needed, which could allow an attacker to prevent or intercept the communication between the terminal 1 and the mobile terminal 2 ,
  • step aa by the CP 9 directly OTP with the registry 3 and negotiated (in step ab) to this registry 3 and sent deposited there.
  • This transfer in step is done encrypted.
  • the replacement certificate can also be stored cryptographically secured in the registry 3.
  • the OTP or the replacement certificate can also be stored in the directory service 12. This OTP is used in accordance with the embodiment of FIGS. 1 to 3 in order to register a user to the system if the mobile terminal 2 is not present, while the two-factor authentication is still adhered to. If there is no connection to network 13 in step aa, this step will be performed when the connection is reestablished.
  • FIG. 5 shows an exemplary embodiment of a method sequence for registering a user according to the invention on a terminal 1 by means of a mobile terminal 2.
  • the method shown in Figure 4 has been preferably used to set up the system.
  • the method according to FIG. 5 likewise uses the system shown in FIGS. 2 and 3.
  • step k there is provided a locked terminal 1 which waits for user authentication to be unlocked.
  • the CP 9 is installed on the terminal 1 and an OTP according to a last login of the user has been deposited.
  • step 1 the user approaches the terminal 1 with his mobile terminal 2.
  • the user starts the TA 8 and inputs a PIN to start the authentication.
  • a Bluetooth connection 6 is established between the terminal 1 and the mobile terminal 2.
  • biometric sensors can also be used to make use of biometric authentication.
  • step m the terminal 1 recognizes the mobile terminal 2 through the installed CP 9 and starts the registration procedure based on the started TA 8 in the mobile terminal 2.
  • step n a connection to the directory service 12 of the terminal 1 is established.
  • the directory service 12 is a network component of the network 13. If the connection to the network is not available, the user is attempted to authenticate on the basis of the data stored on the terminal 1 (offline login).
  • step o the directory service 12 generates a so-called challenge, for example, according to the Challenge Handshake Authentication Protocol, CHAP for short.
  • CHAP is an authentication protocol.
  • step n the terminal 1 initiates a connection to the directory service 12.
  • the directory service generates the challenge in step o.
  • the challenge is a random value which is transmitted to the terminal 1 in step p.
  • the terminal 1 sends the challenge in step q to the mobile terminal 2 via the BLE 6.
  • the TA 8 signs the challenge in step u.
  • the signing is an asymmetric cryptographic method in which the mobile terminal 2 calculates another value using the secret signature key (the private key) of the key pair 11 to the challenge.
  • the mobile terminal 2 transmits the signed challenge back to the terminal 1.
  • the terminal 1 forwards the signed challenge to the directory service 12 in step w.
  • step x the directory service 12 checks the signature.
  • the additional value calculated during the signature is checked by verifying the non-contestable authorship and integrity of the challenge with the aid of the public verification key (the public key) of the key pair 11. Possibly.
  • step y the validity of the certificate 14 in the certification authority 4 is also queried. If the certificate 14 is valid and the signature correct, the authentication attempt is successful. Then, the terminal 1 is unlocked in step z and the registration of the user by means of his mobile terminal 2 is done.
  • a new OTP is negotiated with the registration site 3 by the CP 9 and (in step ab) to this registration point 3 and, if necessary, the directory service 12 is sent and stored there, if no OTP existed or for another reason, a new OTP must be generated.
  • This transfer in step is done encrypted.
  • This new OTP is used according to the embodiment of FIGS. 1 to 3 to register a user to the system should the mobile terminal 2 not be present, while still maintaining two-factor authentication.
  • FIGS. 6 and 7 now describe two scenarios according to the invention, in which the user 16 does not carry his mobile terminal 2 with him, for example because he has lost it or it is defective, but he nevertheless has access to the terminal 1 via a two-terminal system. Should log factor authentication. For this purpose, at least the method according to FIG. 4 should already be completed.
  • step ad as in step k in Fig. 5, the terminal 1 is disabled and waits for user authentication to be unlocked.
  • the CP 9 is installed on the terminal 1 and an OTP according to a last login of the user has been deposited.
  • a user can log on to a terminal exclusively by means of a certificate.
  • the user contacts an information point 17 in step ae and reports the loss / defect of the mobile terminal 2.
  • the OTP is communicated verbally to the user, for example via a telephone connection. Alternatively, the OTP can also be transmitted via other devices and forms of communication.
  • the logon process in the terminal 1 is converted to OTP input, for example automatically by the CP 9 or a user input in a logon GUI.
  • the user enters the OTP on the terminal 1 in step ah.
  • access to the replacement certificate in the TPM of the terminal 1 is enabled. This replacement certificate is used instead of the user certificate 14 to sign the challenge.
  • the steps n to z of FIG. 6 correspond to the steps n to z according to FIG. 5, whereby instead of the user certificate 14 of the mobile terminal 2, the replacement certificate of the TPM of the terminal 1 is now used.
  • step ab a new OTP negotiated with the registry 3 and (in step ab) to this registry 3 and the directory service 12 sent and stored there.
  • This transfer in step is done encrypted.
  • This new OTP is used according to the embodiment of Fig.l to Fig.3 to register a user at the terminal 1, should the mobile terminal 2 not be present, the two-factor authentication is still adhered to. If the connection to the network is not available in step aa, this step is moved to the time the connection is played.
  • step ad shows a second exemplary embodiment according to the invention for logging onto a terminal 1 without the presence of the mobile terminal 2.
  • the terminal 1 is locked and waits for user authentication unlocked to become.
  • the CP 9 is installed on the terminal 1 and an OTP according to a last login of the user has been deposited.
  • FIG. 7 in contrast to FIG. 6, it is possible to register a user at a terminal even without a certificate, whereby nevertheless a two-factor authentication must be realized.
  • the user contacts an information point 17 in step ae and reports the loss / defect of the mobile terminal 2.
  • the OTP is communicated verbally to the user, for example via a telephone connection.
  • the logon process in the terminal 1 is converted to OTP input, for example automatically by the CP 9 or a user input in a logon GUI.
  • the user enters the OTP on the terminal 1 in step ah.
  • a login mask is now displayed in step ai and the user 16 is requested to enter a user name and another password.
  • This form of registration corresponds to the conventional log on to a terminal 1.
  • This user name and the further password are used instead of the user certificate 14 to log on to the directory service 12.
  • the user name and additional password information can be stored in the protected memory area of the terminal (TPM) and retrieved from there using the OTP as the backup mechanism. This allows the use of much more complex passwords because the user does not have to remember this.
  • step d) of FIG. The steps e) to j) according to the Fig.4 are also performed, a repetition is due to the same Operations in steps e) to j) omitted.
  • steps aa and ab a new OTP is generated and stored in the registration office 3 and / or the directory service 12.
  • the following describes a scenario in which the user remains locked in the system according to FIGS. 2 and 3 and the sequence according to FIG. 4 with a forgotten PIN for the TA 8 and thus the TA 8.
  • the user contacts the information center, which orders a new user certificate from the registration office 3.
  • the registration authority 3 requests a user certificate update at the CA 4, after which the steps d) and e) are repeated and a new PIN can be assigned by the user in the context of step e).
  • a new OTP according to steps aa and from FIG. 4 or FIG. 5 is generated and stored again.
  • the reset of the PIN is alternatively via a hierarchically superior password, such as a PUK.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

The invention relates to a method for configuring user authentication on a terminal device by means of a mobile terminal device and a method for logging a user onto a terminal device by means of a one-time password in the absence of a mobile terminal device to be used for authenticating the user. The invention further relates to a mobile terminal device and computer program products.

Description

VERFAHREN ZUM EINRICHTEN EINER BENUTZER-AUTHENTIFIZIERUNG AN EINEM ENDGERÄT MITTELS EINES MOBILEN ENDGERÄTS UND ZUM ANMELDEN EINES BENUTZERS AN EINEM ENDGERÄT  METHOD FOR ESTABLISHING A USER AUTHENTICATION AT A TERMINAL DEVICE BY MEANS OF A MOBILE TERMINAL AND REGISTERING A USER AT A TERMINAL DEVICE
TECHNISCHES GEBIET DER ERFINDUNG Die Erfindung betrifft ein Verfahren zum Einrichten einer Benutzer-Authentifizierung an einem Endgerät mittels eines mobilen Endgeräts und anschließendem Anmelden eines Benutzers an einem digitalen Endgerät. Dabei betrifft die Erfindung ein Verfahren zum Authentifizieren des Benutzers an dem Endgerät. Insbesondere ist die Erfindung auf ein Verfahren zum Anmelden eines Benutzers in einem Netzwerk mittels eines Einmal-Passworts bei Nichtvorhandensein eines zum Authentifizieren des Benutzers verwendeten mobilen Endgeräts gerichtet. Die Erfindung umfasst zudem ein mobiles Endgerät und zwei verschiedene Computerprogrammprodukte. TECHNICAL FIELD OF THE INVENTION The invention relates to a method for establishing user authentication at a terminal by means of a mobile terminal and subsequently logging on a user at a digital terminal. The invention relates to a method for authenticating the user to the terminal. In particular, the invention is directed to a method of logging a user in a network by means of a one-time password in the absence of a mobile terminal used to authenticate the user. The invention also includes a mobile terminal and two different computer program products.
HINTERGRUND DER ERFINDUNG BACKGROUND OF THE INVENTION
Eine Anmeldung eines Benutzers an einem Endgerät in einem Netzwerk, beispielsweise einem Informationstechnik- System, auch als Computer-Netzwerk bezeichnet, sollte stets gesichert erfolgen, um das Netzwerk vor unberechtigtem Zugriff zu schützen und vertrauliche Daten sicher aufbewahren zu können. Seit längerem wird dabei eine sogenannte Zwei-Faktor- Authentifizierung angewendet. Der sich anmeldende Benutzer muss dazu im Besitz zweier unabhängiger Faktoren sein. Heutzutage weit verbreitet ist die Zwei-Faktor-Authentifizierung mittels einer Chipkarte, auch als Smart Card bezeichnet. Die Verwendung von Smart Cards für eine Zwei-Faktor- Authentifizierung hat einige Nachteile. A login of a user to a terminal in a network, for example an information technology system, also referred to as a computer network, should always be secure in order to protect the network from unauthorized access and to keep confidential data safe. For a long time, a so-called two-factor authentication has been used. The logging in user must be in possession of two independent factors. Nowadays widespread is the two-factor authentication by means of a chip card, also called a smart card. There are some disadvantages to using smart cards for two-factor authentication.
Zunächst muss jede im Netzwerk zu verwendende Smart Card personalisiert werden und an den jeweiligen Benutzer ausgegeben werden. Dies bedarf einer aufwendigen Infrastruktur zur Erstellung der Smart Cards und bedingt zudem ein entsprechendes Ausgabesystem. Der Austausch einer defekten oder einer verloren gegangenen Chipkarte stellt einen erheblichen Mehraufwand dar. First of all, every smart card to be used in the network must be personalized and output to the respective user. This requires a complex infrastructure for creating the smart cards and also requires a corresponding output system. The replacement of a defective or a lost chip card represents a significant overhead.
Jedes Endgerät, an dem sich ein Benutzer authentifizieren muss, benötigt ein entsprechendes Kartenlesegerät. Dieses Lesegerät muss ständig mitgeführt werden, falls das Endgerät im Netzwerk kein entsprechendes Lesegerät aufweist. Das verringert die Benutzerakzeptanz erheblich. Alternativ muss jedes Endgerät mit einem entsprechenden Lesegerät ausgestattet sein, was wiederum die Hardwarekosten für die IT-Infrastruktur erhöht, sofern für das jeweilige Endgerät überhaupt ein Lesegerät verfügbar ist. Each terminal that a user must authenticate to requires a corresponding card reader. This reader must be constantly carried if the terminal has no corresponding reader in the network. This significantly reduces user acceptance. Alternatively, each terminal must be equipped with a corresponding reader, which in turn increases the hardware costs for the IT infrastructure, if a reader is available for the respective terminal at all.
Zudem lassen die Benutzer aus Bequemlichkeit die Smart Card im Lesegerät des Endgeräts stecken und verlassen möglicherweise den Arbeitsplatz ohne die Smart Card mitzunehmen. Dies verringert die Sicherheit im Netzwerk deutlich, da das Endgerät dann durch andere Personen missbräuchlich verwendet werden kann. In addition, for convenience, users leave the smart card in the terminal's reader and may leave work without taking the smart card. This significantly reduces the security in the network, since the terminal can then be misused by other people.
Smart Cards sind bei den Nutzern oft unbeliebt, da sie als zusätzliches Authentifizierungsmittel mitgefühlt werden müssen und keinen zusätzlichen Zweck erfüllen, also nach der Authentifizierung am Endgerät nutzlos sind. Um diese Einschränkungen zu reduzieren, wird seit einiger Zeit vorgeschlagen, ein Mobiltelefon anstelle einer Smart Card zur Authentifizierung des Benutzers zu verwenden, um eine 2-Faktor- Authentifizierung durchzuführen. Da die meisten Benutzer ein Mobiltelefon besitzen und dieses stets bei sich führen, lassen sich die soeben genannten Nachteile stark reduzieren. Smart cards are often unpopular with users because they have to be felt as an additional means of authentication and do not fulfill any additional purpose, ie they are useless after authentication at the end device. To reduce these limitations, it has been proposed for some time to use a mobile phone instead of a smart card for authenticating the user to perform 2-factor authentication. Since most users own a mobile phone and always carry it with you, the disadvantages just mentioned can be greatly reduced.
In der US 7 783 702 B2 wird ein Verfahren zum Zugreifen auf ein Endgerät mittels eines Mobiltelefons via Bluetooth beschrieben. Durch Hinzufügen einer „Engine" („phone-to- computer" bzw.„computer-to-phone") wird ein Fernzugriff auf das Endgerät durch das mobile Endgerät ermöglicht, wobei dabei ein Authentifizieren am Endgerät durch das mobile Endgerät ermöglicht wird. Als Identität wird die Telefonnummer des mobilen Endgeräts verwendet. Die dabei verwendete Infrastruktur ist nicht abgesichert und ein Angreifer kann sich so leicht Zugriff zum Endgerät verschaffen. US 7 783 702 B2 describes a method for accessing a terminal by means of a mobile telephone via Bluetooth. By adding an "engine" ("phone-to-computer" or "computer-to-phone"), a remote access to the terminal is made possible by the mobile terminal, thereby enabling an authentication at the terminal by the mobile terminal Identity uses the phone number of the mobile device, and the infrastructure used is unsecured, allowing an attacker to gain easy access to the device.
In der US 2014/0068723 AI wird eine Zwei-Faktor-Authentifizierung beschrieben. Dieses Verfahren verwendet ein Mobiltelefon, auf dem eine Nachricht angezeigt wird, sobald eine Authentifizierung von einem Authentifizierungsservice, beispielsweise einer Website oder einem Endgerät, angefragt wird. Das Mobiltelefon verwendet zur Identifizierung eine universelle Benutzeridentität, UUID. Hierbei soll das Mobiltelefon das Authentisierungsverhalten des Mobiltelefon-Benutzers erlernen und bei einem erkannten typischen Authentisierungsverhalten, beispielsweise Service und Ort und Zeit, wird das Authentifizieren des Benutzers ohne weitere Benutzerinteraktion ermöglicht. Dieses Verfahren ist hochgradig unsicher, insbesondere wenn ein unberechtigter Dritter das erlernte Muster einfach kopiert und anwendet. In der US 8,646,060 B2 wird ein Verfahren zum adaptiven Authentifizieren erläutert. Dabei wird ein Smartphone als Authentifizierungsgerät verwendet, um sich an einem Endgerät anzumelden. Der Benutzer wird automatisch abgemeldet, wenn sich der Benutzer vom Endgerät entfernt. Das Smartphone verwendet dazu beispielsweise eine Bluetooth Verbindung. Dieses Verfahren verwendet einen Kommunikationsserver oder eine Authentifizierungsapplikation. Die Datenübertragung zwischen dem Endgerät und dem Smartphone kann zertifikatsbasiert sein, eine Public-Key-Infrastruktur, kurz PKI, umfassen und in einem sicheren Speicher oder einem Sicherheitselement ablaufen. Bei Verlust des Mobiltelefons ist eine Zwei-Faktor- Authentifizierung nicht möglich. Der Benutzer kann sich somit nicht sicher an dem System anmelden. US 2014/0068723 A1 describes two-factor authentication. This method uses a mobile phone on which a message is displayed as soon as authentication is requested from an authentication service, such as a website or a terminal. The mobile phone uses a universal user identity, UUID, for identification. In this case, the mobile phone should learn the authentication behavior of the mobile phone user and a recognized typical authentication behavior, such as service and location and time, the authentication of the user is enabled without further user interaction. This procedure is highly uncertain, especially if an unauthorized third party simply copies and applies the learned pattern. In US 8,646,060 B2 a method for adaptive authentication is explained. In this case, a smartphone is used as an authentication device to log on to a terminal. The user is automatically logged off when the user leaves the terminal. For example, the smartphone uses a Bluetooth connection. This method uses a communication server or an authentication application. The data transmission between the terminal and the smartphone can be certificate-based, comprise a public-key infrastructure, or PKI for short, and run in a secure memory or a security element. If the mobile phone is lost, two-factor authentication is not possible. The user therefore can not log on to the system securely.
Somit wird durch die Verwendung von Benutzer-Mobiltelefonen eine einfache Bereitstellung ohne zusätzliche Hardware ermöglicht. Ein entscheidender Nachteil der bisherigen Lösungen zur Authentifizierung mittels eines Mobiltelefons ist das viel geringere Sicherheitsniveau für die Authentifizierung als beispielsweise bei der Verwendung einer Smart Card Lösung. Beispielsweise werden zwar im Mobiltelefon auch kryptografische Schlüssel generiert, diese werden aber durch das Betriebssystem des Mobiltelefons selbst erzeugt, und nur in einem Speicherbereich, beispielsweise einem Software-Container, der direkt vom Betriebssystem aus ansprechbar ist, abgelegt. Ein unberechtigter Dritter kann auf diesem Weg Zugang zu den Schlüsseln erhalten. Eine Verbesserung der Sicherheit wird durch das in der US 2015/0121068 AI beschriebene Verfahren für eine Authentifizierung eines Benutzers an einem Online Service erzielt. Hier wird unter Verwendung einer gesicherten Laufzeitumgebung, englisch Trusted Execution Environment, kurz TEE und einer sicheren Anwendung, englisch Trusted Application, kurz TA, die Sicherheit erhöht. Nur zertifizierte Softwarehersteller haben Zugang zu dieser TEE. Mittels verschiedener Sicherheitsmaßnahmen wird das Verfahren abgesichert, beispielsweise unter Verwendung einer PKI. Eine Authentifizierung an einem Endgerät ist hier allerdings nicht beschrieben. Thus, the use of user mobile phones enables easy deployment without additional hardware. A major disadvantage of the previous solutions for authentication by means of a mobile phone is the much lower security level for authentication than, for example, when using a smart card solution. For example, although cryptographic keys are generated in the mobile phone, but these are generated by the operating system of the mobile phone itself, and only in a memory area, such as a software container that is directly accessible from the operating system, filed. An unauthorized third party can gain access to the keys in this way. An improvement in security is achieved by the method described in US 2015/0121068 AI for a user authentication to an online service. Here, using a secure runtime environment, English Trusted Execution Environment (TEE) and a secure application, English Trusted Application, TA for short, increases security. Only certified software vendors have access to this TEE. By means of various security measures, the method is secured, for example by using a PKI. An authentication on a terminal is not described here.
Die US 2016/0 330 199 AI beschreibt ein Verfahren zum Authentifizieren eines Benutzers eines Endgeräts für den Zugriff auf einen Service Provider. Das Authentifizieren wird mittels eines Mobiltelefons des Benutzers durchgeführt. Ist das Mobiltelefon nicht vorhanden, so wird das Authentifizieren mittels eines Mobiltelefons eines Kollegen und einem während der Authentifizierung mittels vom Service Provider generierten OTP durchgeführt. US 2016/0 330 199 A1 describes a method for authenticating a user of a terminal for accessing a service provider. The authentication is performed by means of a mobile phone of the user. If the mobile phone does not exist, it will Authenticated using a mobile phone of a colleague and performed during the authentication by means of the service provider generated OTP.
Nachteilig bei den bereits existierenden Lösungen ist die fehlende Kompatibilität zu bereits etablierten Systemen. Es fehlt bislang die Möglichkeit eines Mischbetriebs für die Authentifizierung mit Smart Card und Authentifizierung mit einem Mobiltelefon. Zudem muss bei jeder der bisherigen Lösungen zwingend die Smart Card oder das Mobiltelefon vom Benutzer mitgeführt werden. Bei einem Verlust, einem Vergessen, einem Defekt oder einer temporäreren Nichtbetriebsfähigkeit, beispielsweise bei einem zu niedrigen Ladezustand eines Akkumulators, ist in diesen Systemen eine Zwei-Faktor-Authentifizierung nicht mehr möglich. Sofern in der jeweiligen Umgebung erlaubt, wird dann auf eine Ein-Faktor-Lösung zurückgegriffen, die die Sicherheit des Netzwerks deutlich reduziert. Umgebungen, in denen die Nutzung zweier Faktoren obligatorisch ist, erlauben in diesem Fall gar keine Authentifizierung. A disadvantage of the existing solutions is the lack of compatibility with already established systems. So far there is no possibility of a mixed operation for the authentication with smart card and authentication with a mobile phone. In addition, the smart card or the mobile phone must necessarily be carried along by the user in each of the previous solutions. In the event of a loss, a forgetting, a defect or a temporary inoperability, for example if the accumulator is undercharged, two-factor authentication is no longer possible in these systems. If permitted in the respective environment, then a one-factor solution is used, which significantly reduces the security of the network. Environments where the use of two factors is mandatory do not allow authentication in this case.
Aufgabe der hier vorliegenden Erfindung ist es, die oben genannten Nachteile zu beseitigen. Insbesondere soll ein Anmeldeverfahren mittels Zwei-Faktor-Authentifizierung bereitgestellt werden, welches einfach und flexibel ist und stets angewendet werden kann. The object of the present invention is to eliminate the above-mentioned disadvantages. In particular, a registration method by means of two-factor authentication is to be provided, which is simple and flexible and can always be used.
ZUSAMMENFASSUNG DER ERFINDUNG SUMMARY OF THE INVENTION
Die Aufgabe wird mit den in den unabhängigen Patentansprüchen beschriebenen technischen Maßnahmen gelöst. Vorteilhafte Ausgestaltungen sind in den jeweils abhängigen Patentansprüchen beschrieben. Insbesondere wird die Aufgabe durch ein Verfahren zum Verfahren zum Einrichten einer Benutzer-Authentifizierung an einem Endgerät mittels eines mobilen Endgerät, wobei das Verfahren die folgenden Schritte umfasst: Einrichten einer sicheren Anwendung auf dem mobilen Endgerät; Verbinden der sicheren Anwendung zu einem Verwaltungssystem zum Aktivieren der sicheren Anwendung; Anfragen und Erhalten eines neuen Benutzerzertifikats bei einer Zertifizierungsstelle durch die aktivierte sichere Anwendung; Absicherung des Zugriffs auf das neue Benutzerzertifikat über die Vergabe einer PIN oder die Nutzung vorhandener biometrischer Authentifizierung; Starten der sicheren Anwendung auf dem mobilen Endgerät und Aufbauen einer drahtlosen Kommunikationsverbindung vom mobilen Endgerät zu dem Endgerät; Starten der Berechtigungsanfrage-Routine im Endgerät und Aufbau einer Kommunikationsverbindung zum Netzwerk oder einem Verzeichnisdienst zur Authentifizierung des Benutzers; Generieren einer Berechtigungsaufforderung durch das Netzwerk oder den Verzeichnisdienst und Übertragen dieser an das Endgerät; Signieren der Berechtigungsaufforderung mittels des Benutzerzertifikats in der sicheren Anwendung; Übertragen der signierten Berechtigungsaufforderung an das Netzwerk oder den Verzeichnisdienst zum Prüfen der Signatur, bevorzugt unter Prüfen der Gültigkeit des Benutzerzertifikats; und Erteilen einer Anmelde-Erlaubnis vom Netzwerk oder dem Verzeichnisdienst bei erfolgreicher Prüfung. The object is achieved with the technical measures described in the independent claims. Advantageous embodiments are described in the respective dependent claims. In particular, the object is achieved by a method for the method for establishing user authentication at a terminal by means of a mobile terminal, the method comprising the following steps: setting up a secure application on the mobile terminal; Connecting the secure application to a management system for activating the secure application; Requesting and obtaining a new user certificate at a certification authority by the activated secure application; Securing access to the new user certificate by assigning a PIN or using existing biometric authentication; Starting the secure application on the mobile terminal and establishing a wireless communication connection from the mobile terminal to the terminal; Starting the authorization request routine in the terminal and establishing a communication connection to the network or a directory service for authenticating the user; Generate one Authorization request by the network or directory service and transmitting it to the terminal; Signing the authorization request by means of the user certificate in the secure application; Transmitting the signed authorization request to the network or the directory service for verifying the signature, preferably checking the validity of the user certificate; and granting a login permission from the network or the directory service upon successful verification.
Bevorzugt umfasst das Verfahren nach dem Erteilen-Schritt weiter: Generieren eines Einmai- Passworts durch die Berechtigungsanfrage-Routine des Endgeräts; und Speichern des Einmai- Passworts bei einer Registrierungsstelle und/oder einem Anmeldedienst. Bevorzugt werden durch den Verbinden-Schritt Informationen von der Registrierungsstelle zum Erzeugen einer Verbindung zum Verwaltungssystem in der sicheren Anwendung erhalten und diese Informationen als QR-Code bereitgestellt und mittels einer Kamera des mobilen Endgeräts erfasst. Preferably, after the grant step, the method further comprises: generating a one-time password by the entitlement request routine of the terminal; and storing the one-time password at a registrar and / or a registration service. Preferably, the linking step obtains information from the registration authority for establishing a connection to the management system in the secure application and provides this information as a QR code and records it by means of a camera of the mobile terminal.
Bevorzugt beinhalten die Informationen von der Registrierungsstelle zudem Verbindungsinformationen für die Zertifizierungsstelle. The information from the registration authority preferably also contains connection information for the certification authority.
Bevorzugt läuft die sichere Anwendung in einer sicheren Laufzeitumgebung des mobilen Endgeräts ab und das Benutzerzertifikat wird für ein kryptografisches Schlüsselpaar generiert, das in einem nur für die sichere Laufzeitumgebung zugreifbaren sicheren Speicherbereich des mobilen Endgeräts abgelegt ist. In einer Ausgestaltung wird die Aufgabe durch ein Verfahren zum Anmelden eines Benutzers an einem Endgerät mittels des generierten Einmal-Passworts bei Nichtvorhandensein eines zum Authentifizieren des Benutzers zu verwendenden mobilen Endgeräts gelöst. Das Verfahren umfasst dabei die folgenden Schritte: Umschalten des Anmeldevorgangs am Endgerät zum Verwenden eines Einmal-Passworts anstelle einer Authentifizierung mittels des mobilen Endgeräts zum Authentifizieren dieses Benutzers an diesem Endgerät, wobei das Einmal-Passwort bei einer vormaligen Authentifizierung des Benutzers, also einer erfolgreichen Anmeldung des Benutzers am Netzwerk, erzeugt wurde und in einer Registrierungsstelle gespeichert ist; Bereitstellen des Einmal-Passworts an den Benutzer; Abfragen des Einmal-Passworts zum Anmelden mittels einer Berechtigungsanfrage-Routine des Endgeräts; Prüfen des Einmal- Passworts und Authentifizieren des Benutzers an dem Endgerät des Netzwerks; Generieren eines neuen Einmal-Passworts durch die Berechtigungsanfrage-Routine des Endgeräts; und Speichern des neuen Einmal-Passworts in der Registrierungsstelle anstelle des bisherigen Einmal-Passworts und Verwenden des neuen Einmal-Passworts bei einem darauffolgenden Anmelden des Benutzers am Endgeräts bei erneutem Nichtvorhandensein des zum Authentifizieren des Benutzers zu verwendenden mobilen Endgeräts. Preferably, the secure application runs in a secure runtime environment of the mobile terminal and the user certificate is generated for a cryptographic key pair stored in a secure storage area of the mobile terminal accessible only to the secure runtime environment. In one embodiment, the object is achieved by a method for registering a user at a terminal by means of the generated one-time password in the absence of a mobile terminal to be used for authenticating the user. The method comprises the following steps: Switching the logon process on the terminal to use a one-time password instead of authentication by means of the mobile terminal for authenticating this user to this terminal, wherein the one-time password in a previous authentication of the user, ie a successful logon the user on the network, has been created and stored in a registry; Providing the one-time password to the user; Querying the one-time password for login by means of an authorization request routine of the terminal; Checking the one-time password and authenticating the user at the terminal of the network; Generate one new one-time password through the entitlement request routine of the terminal; and storing the new one-time password in the registry instead of the previous one-time password and using the new one-time password upon subsequently enrolling the user on the terminal in the absence of the mobile terminal to be used to authenticate the user.
Der Abfragen-Schritt umfasst beispielsweise auch einen Übertragen-Schritt, wobei dabei das eingegebene Einmal-Passwort mittels der Berechtigungsanfrage-Routine des Endgeräts übertragen wird. Besteht während des Authentifizierungsvorgangs keine Verbindung zur Registrierungsstelle wird das Generieren des neuen Einmal-Passworts sowie das Übertragen zur Registrierungsstelle auf einen späteren Zeitpunkt verschoben und dann ausgeführt, wenn eine Kommunikationsverbindung zur Registrierungsstelle vorhanden ist. Bis zu diesem Zeitpunkt behält das ursprüngliche Einmal-Passwort seine Gültigkeit und kann zum Authentifizieren des Benutzers verwendet werden. The query step also includes, for example, a transfer step, wherein the input one-time password is transmitted by means of the authorization request routine of the terminal. If there is no connection to the registrar during the authentication process, the generation of the new one-time password and the transfer to the registrar will be postponed to a later date and then executed if there is a communication link to the registrar. Until then, the original one-time password remains valid and can be used to authenticate the user.
Unter einem Endgerät wird hierbei ein Gerät verstanden, das an einem öffentlichen oder privaten Daten- oder Telekommunikationsnetz angeschlossen ist. Das Endgerät ist beispielsweise ein Client. Ein Client kommuniziert über das Netzwerk mit einem Server, um dessen Dienste abzurufen. Das Endgerät kann ein stationäres Endgerät, also ein Arbeitsplatzrechner, ein PC, eine Workstation oder auch ein tragbares Endgerät, wie ein Notebook, ein Netbook, ein Ultrabook oder ein Tablet-PC sein. Ein mobiles Endgerät ist dabei ein Endgerät, das aufgrund seiner Größe und seines Gewichts ohne größere körperliche Anstrengung tragbar und somit mobil einsetzbar ist, beispielsweise ein Endgerät für mobile, netzunabhängige Daten-, Sprach- und Bildkommunikation und Navigation, wie ein Smartphone, ein Mobiltelefon oder ein Handheld. A terminal is here understood to mean a device which is connected to a public or private data or telecommunications network. The terminal is for example a client. A client communicates with a server over the network to retrieve its services. The terminal may be a stationary terminal, so a workstation, a PC, a workstation or even a portable terminal, such as a notebook, a netbook, an ultrabook or a tablet PC. A mobile terminal is a terminal that is due to its size and weight without major physical effort portable and therefore mobile, for example, a terminal for mobile, network-independent data, voice and video communication and navigation, such as a smartphone, a mobile phone or a handheld.
Mit Anmelden des Benutzers am Endgerät ist insbesondere dessen Authentifizierung durch das Netzwerk oder das Endgerät gemeint. Dies ist ein Nachweis, also eine Verifizierung, dass der am Endgerät befindliche Benutzer tatsächlich der behauptete Benutzer ist. Der Benutzer authentisiert sich am Netzwerk oder Endgerät und bei Verifizierung des Benutzers gilt der Benutzer als authentisch. Hierbei wird mit dem Anmelden insbesondere der Vorgang einer Berechtigungsprüfung für die Bezeugung ggf. einer Echtheit einer tatsächlich bestehenden Zugangsberechtigung gemeint. Nach einer erfolgreichen Authentifizierung ist der Benutzer im Rahmen seiner Berechtigungen im Netzwerk autorisiert, das Endgerät zu benutzen. Das erfindungsgemäße Umschalten des Anmeldevorgangs am Endgerät kann automatisch erfolgen, beispielsweise nach Ablauf einer gewissen Zeitdauer, in der das Endgerät zwar das Vorhandensein eines Benutzers nicht jedoch eines zum Authentifizieren üblicherweise verwendeten mobilen Endgeräts erkannt hat. Das Umschalten kann auch vom Benutzer am Endgerät durch eine Benutzerinteraktion erfolgen. Das Umschalten kann auch mittels eines Fernzugriffs auf das Endgerät über ein Netzwerk erfolgen, beispielsweise auf Basis eines Kommandos einer Registrierungsstelle. Das Umschalten kann das Verändern einer grafischen Benutzeroberfläche, englisch Graphical User Interface, kurz GUI, am Endgerät beinhalten, welche zur Eingabe einer Authentifizierungssequenz auffordert. Ein Netzwerk ist dabei ein Rechnernetzwerk oder auch Computernetzwerk, also ein Zusammenschluss verschiedener technischer, primär selbstständiger Endgeräte. Dieser Zusammenschluss ermöglicht die Kommunikation unter den Endgeräten. Ziel ist hierbei die gemeinsame Nutzung von Ressourcen wie Netzwerkdruckern, Servern, Mediendateien und Datenbanken. Wichtig ist auch die Möglichkeit zur zentralen Verwaltung von Endgeräten, Benutzern, deren Berechtigungen und Daten. Für das hier beschriebene Anmeldeverfahren ist das Vorhandensein einer Kommunikationsverbindung zu dem Netzwerk nicht zwingend erforderlich, sodass eine Anmeldung am Endgerät auch in einem sogenannten Offline-Modus des Endgeräts lokal erfolgen könnte. By logging on the user at the terminal is meant in particular its authentication by the network or the terminal. This is a proof, ie a verification, that the user located at the terminal is actually the claimed user. The user authenticates himself to the network or terminal and upon user verification the user is considered authentic. In this case, logging in particular means the process of an authorization check for the certification, if necessary, of a genuineness of an actually existing access authorization. After successful authentication, the user is authorized to use the terminal as part of their network permissions. The inventive switching of the logon process at the terminal can be done automatically, for example, after a certain period of time, in which the terminal has indeed recognized the presence of a user but not a commonly used for authentication mobile terminal. Switching can also be done by the user at the terminal through user interaction. The switching can also be done by means of a remote access to the terminal via a network, for example based on a command of a registration authority. The switching may involve changing a graphical user interface, or GUI, at the terminal, which requests the input of an authentication sequence. A network is a computer network or computer network, ie an association of various technical, primarily independent terminals. This merger allows communication among the terminals. The goal here is the sharing of resources such as network printers, servers, media files and databases. Also important is the ability to centrally manage devices, users, their permissions and data. For the registration method described here, the presence of a communication connection to the network is not absolutely necessary, so that a logon to the terminal could also be made locally in a so-called offline mode of the terminal.
Für das erfindungsgemäße Verfahren wird ein Einmal-Passwort verwendet. Ein Einmal-Passwort, englisch One-Time-Password, kurz OTP, ist eine Einmalkennung zur Authentifizierung des Benutzers. Jedes Einmal-Passwort ist in bevorzugter Ausgestaltung nur für eine einmalige Verwendung gültig und kann kein zweites Mal verwendet werden, um den Benutzer zu authentifizieren. Entsprechend erfordert jede Authentifizierung oder Autorisierung ein neues Einmal-Passwort. Es ist sicher gegen passive Angriffe, also einem unberechtigten Mithören. Sogenannte Replay-Attacken sind somit unmöglich. Im Offline-Modus behält das Einmal- Passwort seine Gültigkeit bis das neue Einmal-Passwort erfolgreich mit der Registrierungsstelle ausgehandelt werden konnte. For the method according to the invention, a one-time password is used. A one-time password, English one-time password, OTP for short, is a one-time-authentication for the user authentication. Each one-time password is valid in a preferred embodiment only for a single use and can not be used a second time to authenticate the user. Accordingly, each authentication or authorization requires a new one-time password. It is safe against passive attacks, ie unauthorized listening. So-called replay attacks are impossible. In offline mode, the one-time password remains valid until the new one-time password has been successfully negotiated with the registrar.
Im hier vorgeschlagenen Verfahren wird mit dem OTP die Möglichkeit geschaffen auch ohne das Vorhandensein seines zur Authentifizierung am Netzwerk üblicherweise vorgesehenen mobilen Endgeräts eine Zwei-Faktor-Authentifizierung durchzuführen. Das OTP ist dabei zwingend bei einer vormaligen Authentifizierung des Benutzers generiert worden, das heißt das OTP ist keine von einem System bereitgestellte zufällige Zeichenkette, sondern ein nach erfolgreicher Authentifizierung des Benutzers ausgehandelten Zeichenkette, sodass das OTP das Sicherheitsniveau des sonst verwendeten Benutzerzertifikats des mobilen Endgeräts aufweist. Dieses OTP wird in einer Registrierungsstelle des Netzwerks abgelegt. Für die Verwendung des Einmal-Passworts gibt es zwei Varianten. In the method proposed here, the OTP makes it possible to carry out a two-factor authentication even without the presence of its mobile terminal, which is usually provided for authentication on the network. The OTP has been compulsorily generated during a previous authentication of the user, that is, the OTP is not a random string provided by a system, but a string negotiated upon successful authentication of the user such that the OTP has the security level of the otherwise used user certificate of the mobile terminal. This OTP is stored in a registry of the network. There are two variants for using the one-time password.
In einer ersten Variante wird das Einmal-Passwort dazu verwendet, ein in einem sicheren Bereich des Endgeräts abgelegtes Ersatz-Benutzerzertifikat zu verschlüsseln. Während der Authentifizierung wird dieses dann mit dem vom Benutzer eingegebenen Einmal-Passwort entschlüsselt und zur Authentifizierung verwendet. Bei falscher Eingabe schlägt der Entschlüsselungsvorgang fehl. In dieser Ausgestaltung wird das Einmal-Passwort nicht auf dem Endgerät gespeichert. In a first variant, the one-time password is used to encrypt a stored in a secure area of the terminal replacement user certificate. During authentication, this is then decrypted with the one-time password entered by the user and used for authentication. If it is entered incorrectly, the decryption process fails. In this embodiment, the one-time password is not stored on the terminal.
In einer zweiten Variante wird das Einmal-Passwort mit einem Hash-Algorithmus behandelt (=gehasht) und auf dem Endgerät gespeichert. Hash-Algorithmen können nicht umgekehrt werden, d.h. aus einem Hashwert lässt sich das ursprüngliche Einmal-Passwort nicht mehr ableiten. Während der Authentifizierung wird das vom Benutzer eingegebene Einmal-Passwort ebenfalls gehasht und mit dem gespeicherten Wert verglichen. In der Folge hat der Benutzer dann die Möglichkeit sich mit Benutzername und Kennwort am Endgerät anzumelden. Das Einmal- Passwort kann durch den Nutzer z.B. telefonisch oder über einen abweichenden Weg von der Registrierungsstelle angefragt werden. Diese hat in diesem Vorgang die Möglichkeit die Identität des Antragsstellers zweifelsfrei zu ermitteln. In a second variant, the one-time password is treated with a hash algorithm (= hashed) and stored on the terminal. Hash algorithms can not be reversed, i. a hash value can no longer be used to derive the original one-time password. During authentication, the one-time password entered by the user is also hashed and compared to the stored value. As a result, the user then has the option to log in with the user name and password on the device. The one-time password may be changed by the user e.g. be requested by telephone or via a different route from the registry. In this process, the latter has the opportunity to ascertain the identity of the applicant without any doubt.
Die Registrierungsstelle ist eine Instanz im Netzwerk und kann beispielsweise als Selbstverwaltungsportal ausgebildet sein, um einem Benutzer die Möglichkeit der selbstständigen Anmeldung an dem erfindungsgemäßen Verfahren zu ermöglichen. Diese Registrierungsstelle erstellt beispielsweise Informationen für eine sichere Anwendung, englisch Trusted Application, kurz TA, in einer gesicherten Laufzeitumgebung, englisch Trusted Execution Environment, kurz TEE, in dem mobilen Endgerät, sodass eine sichere und einfache Initialisierung des erfindungsgemäßen Verfahrens erfolgen kann. Auf Basis des Umschaltens des Anmeldevorgangs prüft die Registrierungsstelle beispielsweise auch, ob der Benutzer für die Nutzung des Endgeräts berechtigt ist. Die Registrierungsstelle kann auch notwendige Konfigurationsdaten übertragen. Im Bedarfsfall wird das OTP dem Benutzer bereitgestellt. In einer bevorzugten Ausgestaltung wird das OTP dem Benutzer über eine von der Verbindung zwischen dem Endgerät und dem Netzwerk verschiedene Verbindung bereitgestellt. Dazu führt der Benutzer in einem einfachen Anwendungsfall ein Telefonat oder Video-Telefonat mit beispielsweise einer Service- oder Auskunftsstelle des Netzwerks (Helpdesk) und erbittet das OTP durch mündliche Ansage. Zum Bereitstellen dieses OTP muss sich der Benutzer eindeutig identifizieren, beispielsweise mittels eines Ausweisdokuments oder einem hinterlegten Foto des Benutzers. Die Auskunftsstelle verifiziert anhand der hinterlegten Daten den Benutzer und stellt das OTP bei Übereinstimmung bereit. Alternativ kann das OTP auch über einen anderen Kanal als dem Telefon übertragen werden, beispielsweise einem zweiten mobilen Endgerät des Benutzers oder einem Hardware- Token, beispielsweise USB-Stick oder Speicherkarte. Wichtig ist, dass der Benutzer nur dann das OTP erhält, wenn seine Identität festgestellt wurde, die Identität des Benutzers also zweifelsfrei verifiziert wurde. The registration authority is an entity in the network and can be designed, for example, as a self-administration portal in order to enable a user to independently log on to the method according to the invention. This registry, for example, creates information for a secure application, English Trusted Application, TA for short, in a secure runtime environment, English Trusted Execution Environment, short TEE, in the mobile device, so that a safe and easy initialization of the method can be done. For example, based on the switching of the logon process, the registrar also checks whether the user is authorized to use the terminal. The registry can also transmit necessary configuration data. If necessary, the OTP is provided to the user. In a preferred embodiment, the OTP is communicated to the user via one of the connection between the terminal and the network provided various connection. For this purpose, the user in a simple application, a phone call or video call with, for example, a service or information point of the network (help desk) and asks the OTP by verbal announcement. To provide this OTP, the user must uniquely identify himself, for example by means of an identification document or a stored photo of the user. The helpdesk verifies the user based on the stored data and provides the OTP if it matches. Alternatively, the OTP can also be transmitted via a different channel than the telephone, for example a second mobile terminal of the user or a hardware token, for example a USB stick or memory card. It is important that the user receives the OTP only if his identity has been established, ie the identity of the user has been verified beyond doubt.
Das OTP wird vom Endgerät abgefragt. Dazu wird eine Berechtigungsanfrage-Routine des Endgeräts, englisch Credential Provider, kurz CP, verwendet. Dieser CP wird zur Authentifizierung des Benutzers insbesondere an einem sogenannten Domain-Controller verwendet, um eine Anmeldung am Endgerät zu ermöglichen. Der CP ist beispielsweise der auf dem Endgerät im Rahmen der erfindungsgemäßen Authentifizierungsanwendung mittels mobilen Endgeräts bereits installierte CP, sodass das Sicherheitsniveau erhalten bleibt. Dieser CP verändert das herkömmliche Anmeldeverfahren an dem Endgerät und ist üblicherweise für eine Kommunikation mit dem mobilen Endgerät verantwortlich. Durch die Nutzung eines CP, der eine Kommunikation mit dem mobilen Endgerät direkt steuert und überwacht, wird das Sicherheitsniveau im System wesentlich erhöht. Der CP ist eine vertrauenswürdige Instanz und ist Teil des Authentifizierungssystems. Der CP verhindert beispielweise, dass ein schädlicher Minitreiber installiert wird, der einem Angreifer ermöglicht, die Kommunikation zwischen dem Endgerät und dem mobilen Endgerät mitzuschneiden. Dieser CP wird nun in vorteilhafter Weise auch bei der Eingabe des OTP verwendet, um zu verhindern, dass das OTP von einem Angreifer abgegriffen wird und zur unberechtigten Anmeldung verwendet wird. The OTP is requested by the terminal. For this purpose, an authorization request routine of the terminal, English Credential Provider, short CP used. This CP is used to authenticate the user, in particular to a so-called domain controller to allow a login to the terminal. The CP is, for example, the CP already installed on the terminal within the scope of the authentication application according to the invention by means of the mobile terminal, so that the security level is maintained. This CP alters the conventional logon procedure at the terminal and is usually responsible for communication with the mobile terminal. By using a CP that directly controls and monitors communication with the mobile device, the security level in the system is significantly increased. The CP is a trusted entity and is part of the authentication system. The CP, for example, prevents a malicious mini-driver from being installed that allows an attacker to record the communication between the terminal and the mobile terminal. This CP is now also advantageously used when entering the OTP, to prevent the OTP is tapped by an attacker and used for unauthorized logon.
Der Benutzer verwendet das bereitgestellte OTP sodann in einer entsprechenden Eingabemaske des Endgeräts. Das Endgerät prüft und verifiziert das OTP und ermöglicht so die Authentifizierung des Benutzers. In einer ersten Ausgestaltungsvariante wird das OTP verwendet, um auf ein Ersatz- Zertifikat, welches in einem sicheren Speicherbereich, beispielsweise einem Trusted Platform Module, TPM, des Endgeräts abgelegt ist, zuzugreifen. Diese erste Ausgestaltungsvariante findet Anwendung, wenn eine Anmeldung am Endgerät mittels eines Zertifikats erfolgen muss, beispielsweise auf Grund einer Firmen-Politik zwingend vorgeschrieben ist. Alternativ kann in einer zweiten Ausgestaltungsvariante das OTP als zweiter Faktor zur Anmeldung am Endgerät mit einem Benutzernamen und einem weiteren Passwort genutzt werden. In dieser zweiten Ausgestaltungsvariante wird also eine konventionelle Anmeldung am Endgerät erst nach einer erfolgreichen Prüfung und Verifizierung des OTP freigeschaltet, sodass auch hier die Zwei- Faktor- Authentifizierung erhalten bleibt. The user then uses the provided OTP in a corresponding input mask of the terminal. The terminal verifies and verifies the OTP allowing authentication of the user. In a first embodiment variant, the OTP is used to access a replacement certificate which is stored in a secure memory area, for example a trusted platform module TPM, of the terminal. This first embodiment variant finds Application, if a registration on the terminal must be made by means of a certificate, for example, is mandatory due to a company policy. Alternatively, in a second embodiment variant, the OTP can be used as a second factor for logging in at the terminal with a user name and a further password. In this second embodiment variant, therefore, a conventional login on the terminal is only released after a successful verification and verification of the OTP, so that the two-factor authentication is retained here as well.
Sobald die Authentifizierung mit Hilfe des OTP erfolgt ist, wird ein neues OTP durch den CP generiert und in der Registrierungsstelle verschlüsselt abgelegt. Wird das OTP zusammen mit einem Ersatz-Benutzerzertifikat verwendet, so wird dieses ungültig und durch den CP automatisch ein neues angefordert. Dieses neue Zertifikat wird mit dem OTP verschlüsselt und im sicheren Speicher abgelegt. Wird das OTP mit Benutzername und einem weiteren Passwort verwendet, so wird lediglich der Hashwert des alten OTP durch den des neuen ersetzt. Dieses neue OTP ist bei einer erneuten Anmeldung des Benutzers ohne das zum Authentifizieren des Benutzers zu verwendende mobile Endgerät zu verwenden. Besteht zum Zeitpunkt der Authentifizierung keine Verbindung zur Registrierungsstelle wird das Generieren und Übertragen an die Registrierungsstelle auf den Zeitpunkt der Wiederherstellung der Verbindung verschoben. As soon as the authentication has been carried out with the help of the OTP, a new OTP is generated by the CP and stored encrypted in the registry. If the OTP is used together with a replacement user certificate, it will be invalidated and the CP will automatically request a new one. This new certificate is encrypted with the OTP and stored in secure storage. If the OTP is used with username and another password, only the hash value of the old OTP will be replaced by the one of the new one. This new OTP is to be used when the user logs in again without the mobile terminal to be used to authenticate the user. If there is no connection to the registrar at the time of authentication, the generation and transfer to the registrar is postponed until the connection is restored.
Das Übertragen und Ablegen des neuen OTP erfolgt bevorzugt kryptografisch verschlüsselt. Als Verschlüsselung, auch Chiffrierung, wird hierbei die mittels eines Schlüssels erfolgte Umwandlung von Daten im„Klartext" in Daten im„Geheimtext", auch: Chiffrat, bezeichnet, sodass der Klartext aus dem Geheimtext nur unter Verwendung eines geheimen Schlüssels wiedergewonnen werden kann. Sie dient zur Geheimhaltung von Nachrichten, beispielsweise um Daten gegenüber unbefugtem Zugriff zu schützen oder um Nachrichten vertraulich übermitteln zu können. Die entsprechenden Schlüssel werden zwischen Endgerät und Registrierungsstelle ausgehandelt oder durch entsprechend sichere Übertragung im Vorfeld verteilt. The transfer and storage of the new OTP is preferably cryptographically encrypted. Encryption, also ciphering, hereby means the conversion of data in the "plaintext" into data in the "ciphertext", also called cipher, by means of a key, so that the plaintext from the ciphertext can only be retrieved using a secret key. It is used for confidentiality of messages, for example to protect data against unauthorized access or to transmit messages confidentially. The corresponding keys are negotiated between the terminal and the registration office or distributed in advance by correspondingly secure transmission.
Durch das erfindungsgemäße Verfahren wird eine Zwei-Faktor-Authentisierung stets sichergestellt. Bei der Anmeldung des Benutzers mit seinem mobilen Endgerät ist der erste Faktor der Besitz des mobilen Endgeräts mit dem sich darauf befindlichen Zertifikat. Der zweite Faktor ist die PIN oder ein biometrischer Wert, beispielsweise ein Fingerabdruck oder ein Augenscan, der zusätzlich vom Benutzer abgefragt wird. Bei Verlust, Defekt oder sonstigem Nicht- Vorhandensein des Endgeräts ersetzt das erfindungsgemäße Einmal-Passwort nun den ersten Faktor. Der zweite Faktor wird durch das Telefonat oder Video-Telefonat mit dem Helpdesk und dem dazu erforderlichen Verifizieren der Identität des Benutzers ersetzt. Dabei versichert das Verfahren mit dem Helpdesk, dass es sich bei dem Benutzer tatsächlich um den entsprechenden Mitarbeiter handelt. Das OTP kann dabei endgeräteseitig oder registrierungsstellenseitig erstellt werden. Die Erzeugung des OTP auf dem Endgerät wird sichergestellt, dass dem Endgerät nicht von außen ein manipuliertes und einem Angreifer bekanntes OTP bereitgestellt wird. The method according to the invention always ensures a two-factor authentication. When registering the user with his mobile terminal, the first factor is ownership of the mobile terminal with the certificate thereon. The second factor is the PIN or a biometric value, for example a fingerprint or an eye scan, which is additionally requested by the user. In case of loss, defect or other non-existence of the terminal replaces the one-time password according to the invention now the first factor. The second factor is replaced by the telephone call or video call with the help desk and the required verification of the identity of the user. The procedure with the help desk ensures that the user is actually the appropriate employee. The OTP can be created on the terminal side or registration site side. The generation of the OTP on the terminal is ensured that the terminal is not provided externally a manipulated and an attacker known OTP.
Dieses Verfahren ermöglicht eine sichere Fallback-Methode zum Anmelden an ein Endgerät auch für den Fall, dass das sonst üblicherweise verwendete mobile Endgerät nicht vorhanden ist, beispielsweise aufgrund eines Defekts oder eines Verlusts oder eines niedrigen Akkuladezustands oder bei schlichtem Vergessen dieses. Die Zwei-Faktor-Authentifizierung bleibt erhalten, das Sicherheitsniveau wird dadurch nicht gesenkt und eine einfache Authentifizierung des Benutzers ist ermöglicht. Diese Lösung kann auch angewendet werden, wenn keine Kommunikations- Verbindung zwischen Endgerät und Netzwerk besteht. Somit wird auch eine Offline- Anmeldung ermöglicht. Das neue OTP wird der Registrierungsstelle automatisch zur Verfügung gestellt, sobald eine Kommunikationsverbindung zwischen Endgerät und Netzwerk wieder vorhanden ist. This method enables a secure fallback method for logging on to a terminal even in the event that the otherwise commonly used mobile terminal is not present, for example because of a defect or a loss or a low battery state or simply forgetting this. The two-factor authentication is maintained, the security level is not lowered and a simple authentication of the user is possible. This solution can also be used if there is no communication connection between the terminal and the network. Thus, an offline login is also possible. The new OTP is automatically made available to the registrar as soon as a communication link between the terminal and the network is available again.
Das System stellt somit auch einen Vorteil gegenüber den Smart-Card Lösungen für eine Anmeldung am Endgerät dar, da hier überhaupt keine sichere Möglichkeit geschaffen werden kann, wenn die Smart-Card nicht verfügbar ist. Die erfindungsgemäße Lösung bietet hier die Möglichkeit über ein sicher zwischen dem CP und der Registrierungsstelle ausgehandeltem OTP einen zweiten Faktor für eine einmalige Anmeldung zu nutzen. The system thus also represents an advantage over the smart card solutions for logging in on the terminal, since no secure possibility can be created here if the smart card is not available. The solution according to the invention offers the possibility here of using a second factor for a single application, which is securely negotiated between the CP and the registration office.
In einer bevorzugten Ausgestaltung wird im Netzwerk ein Verzeichnisdienst zum Authentifizieren des Benutzers verwendet und der Benutzer wird durch erfolgreiche Authentifizierung im Verzeichnisdienst am Endgerät angemeldet. Der Verzeichnisdienst ist vorzugsweise netzwerkweit zentral und im Fall eines Windows™ Betriebssystems das Active Directory, kurz AD. Bei einem solchen Verzeichnis wird ein Netzwerk entsprechend der realen Struktur des Unternehmens oder seiner räumlichen Verteilung gegliedert. Dazu verwaltet es verschiedene Objekte in einem Netzwerk wie beispielsweise Benutzer, Gruppen, Computer, Dienste, Server, Dateifreigaben und andere Geräte wie Drucker und Scanner und deren Eigenschaften. Mit Hilfe von AD können die Informationen der Objekte organisiert, bereitgestellt und überwacht werden. Den Benutzern des Netzwerkes werden entsprechend Zugriffsbeschränkungen erteilt, sodass nicht jeder Benutzer jede Datei oder jedes Netzwerkobjekt einsehen bzw. verwenden kann. Die Anmeldung erfolgt sodann beispielsweise mittels Kerberos-Zertifikats-Authentifizierung. Das OTP kann zusätzlich im Verzeichnisdienst abgelegt werden, um den Zugriff aus existierenden Help-Desk Anwendungen darauf zu erleichtern. Bevorzugt erfolgt die Ablage des OTP verschlüsselt. In a preferred embodiment, a directory service is used in the network to authenticate the user, and the user is logged on to the terminal by successful authentication in the directory service. The directory service is preferably network-wide central and in the case of a Windows ™ operating system, the Active Directory, short AD. In such a directory, a network is structured according to the real structure of the enterprise or its spatial distribution. It manages various objects in a network such as users, groups, computers, services, servers, file shares, and other devices such as printers and scanners and their properties. With the help of AD the information of the objects can be organized, provided and monitored. The users of the Networks are granted according to access restrictions, so not every user can view or use any file or network object. The login then takes place, for example, by means of Kerberos certificate authentication. The OTP can also be stored in the directory service to facilitate access to it from existing help desk applications. Preferably, the storage of the OTP is encrypted.
In einer bevorzugten Ausgestaltung wird bei Verlust oder Defekt des mobilen Endgeräts die Gültigkeit des bisherigen Benutzerzertifikats in dem Netzwerk widerrufen. Ein (digitales) Zertifikat, ist dabei ein digitaler Datensatz, der bestimmte Eigenschaften des Benutzers bestätigt und dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann. Das digitale Zertifikat enthält insbesondere die zu seiner Prüfung erforderlichen Daten. Insbesondere sind für diese Erfindung die Public-Key-Zertifikate der Public-Key-Infrastruktur, kurz PKI, relevant, die beispielsweise nach dem Standard X.509 definiert sind und welche die Identität des Inhabers und weitere Eigenschaften eines öffentlichen kryptografischen Schlüssels bestätigen. In a preferred embodiment, in case of loss or defect of the mobile terminal, the validity of the previous user certificate in the network is revoked. A (digital) certificate is a digital dataset that confirms certain properties of the user and whose authenticity and integrity can be tested by cryptographic methods. The digital certificate contains in particular the data required for its verification. In particular, the public-key certificates of the public-key infrastructure, PKI for short, are relevant for this invention, which are defined, for example, according to the standard X.509 and which confirm the identity of the owner and other properties of a public cryptographic key.
Public-Key-Zertifikate enthalten in der Regel den Namen (oder eine andere eindeutige Bezeichnung) der zuvor erwähnten Zertifizierungsstelle; Informationen zu den Regeln und Verfahren, unter denen das Zertifikat ausgegeben wurde; Informationen zur Gültigkeitsdauer des Zertifikates; den öffentlichen Schlüssel, zu dem das Zertifikat Angaben macht; den Namen (oder eine andere eindeutige Bezeichnung) des Eigentümers (= Benutzers) des öffentlichen Schlüssels; weitere Informationen zum Eigentümer des öffentlichen Schlüssels; Angaben zum zulässigen Anwendungs- und Geltungsbereich des öffentlichen Schlüssels und eine digitale Signatur des Ausstellers über alle anderen Informationen. Public-key certificates typically include the name (or other unique name) of the previously-mentioned certification authority; Information about the rules and procedures under which the certificate was issued; Information on the validity period of the certificate; the public key to which the certificate provides information; the name (or other unique name) of the owner (= user) of the public key; further information about the owner of the public key; Information on the permitted scope and scope of the public key and a digital signature of the exhibitor on all other information.
Die Gültigkeit des digitalen Zertifikates ist meist auf einen im Zertifikat festgelegten Zeitraum begrenzt. In dem vorliegenden Verfahren kann die Gültigkeit eines Zertifikats widerrufen werden, wenn bei Nichtvorhandensein des mobilen Endgeräts dennoch eine Authentifizierung des Benutzers im Netzwerk zum Anmelden an ein Endgerät erfolgen soll. Dies erfolgt bevorzugt dann, wenn das mobile Endgerät durch Verlust oder technischen Defekt absehbar nicht mehr verwendet wird. Damit wird sichergestellt, dass das Benutzerzertifikat nicht von einem Angreifer zum Anmelden am Netzwerk verwendet wird. In minderschweren Fällen, wie der Nichtbenutzbarkeit durch einen leeren Akkumulator bleibt die Gültigkeit des Zertifikats bestehen. In einer bevorzugten Ausgestaltung wird die Berechtigungsanforderungs-Routine jedes neue Einmal-Passwort mit der Registrierungsstelle aushandeln und das neue Einmal-Passwort kryptografisch gesichert, beispielsweise mittels asymmetrischer oder symmetrischer Verschlüsselung, übertragen. Auf diese Weise ist ein Angreifer nicht in der Lage die Fallback- Methode zu korrumpieren. The validity of the digital certificate is usually limited to a period of time specified in the certificate. In the present method, the validity of a certificate can be revoked if, in the absence of the mobile terminal, an authentication of the user in the network for logging on to a terminal is nevertheless to take place. This is preferably done when the mobile terminal foreseeable by loss or technical defect is no longer used. This ensures that the user certificate is not being used by an attacker to log on to the network. In less severe cases, such as non-usability by an empty accumulator, the validity of the certificate remains. In a preferred embodiment, the authorization request routine will negotiate each new one-time password with the registry and transmit the new one-time password cryptographically secured, for example, by asymmetric or symmetric encryption. In this way, an attacker will not be able to corrupt the fallback method.
Das OTP wurde dazu zwischen einer sicheren Laufzeitumgebung des mobilen Endgeräts und einer Instanz des Netzwerks, beispielsweise der Registrierungsstelle ausgehandelt. Dazu wird ein kryptografisches Challenge- Verfahren, beispielsweise gemäß dem Challenge Handshake Authentication Protocol, kurz CHAP, angewendet. Nachfolgend wird der Begriff OTP-Generieren mit OTP- Aushandeln gleichgesetzt. For this purpose, the OTP was negotiated between a secure runtime environment of the mobile terminal and an instance of the network, for example the registrar. For this purpose, a cryptographic challenge method, for example, according to the Challenge Handshake Authentication Protocol, short CHAP, applied. In the following, the term OTP generation is equated with OTP negotiation.
In einer bevorzugten Ausgestaltung wird zum Authentifizieren des Benutzers ein neues Benutzerzertifikat erstellt, wobei dieses Erstellen die folgenden Verfahrensschritte umfasst: Einrichten (Installieren) einer sicheren Anwendung auf einem weiteren mobilen Endgerät; Verbinden der sicheren Anwendung zu einem Verwaltungssystem zum Aktivieren der sicheren Anwendung; Erstellen von neuen Schlüsseln zur Verwendung in kryptographischen Verfahren in der sicheren Anwendung; Anfragen und Erhalten des neuen Benutzerzertifikats bei einer Zertifizierungsstelle durch die aktivierte sichere Anwendung; Anmelden des Benutzers unter Verwendung des neuen Benutzerzertifikats der sicheren Anwendung und der Berechtigungsanfrage-Routine des Endgeräts im Netzwerk; Generieren eines neuen Einmal- Passworts durch die Berechtigungsanfrage-Routine des Endgeräts; Speichern des neuen Einmai- Passworts in der Registrierungsstelle anstelle des bisherigen Einmal-Passworts und Verwenden des neuen Einmal-Passworts bei einem darauffolgenden Anmelden des Benutzers am Endgeräts bei erneutem Nichtvorhandensein des zum Authentifizieren des Benutzers zu verwendenden mobilen Endgeräts. Die sichere Anwendung TA läuft dabei bevorzugt in der sicheren Laufzeitumgebung TEE des mobilen Endgeräts ab. Das Benutzerzertifikat wird für ein kryptografisches Schlüsselpaar generiert, welches in einem nur für die sichere Laufzeitumgebung zugreifbaren sicheren Speicherbereich des mobilen Endgeräts abgelegt ist. In a preferred embodiment, a new user certificate is created for authenticating the user, this creation comprising the following method steps: setting up (installing) a secure application on a further mobile terminal; Connecting the secure application to a management system for activating the secure application; Creating new keys for use in cryptographic techniques in secure application; Requesting and obtaining the new user certificate at a certification authority by the activated secure application; Logging in using the new user certificate of the secure application and the authorization request routine of the terminal in the network; Generating a new one-time password by the entitlement request routine of the terminal; Storing the new one-time password in the registry instead of the previous one-time password and using the new one-time password on a subsequent user login on the terminal in the absence of the mobile terminal to be used to authenticate the user. The secure application TA preferably runs in the secure runtime environment TEE of the mobile terminal. The user certificate is generated for a cryptographic key pair stored in a secure storage area of the mobile terminal accessible only to the secure runtime environment.
Die TA wird auf dem mobilen Endgerät des Benutzers installiert. Diese TA wird in der Benutzerzertifikat-Erstellungsphase eingesetzt, um das Schlüsselpaar, das die Basis des Benutzerzertifikats bildet, zu erzeugen. Außerdem wird diese TA im üblichen Anmeldeverfahren verwendet, um sämtliche kryptographischen Operationen während der Authentifizierung des Benutzers auszuführen. Hierzu wird das Endgerät ausgewählt und die TA gestartet. Innerhalb des üblichen Anmeldeverfahrens muss der Benutzer stets beweisen, dass er für dieses Schlüsselpaar zugriffsberechtigt ist. Dies kann er über eine PIN oder einen der biometrischen Sensoren des neuen mobilen Endgeräts tun. Zusammen mit der TA wird in bevorzugter Ausgestaltung auch ein Service auf dem mobilen Endgerät installiert. Der biometrische Sensor fragt sodann eine vorhandene biometrische Authentisierung ab. Dieser Service prüft das Sicherheitsniveau des neuen mobilen Endgeräts automatisch. So erkennt das Anmeldeverfahren automatisch, ob das neue mobile Endgerät sicher ist oder gerooted wurde und ob alle relevanten Sicherheits-Patches eingespielt wurden. Ist dies nicht der Fall, kann dieses neue mobile Endgerät nicht als zweiter sicherer Faktor verwendet werden. Die TA ist beispielsweise eine Anwendung für die Betriebssysteme Android™ oder iOS™ und ermöglicht neben der normalen Programmbearbeitung die Ausführung von Programmcode innerhalb einer TEE auf dem mobilen Endgerät oder einem alternativ geschützten Bereich im mobilen Endgerät und wird daher als sichere Anwendung bezeichnet. Der in der TEE ablaufende Teil der TA generiert und speichert das Schlüsselpaar im neuen mobilen Endgerät. The TA is installed on the mobile terminal of the user. This TA is used in the user certificate creation phase to generate the key pair that forms the basis of the user certificate. In addition, this TA is in the usual application procedure used to perform all cryptographic operations during user authentication. For this the terminal is selected and the TA is started. Within the usual login procedure, the user must always prove that he is authorized to access this key pair. He can do this via a PIN or one of the biometric sensors of the new mobile device. In a preferred embodiment, a service is also installed on the mobile terminal together with the TA. The biometric sensor then queries an existing biometric authentication. This service automatically checks the security level of the new mobile device. Thus, the login process automatically detects whether the new mobile device is secure or rooted and whether all relevant security patches have been imported. If this is not the case, this new mobile terminal can not be used as a second secure factor. The TA, for example, is an application for the operating systems Android ™ or iOS ™ and, in addition to the normal program processing, enables the execution of program code within a TEE on the mobile terminal or an alternatively protected area in the mobile terminal and is therefore called a secure application. The part of the TA running in the TEE generates and stores the key pair in the new mobile terminal.
Das Verwaltungssystem für sichere Anwendungen, englisch Trusted Application Manager, kurz TAM, ist eine Instanz des Netzwerks oder eines entfernten Systems und prüft eine Lizenz und auch eine Registrierung der sicheren Anwendung. Dieser TAM, auch Trusted Server, ist für den Aufbau eines sicheren Kanals in das TEE des neuen mobilen Endgeräts verantwortlich. Dieser Kanal kann nicht vom Betriebssystem des mobilen Endgerätes eingesehen werden. The Trusted Application Manager, TAM for short, is an instance of the network or a remote system and checks for a license and also a registry of the secure application. This TAM, also known as Trusted Server, is responsible for building a secure channel into the TEE of the new mobile device. This channel can not be viewed by the operating system of the mobile device.
In einer bevorzugten Ausgestaltung werden für den oben genannten Verbinden-Schritt Informationen von der Registrierungsstelle zum Erzeugen einer Verbindung zum TAM in der TA erhalten. Diese Informationen können beispielsweise als QR-Code bereitgestellt und mittels einer Kamera des mobilen Endgeräts erfasst werden. In einer bevorzugten Ausgestaltung beinhalten die Informationen von der Registrierungsstelle zudem Informationen für das Abrufen des Benutzerzertifikats von der Zertifizierungsstelle, beispielsweise auf Basis des Simple Certificate Enrollment Protocolls, kurz SCEP. Die Datenübertragung von der Registrierungsstelle erfolgt beispielsweise mittels QR-Code. Aufgrund der rein optischen Natur dieses Übertragungswegs ist ein Abhören des Funkfrequenzraums für einen Angriff nutzlos. Der erfindungsgemäße Anmeldeschritt bei Authentifizieren mittels mobilem Endgerät umfasst bevorzaigt die Schritte: Starten der sicheren Anwendung auf dem mobilen Endgerät und Aufbauen einer drahtlosen Kommunikationsverbindung vom mobilen Endgerät zu dem Endgerät; Starten der Berechtigungsanfrage-Routine im Endgerät und Aufbau einer Kommunikationsverbindung zum Netzwerk zur Authentifizierung des Benutzers; Generieren einer Berechtigungsaufforderung durch das Netzwerk und Übertragen dieser an das Endgerät; Freischaltung des Benutzerzertifikats im mobilen Endgerät durch Eingabe einer PIN oder durch Nutzung eines biometrischen Sensors; Signieren der Berechtigungsaufforderung mittels des Benutzerzertifikats in der sicheren Anwendung; Übertragen der signierten Berechtigungsaufforderung an das Netzwerk zum Prüfen der Signatur und der Gültigkeit des Zertifikats; und Erteilen einer Anmelde-Erlaubnis vom Netzwerk bei erfolgreicher Prüfung. In a preferred embodiment, for the above connection step, information is obtained from the registration authority for establishing a connection to the TAM in the TA. This information can be provided, for example, as a QR code and captured by means of a camera of the mobile terminal. In a preferred embodiment, the information from the registration authority also contains information for retrieving the user certificate from the certification authority, for example based on the Simple Certificate Enrollment Protocol, or SCEP for short. The data transfer from the registration office takes place, for example, by means of a QR code. Due to the purely optical nature of this transmission path, listening to the radio frequency space is useless for an attack. The mobile terminal authentication step according to the invention comprises the steps of: starting the secure application on the mobile terminal and establishing a wireless communication connection from the mobile terminal to the terminal; Starting the authorization request routine in the terminal and establishing a communication connection to the network for authenticating the user; Generating an authorization request by the network and transmitting it to the terminal; Activation of the user certificate in the mobile terminal by entering a PIN or by using a biometric sensor; Signing the authorization request by means of the user certificate in the secure application; Transmitting the signed authorization request to the network for verifying the signature and validity of the certificate; and granting a login permission from the network upon successful verification.
Dieses Anmeldeverfahren umgeht die Nachteile einer Smart Card Anmeldung und einer unsicheren Anmeldung mittels mobilem Endgerät gleichermaßen. Diese Lösung kann vom Benutzer selbst in Betrieb genommen werden, bei Austausch oder bei Verlust des mobilen Endgeräts kann eine Anmeldung trotzdem erfolgen. Das mobile Endgerät ist ein eigenständiges Endgerät und wird meist getrennt vom Endgerät auf dem sich der Benutzer anmelden möchte, transportiert, sodass auch die Benutzerakzeptanz für das erfindungsgemäße Verfahren steigt. This application method bypasses the disadvantages of a smart card login and an unsafe login by means of a mobile terminal alike. This solution can be put into operation by the user himself, in case of replacement or loss of the mobile terminal, a logon can still be made. The mobile terminal is an independent terminal and is usually transported separately from the terminal on which the user wishes to log in, so that user acceptance for the method according to the invention also increases.
Mit diesem Anmeldeverfahren werden die benötigten Schlüssel direkt auf dem mobilen Endgerät innerhalb einer TEE erzeugt. Dies ist vom Sicherheitsniveau vergleichbar mit der Schlüsselerzeugung innerhalb eines Krypto-Prozessors einer Smart Card. Bevorzugt wird ein kryptografisches Verschlüsselungsverfahren angewendet, insbesondere ein asymmetrisches Verschlüsselungsverfahren. Der private Schlüssel des generierten Schlüsselpaars verlässt das mobile Endgerät nicht. Nur über die TEE kann darauf zugegriffen werden. Sämtliche Operationen bezüglich dieses Schlüsselpaars finden ebenfalls innerhalb des TEE statt. Das Endgerät erhält den CP. Dieser CP stellt die Kommunikation mit dem mobilen Endgerät vollständig transparent für das Betriebssystem zur Verfügung. Die Kommunikation zwischen Endgerät und mobilen Endgerät ist funkbasiert, beispielsweise mittels Nahbereichs-Technik nach dem Standard Bluetooth LE, die sicherstellt, dass der Benutzer des mobilen Endgeräts auch physisch in der Nähe des Endgeräts ist. Ein Mischbetrieb ist jederzeit möglich, so dass der Benutzer auch andere Authentifizierung nutzen kann. Über eine Auswertung der Feldstärkemessung kann erkannt werden, ob ein Benutzer sich einem Endgerät nähert oder von diesem entfernt und dementsprechend kann der CP eine Anmeldeprozedur einleiten oder den Benutzer abmelden. With this login method, the required keys are generated directly on the mobile terminal within a TEE. This is comparable to the security level of key generation within a crypto-processor of a smart card. Preferably, a cryptographic encryption method is used, in particular an asymmetric encryption method. The private key of the generated key pair does not leave the mobile terminal. Only via the TEE can it be accessed. All operations related to this key pair also occur within the TEE. The terminal receives the CP. This CP makes the communication with the mobile terminal completely transparent to the operating system. The communication between the terminal and the mobile terminal is radio-based, for example by means of short-range technology according to the standard Bluetooth LE, which ensures that the user of the mobile terminal is also physically in the vicinity of the terminal. A mixed operation is possible at any time, so that the user can also use other authentication. An evaluation of the field strength measurement can be used to detect whether a user is approaching a terminal or of and, accordingly, the CP can initiate a login procedure or log off the user.
Bevorzugt erkennt das Endgerät bei der Anmeldung automatisch die Verfügbarkeit eines gekoppelten mobilen Endgeräts und meldet den Benutzer an, wenn dieser die TA gestartet hat und sich mit der PIN oder einem geeigneten biometrischen Sensor an dieser angemeldet hat. Der biometrische Sensor erfragt dabei eine biometrische Authentisierung des Benutzers, die zuvor hinterlegt wurde. Der Benutzer muss am Endgerät keine Auswahl des CP treffen, sondern lediglich in Kommunikationsreichweite des Endgerätes sein. Preferably, the terminal automatically recognizes the availability of a paired mobile terminal and logs on the user when it has started the TA and logged in with the PIN or a suitable biometric sensor to this. The biometric sensor queries a biometric authentication of the user, which was previously deposited. The user does not have to make any selection of the CP at the end device, but merely to be within the communication range of the end device.
Im Gegensatz zu anderen Lösungen, die mobile Endgeräte einsetzen, funktioniert dieses Verfahren auch, wenn das mobile Endgerät und/oder das Endgerät keine Verbindung zum Netzwerk hat. Dies wird durch die direkte Kommunikation zwischen mobilen Endgerät und dem Endgerät auf dem sich der Benutzer anmelden möchte, erreicht. Auf die Nutzung eines zentralen Anmeldeservers wird verzichtet. Unlike other solutions that use mobile devices, this method works even if the mobile device and / or the device is disconnected from the network. This is achieved by the direct communication between the mobile terminal and the terminal on which the user wishes to log on. The use of a central login server is waived.
Im Erfindungsgedanken ebenfalls enthalten ist ein mobiles Endgerät zum Anmelden eines Benutzers an ein Endgerät eines Netzwerks gemäß dem vorhergehend beschriebenen Verfahren. Das mobile Endgerät umfasst eine gesicherte Laufzeitumgebung beinhaltend die sichere Anwendung; ein Drahtlosverbindungsmodul, beispielsweise Bluetooth LE Modul, eingerichtet zur Kommunikation mit einer Berechtigungsanfrage-Routine eines Endgeräts; einem weiteren Drahtlosverbindungsmodul, insbesondere Mobilfunk- oder Breitbandverbindungsmodul, eingerichtet zur Kommunikation mit einer Zertifizierungsstelle zum Erhalten eines Benutzerzertifikats; einem Speicherbereich zum gesicherten Ablegen eines Schlüsselpaars, wobei die gesicherte Laufzeitumgebung eingerichtet ist, exklusiv auf den Speicherbereich zuzugreifen; und einer Kamera zum Erfassen von Informationen einer Registrierungsstelle. The invention also includes a mobile terminal for registering a user with a terminal of a network according to the method described above. The mobile terminal includes a secure runtime environment including the secure application; a wireless connection module, such as Bluetooth LE module, configured to communicate with an authorization request routine of a terminal; another wireless connection module, in particular cellular or broadband connection module, configured to communicate with a certification authority for obtaining a user certificate; a storage area for securely depositing a key pair, wherein the secure runtime environment is set up to exclusively access the storage area; and a camera for collecting information of a registrar.
Im Erfindungsgedanken ist ebenfalls ein Computerprogrammprodukt enthalten, welches ausführbar in einer sicheren Laufzeitumgebung eines mobilen Endgeräts eingebracht ist und welches zum Authentifizieren eines Benutzers an einem Netzwerk eingerichtet ist, wobei dazu das vorhergehend beschriebene Verfahren durchgeführt wird. Dieses Computerprogrammprodukt beinhaltet insbesondere die sichere Anwendung im mobilen Endgerät. Also included in the inventive concept is a computer program product which is executably incorporated in a secure runtime environment of a mobile terminal and which is set up for authenticating a user to a network, for which purpose the method described above is carried out. This computer program product includes in particular the secure application in the mobile terminal.
Im Erfindungsgedanken ist zudem auch ein Computerprogrammprodukt enthalten, welches ausführbar in einem Endgerät eines Netzwerks eingebracht ist und welches zum Abfragen einer Berechtigung eines Benutzers eingerichtet ist, wobei dazu das vorhergehend beschriebene Verfahren durchgeführt wird. Dieses Com ute rogramm rodukt ist insbesondere die Berechtigungsanfrage-Routine im Endgerät. In the spirit of the invention also includes a computer program product, which is executable introduced in a terminal of a network and which for querying a Authorization of a user is set up, for which purpose the method described above is performed. This uterogram product is in particular the authorization request routine in the terminal.
KURZE ZUSAMMENFASSUNG DER FIGUREN Nachfolgend wird anhand von Figuren die Erfindung bzw. weitere Ausführungsformen und Vorteile der Erfindung näher erläutert, wobei die Figuren lediglich Ausführungsbeispiele der Erfindung beschreiben. Gleiche Bestandteile in den Figuren werden mit gleichen Bezugszeichen versehen. Die Figuren sind nicht als maßstabsgetreu anzusehen, es können einzelne Elemente der Figuren übertrieben groß bzw. übertrieben vereinfacht dargestellt sein. Es zeigen: BRIEF SUMMARY OF THE FIGURES The invention or further embodiments and advantages of the invention will be explained in more detail on the basis of figures, wherein the figures only describe exemplary embodiments of the invention. Identical components in the figures are given the same reference numerals. The figures are not to be considered as true to scale, it can be exaggerated large or exaggerated simplified individual elements of the figures. Show it:
Fig.l ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens; Fig.l an embodiment of a process flow diagram of a method according to the invention;
Fig.2 ein erstes Ausführungsbeispiel eines erfindungsgemäßen Systems zum Authentifizieren eines Benutzers an einem Endgerät; Fig.3 ein zweites Ausführungsbeispiel eines erfindungsgemäßen Systems zum Authentifizieren eines Benutzers an einem Endgerät; 2 shows a first embodiment of a system according to the invention for authenticating a user to a terminal; 3 shows a second embodiment of a system according to the invention for authenticating a user to a terminal;
Fig.4 ein Ausführungsbeispiel eines Verfahrensablaufs zum erfmdungsgemäßen Einrichten der Authentifizierung eines Benutzers mittels mobilen Endgeräts; und 4 shows an embodiment of a method sequence for inventively setting up the authentication of a user by means of a mobile terminal; and
Fig.5 ein Ausführungsbeispiel eines Verfahrensablaufs zum erfindungsgemäßen Anmelden eines Benutzers an einem Endgerät mittels mobilen Endgeräts. 5 shows an embodiment of a method sequence for registering a user according to the invention at a terminal by means of a mobile terminal.
Fig.6 ein erstes Ausführungsbeispiel eines Verfahrensablaufs zum erfindungsgemäßen Anmelden eines Benutzers an einem Endgerät ohne mobiles Endgerät. 6 shows a first embodiment of a method sequence for registering a user according to the invention at a terminal without a mobile terminal.
Fig.7 ein zweites Ausführungsbeispiel eines Verfahrensablaufs zum erfindungsgemäßen Anmelden eines Benutzers an einem Endgerät ohne mobiles Endgerät. 7 shows a second embodiment of a method sequence for registering a user according to the invention on a terminal without a mobile terminal.
FIGURENBESCHREIBUNG In Fig.l ist ein Ausführungsbeispiel eines Verfahrensablaufdiagrarnms für das erfindungsgemäße Verfahren 100 dargestellt. Das Verfahren 100 ist zum Anmelden eines Benutzers an einem Endgerät mittels eines Einmal-Passworts bei Nichtvorhandensein eines zum Authentifizieren des Benutzers üblicherweise zu verwendenden mobilen Endgeräts vorgesehen. Das Verfahren 100 umfasst einen Umschalten-Schritt 101 zum Umschalten des Anmeldevorgangs am Endgerät zum Verwenden des Einmal-Passworts (OTP) anstelle einer Authentifizierung mittels des mobilen Endgeräts zum Authentifizieren dieses Benutzers an diesem Endgerät. Das Einmal-Passwort wurde bei einer vormaligen Authentifizierung des Benutzers im Endgerät erzeugt und hinterlegt sowie in einer Registrierungsstelle gespeichert. Das Verfahren 100 umfasst zudem einen Bereitstellen-Schritt 102 zum Bereitstellen des Einmal-Passworts an den Benutzer. Das Verfahren 100 umfasst zudem einen Abfragen- Schritt 103 zum Abfragen des Einmal-Passworts zum Anmelden mittels einer Berechtigungsanfrage-Routine des Endgeräts und ggf. Übertragen des eingegebenen Einmal-Passworts mittels der Berechtigungsanfrage-Routine des Endgeräts. Das Verfahren 100 umfasst auch einen Prüfen-Schritt 104 zum Prüfen des Einmal-Passworts mittels einer Berechtigungsanfrage-Routine des Endgeräts und Authentifizieren des Benutzers an dem Endgerät. Das Verfahren 100 umfasst auch einen Generieren-Schritt 105 zum Generieren eines neuen Einmal-Passworts durch die Berechtigungsanfrage-Routine des Endgeräts und das Hinterlegen in diesem. Das Verfahren 100 umfasst schließlich auch einen Speichern-Schritt 106 zum Speichern des neuen Einmal-Passworts in der Registrierungsstelle anstelle des bisherigen Einmal-Passworts und Verwenden des neuen Einmal-Passworts bei einem darauffolgenden Anmelden des Benutzers am Endgeräts bei erneutem Nichtvorhandensein des zum Authentifizieren des Benutzers zu verwendenden mobilen Endgeräts. DESCRIPTION OF THE FIGURES In Fig.l an embodiment of a Verfahrensablaufdiagrarnms for the inventive method 100 is shown. The method 100 is for registering a user at a terminal by means of a one-time password in the absence of a mobile terminal to be typically used for authenticating the user. The method 100 includes a switching step 101 for switching the log-on procedure at the terminal to using the one-time password (OTP) instead of authentication by the mobile terminal for authenticating that user to this terminal. The one-time password was generated and stored in a previous authentication of the user in the terminal and stored in a registry. The method 100 further includes a providing step 102 for providing the one-time password to the user. The method 100 further comprises a polling step 103 for retrieving the one-time password for log-on by means of an authorization request routine of the terminal and possibly transmitting the input one-time password by means of the authorization request routine of the terminal. The method 100 also includes a check step 104 for checking the one-time password by means of an authorization request routine of the terminal and authenticating the user to the terminal. The method 100 also includes generating step 105 for generating and storing a new one-time password through the entitlement request routine of the terminal. Finally, the method 100 also includes a store step 106 for storing the new one-time password in the registry instead of the previous one-time password and using the new one-time password on subsequent enrollment of the user on the terminal, again to authenticate the user to use mobile terminal.
Dieses Verfahren 100 wird im Rahmen der Beschreibung des Systems gemäß der Figuren 2 und 3 sowie der Verfahrensablaufdiagramme gemäß der Figuren 4 und 5 näher erläutert. Das System zur Umsetzung des Authentifizierungsverfahrens mit einem mobilen Endgerät bedingt eine Zertifizierungsstelle mit einer Schnittstelle zum Erstellen eines Benutzerzertifikats auf Basis eines generierten Schlüsselpaars, ein mobiles Endgerät mit Bluetooth-Drahtloskommunikation, einem Endgerät mit Bluetooth-Drahtloskommunikation, eine sichere Anwendung in einer TEE des mobilen Endgeräts zum Erzeugen, Verwalten und Benutzen von einem kryptografischem Schlüsselpaar (öffentlicher und privater Schlüssel) und eine Berechtigungsanfrage-Routine auf dem Endgerät zum Kommunizieren mit der TA. In der Fig.2 ist ein erstes Ausführungsbeispiel eines erfindungsgemäßen Systems zum Authentifizieren eines Benutzers an einem Endgerät 1 dargestellt. Das System besteht aus dem Endgerät 1 , welches eine Berechtigungsanfrage-Routine 9, nachfolgend als Credential Provider CP 9 bezeichnet, beinhaltet. Das System besteht zudem aus einem mobilen Endgerät 2, welches zum Authentifizieren eines Benutzers (nicht dargestellt) am Endgerät 1 verwendet wird. Das mobile Endgerät 2 umfasst eine sichere Laufzeitumgebung, auch als TEE bezeichnet (nicht dargestellt) und eine sichere Anwendung 8, auch als TA 8 bezeichnet. Die TA 8 ist eingerichtet, um auf einen sicheren Speicherbereich des mobilen Endgeräts 2 zuzugreifen, in welchem ein von dem mobilen Endgerät 2 generiertes Schlüsselpaar 11 abgelegt ist. Das mobile Endgerät 2 umfasst weiterhin ein Drahtloskommunikationsmodul, um mit dem Endgerät 1 eine Bluetooth- LE- Kommunikation 6 aufzubauen und darüber Daten zum Anmelden und Authentifizieren des Benutzers auszutauschen. This method 100 is explained in more detail in the context of the description of the system according to FIGS. 2 and 3 as well as the process flow diagrams according to FIGS. 4 and 5. The system for implementing the authentication method with a mobile terminal requires a certification authority having an interface for creating a user certificate based on a generated key pair, a mobile terminal with Bluetooth wireless communication, a terminal with Bluetooth wireless communication, a secure application in a TEE of the mobile terminal for generating, managing and using a cryptographic key pair (public and private key) and an authorization request routine on the terminal for communicating with the TA. FIG. 2 shows a first exemplary embodiment of a system according to the invention for authenticating a user to a terminal 1. The system consists of the terminal 1, which includes an authorization request routine 9, hereinafter referred to as Credential Provider CP 9. The system also consists of a mobile terminal 2, which is used to authenticate a user (not shown) on the terminal 1. The mobile terminal 2 includes a secure runtime environment, also referred to as TEE (not shown), and a secure application 8, also referred to as TA 8. The TA 8 is set up to access a secure memory area of the mobile terminal 2, in which a key pair 11 generated by the mobile terminal 2 is stored. The mobile terminal 2 further comprises a wireless communication module for establishing a Bluetooth LE communication 6 with the terminal 1 and exchanging data for logging in and authenticating the user.
Bluetooth LE, kurz BLE, ist eine Funktechnik, mit der sich die beiden Endgeräte 1 und 2 in einer Umgebung von etwa 10 Metern vernetzen können, wobei dazu ein vergleichsweise geringer Stromverbrauch benötigt wird. Ein Vorteil von BLE ist, dass die Feldstärke zwischen den verbundenen Endgeräten 1 und 2 ausgewertet werden kann und man so die ungefähre Entfernung angeben kann, ab der die Verbindung als unzureichend gewertet und das Endgerät 1 gesperrt wird. Auf Grund des CP 9 und der TA 8 wird es trotz der limitierten Verbindungsparameter in BLE ermöglicht, eine Zertifikatsanmeldung durchzuführen. Bluetooth LE, or BLE for short, is a radio technology with which the two terminals 1 and 2 can network in an environment of about 10 meters, whereby a comparatively low power consumption is required. An advantage of BLE is that the field strength between the connected terminals 1 and 2 can be evaluated and one can thus indicate the approximate distance from which the connection is deemed to be insufficient and the terminal 1 is blocked. Due to the CP 9 and the TA 8, despite the limited connection parameters in BLE, it is possible to carry out a certificate application.
Das System umfasst zudem eine Registrierungsstelle 3, auf der eine Registrierungsanwendung 10 eingerichtet ist. Das Endgerät 1 und die Registrierungsstelle 3 sind beispielsweise Objekte des gleichen Netzwerks 13. Die Kommunikation zwischen dem Endgerät 1 und der Registrierungsstelle 3 erfolgt beispielsweise über eine drahtgebundene Verbindung, wie LAN, oder drahtlos über WLAN oder eine Breitband-Mobilfunkverbindung, wie LTE. Die Registrierungsstelle 3 ist beispielsweise als Selbstverwaltungs-Portal aufgebaut, um einem Benutzer das Einrichten des Anmeldeverfahrens zu ermöglichen. Hier können Informationen für eine Installation der TA 8 und des CP 9 abgerufen werden, sollte das Netzwerk 13 diese Informationen nicht anderweitig zur Verfügung stellen. In der Registrierungsstelle 3 wird die Berechtigung des Benutzers dahingehend geprüft, ob er überhaupt für die Nutzung des Endgeräts 1 freigegeben ist. Die Registrierungsstelle 3 überträgt die notwendigen Konfigurationsdaten einschließlich eines für das Generieren eines dazugehörigen Benutzerzertifikats benötigten SCEP- OTP der Zertifizierungsstelle mittels eines QR-Codes an das mobile Endgerät 2. Das mobile Endgerät 2 weist eine Kamera (nicht dargestellt) auf, um den QR-Code zu erfassen. Der QR-Code wird sodann mittels eines Prozessors des mobilen Endgeräts 2 ausgewertet und so die Informationen des QR-Codes erhalten. Die Informationen des QR-Codes stellen beispielsweise die Verbindungsinformationen zum TAM 5 bereit. Diese Informationen stellen zudem die Informationen zum Verbindungsaufbau und zum Anfragen des Benutzerzertifikats in einer Zertifizierungsstelle 4 auf Basis eines Schlüsselpaars 11, beispielsweise ein SCEP-OTP, dar. Durch die Verwendung von QR-Codes und der damit verbundenen optischen Informationsübertragung an das mobile Endgerät 2 ist ein Mitschneiden der Funk-Kommunikation 6 wirkungslos. Alternativ können die Informationen der Registrierungsstelle 3 auch über das Netzwerk 13 an das Endgerät 1 übertragen werden und von dort an das mobile Endgerät 2 übertragen werden. Weiterhin alternativ können die Informationen der Regierungsstelle 3 auch über ein Mobilfunknetz (nicht dargestellt) oder ein alternatives Breitbandnetz, bspw. WLAN, direkt an das mobile Endgerät 2 übertragen werden. Alternativ können auch nur erste Teile der Informationen der Registrierungsstelle 3 über den QR-Code empfangen werden, wobei weitere Teile der Informationen der Regierungsstelle 3 über das Mobilfunknetz/Breitbandnetz oder das Netzwerk 13 an das mobile Endgerät 2 übertragen werden. The system also includes a registry 3, on which a registration application 10 is set up. The terminal 1 and the registration point 3 are, for example, objects of the same network 13. The communication between the terminal 1 and the registration point 3 takes place, for example, via a wired connection, such as LAN, or wirelessly via WLAN or a broadband mobile connection, such as LTE. For example, the registration authority 3 is set up as a self-administration portal to allow a user to set up the registration process. Here, information for an installation of the TA 8 and the CP 9 can be retrieved, should the network 13 not provide this information otherwise. In the registration office 3, the authorization of the user is checked as to whether he is ever released for the use of the terminal 1. The registrar 3 transmits the necessary configuration data, including a SCEP-OTP of the certification authority required for generating an associated user certificate, to the mobile terminal 2 by means of a QR code Terminal 2 has a camera (not shown) to detect the QR code. The QR code is then evaluated by means of a processor of the mobile terminal 2 and thus receive the information of the QR code. For example, the information of the QR code provides the connection information to the TAM 5. This information also represents the information for establishing a connection and requesting the user certificate in a certification authority 4 on the basis of a key pair 11, for example a SCEP-OTP. The use of QR codes and the associated optical information transmission to the mobile terminal 2 a recording of the radio communication 6 ineffective. Alternatively, the information of the registration office 3 can also be transmitted via the network 13 to the terminal 1 and transmitted from there to the mobile terminal 2. Furthermore, alternatively, the information of the government agency 3 via a mobile network (not shown) or an alternative broadband network, for example. WLAN, are transmitted directly to the mobile terminal 2. Alternatively, only first parts of the information of the registration office 3 can be received via the QR code, with further parts of the information of the government office 3 being transmitted via the mobile radio network / broadband network or the network 13 to the mobile terminal 2.
Das System umfasst zudem eine Zertifizierungsstelle 4, englisch Certificate Authority, kurz CA 4, also eine Instanz, die digitale Zertifikate, so auch das Benutzerzertifikat 14, herausgibt. Ein digitales Zertifikat dient dazu, den rechtmäßigen Besitz eines Schlüssels nachzuweisen und so zu garantieren, dass die im Zertifikat genannte Identität authentisch ist. Diese Zuordnung wird von der Zertifizierungsstelle 4 beglaubigt, indem sie sie mit ihrer eigenen digitalen Unterschrift (=Signatur) versieht. The system also includes a certification authority 4, English Certificate Authority, or CA 4 for short, ie an entity issuing digital certificates, including user certificate 14. A digital certificate serves to prove the legitimate possession of a key and thus to guarantee that the identity named in the certificate is authentic. This assignment is certified by the certification body 4 by providing it with its own digital signature (= signature).
Die im erfindungsgemäßen System verwendeten digitalen Zertifikate 14 enthalten kryptografische Schlüssel und Zusatzinformationen, die zur Authentifizierung des Benutzers und auch zur Verschlüsselung und Entschlüsselung vertraulicher Daten dienen, die sodann über das Netzwerk 13 oder auch das Mobilfunknetz oder alternative Breitbandnetze verbreitet werden. Als Zusatzinformationen sind zum Beispiel Gültigkeitsdauer, Verweise auf Zertifikatsperrlisten etc. enthalten, die durch die CA 4 mit in das Zertifikat 14 eingebracht werden. Die Aufgabe der CA 4 ist es, diese digitalen Benutzerzertifikate 14 herauszugeben und zu überprüfen. Sie trägt dabei die Verantwortung für die Bereitstellung, Zuweisung und Integritätssicherung der von ihr ausgegebenen Zertifikate. Damit bildet sie den Kern der Public-Key- Infrastruktur, kurz PKI. The digital certificates 14 used in the system according to the invention contain cryptographic keys and additional information which serve to authenticate the user and also to encrypt and decrypt confidential data, which are then distributed over the network 13 or also the mobile radio network or alternative broadband networks. As additional information, for example, validity period, references to certificate revocation lists, etc. are included, which are introduced by the CA 4 in the certificate 14. The role of the CA 4 is to issue and verify these digital user certificates 14. She wears the Responsible for the provision, allocation and integrity of the certificates issued by it. This forms the core of the public-key infrastructure, PKI for short.
Die CA 4 ist nicht zwangsläufig Teil des Netzwerks 13 und kann eine externe Instanz sein. Die CA 4 stellt das Benutzerzertifikat 14 für das im mobilen Endgerät 2 generierte Schlüsselpaar 1 1 aus. Dabei verlässt der vertrauliche Schlüssel, auch privater Schlüssel genannt, nicht das TEE des mobilen Endgeräts 2. Die CA 4 erstellt das Zertifikat 14 und gibt dieses an das mobile Endgerät 2 zurück. Für die Verteilung wird das SCEP verwendet. The CA 4 is not necessarily part of the network 13 and may be an external entity. The CA 4 issues the user certificate 14 for the key pair 1 1 generated in the mobile terminal 2. In this case, the confidential key, also called a private key, does not leave the TEE of the mobile terminal 2. The CA 4 creates the certificate 14 and returns it to the mobile terminal 2. The SCEP is used for the distribution.
Das System umfasst zudem ein Verwaltungssystem 5, englisch Trusted Application Manager, kurz TAM 5. Dieser TAM 5 ist für den Aufbau eines sicheren Kanals in das TEE des mobilen Endgeräts 2 verantwortlich. So können Daten an das mobile Endgerät 2 übertragen werden, ohne dass diese vom Betriebssystem des mobilen Endgeräts 2 abgehört werden können. The system also includes a management system 5, English Trusted Application Manager, TAM 5 short This TAM 5 is responsible for establishing a secure channel in the TEE of the mobile terminal 2. Thus, data can be transmitted to the mobile terminal 2 without being able to be intercepted by the operating system of the mobile terminal 2.
Der TAM 5 registriert die TA 8 und prüft die Lizenz der TA 8 mittels einer damit verbundenen Lizenzvergabestelle 7. Der TAM 5 ist ebenfalls dazu in der Lage, das im mobilen Endgerät 2 zu verwendende Schlüsselpaar 1 1 zu generieren und in der TA abzulegen, sollte die TA 8 dazu nicht eingerichtet sein, beispielsweise bei Verwendung von RSA Schlüsseln anstelle von bislang in TEE generierbaren Elliptische-Kurven-Kryptografie-, kurz ECC-, Schlüsseln. Die Kommunikation zwischen TA 8 und TAM 5 ist kryptografisch gesichert. The TAM 5 registers the TA 8 and checks the license of the TA 8 by means of an associated Lizenzvergabestelle 7. The TAM 5 is also able to generate in the mobile terminal 2 to be used key pair 1 1 and store in the TA should the TA 8 to be set up, for example, when using RSA keys instead of previously generated in TEE elliptic curve cryptography, short ECC keys. The communication between TA 8 and TAM 5 is cryptographically secured.
Das System gemäß Fig.2 umfasst demnach eine PKI, bestehend aus generierten Schlüsselpaaren 11 und mittels Zertifizierungsstelle 4 erzeugten Benutzerzertifikaten 14. Eine Registrierungsstelle 3 stellt die zur Initialisierung von TA 8 und CP 9 benötigten Informationen bereit. Dazu wird eine Registrierungsanwendung 10 verwendet. Die TA 8 ist in einem TEE des mobilen Endgeräts 2 welche mittels TAM 5 und Lizenzvergabestelle 7 konfigurierbar ist. Die Kommunikation 6 zwischen Endgerät 1 und mobilem Endgerät 2 ist BLE-basiert. The system according to FIG. 2 therefore comprises a PKI consisting of generated key pairs 11 and user certificates 14 generated by means of certification authority 4. A registration authority 3 provides the information required for initializing TA 8 and CP 9. For this purpose, a registration application 10 is used. The TA 8 is in a TEE of the mobile terminal 2 which is configurable by means of TAM 5 and licensing authority 7. The communication 6 between terminal 1 and mobile terminal 2 is BLE-based.
In Fig.3 ist ein zweites Ausfuhrungsbeispiel eines erfindungsgemäßen Systems zum Authentifizieren eines Benutzers an einem Endgerät 1 gezeigt. Das System gemäß Fig.3 entspricht in Gänze dem System gemäß Fig.2 und es wird nachfolgend lediglich auf die Unterschiede zwischen diesen Systemen hingewiesen. FIG. 3 shows a second exemplary embodiment of a system according to the invention for authenticating a user to a terminal 1. The system according to FIG. 3 completely corresponds to the system according to FIG. 2 and only the differences between these systems are referred to below.
In Fig.3 sind weitere Server-Dienste 15 dargestellt, die für das Protokollieren der aufgetretenen Ereignisse sowie für die Kommunikation mit Dritt-Systemen verwendet werden können. So können beispielsweise die erstellten Zertifikate 14 in ein Card-Management-System, kurz CMS, übertragen werden, so dass die Anmeldeberechtigung auch direkt vom Netzwerk 13 entzogen werden kann. Als weitere Option kann bei einer online Anmeldung über die TA 8 und/oder das CP 9 ein OTP generiert und sicher verschlüsselt in der TA 8 und dem Server 15 gespeichert werden. Sollte der Benutzer offline sein und keinen Zugriff auf das mobile Endgerät 2 haben, kann über das erfindungsgemäße System, beispielsweise mittels einer Auskunftsstelle (Help-Desk) oder die Registrierungsstelle 3 das OTP - nach hinreichender Identifizierung des Benutzers - erfragt werden, um sich anzumelden. FIG. 3 shows further server services 15 that can be used for logging the events that have occurred as well as for communication with third-party systems. So For example, the created certificates 14 can be transferred to a card management system, in short CMS, so that the logon authorization can also be withdrawn directly from the network 13. As an additional option, in the case of an online registration via the TA 8 and / or the CP 9, an OTP can be generated and securely stored encrypted in the TA 8 and the server 15. Should the user be offline and have no access to the mobile terminal 2, the system according to the invention, for example by means of an information center (help desk) or the registration point 3 OTP - after sufficient identification of the user - to be asked to log in.
Zusätzlich zu dem in Fig.2 gezeigten System wird hierbei die Historie über das Schlüsselpaar 1 1 des Benutzers in der TA 8 abgespeichert. Diese Historie wird von der Registrierungsstelle 3, dem weiteren Server 15 oder der Zertifizierungsstelle 4 abgefragt. Diese Kommunikation ist basierend auf einem Public-Key Cryptography Standard, kurz PKCS, also einem Standard für asymmetrische Kryptographie, beispielsweise einer PKCS#11 Schnittstelle oder einem Minitreiber oder einem CMP-Protokoll, welches der weitere Server 15 unterstützen sollte. Da sodann private Schlüssel der TA 8 zu transportieren sind, sind verschiedene Szenarien a) bis c) dafür denkbar: a) Die Registrierungsstelle 3 erhält die Schlüsselhistorie von dem weiteren Server 15 als PKCS#12 Datei und verschlüsselt dieses mit dem öffentlichen Schlüssel des Benutzerzertifikats 14. Die TA 8 verbindet sich mit der Registrierungsstelle 3 in einer TLS-Sitzung. Die TA 8 lädt die verschlüsselte PKCS#12 Datei herunter, entschlüsselt diese Datei mit dem privaten Schlüssel des Schlüsselpaars 11 und speichert die Datei im TEE des mobilen Endgeräts 2. b) Die Registrierungsstelle 3 erhält die Schlüsselhistorie von dem weiteren Server 15 als PKCS#12 Datei und sendet diese als PUSH-Nachricht zum Endgerät 1 in verschlüsselter Form, wobei dazu der kryptografische Schlüssel während der Initialisierungsphase der TA 8 verwendet wird. c) Die Registrierungsstelle 3 erhält die Schlüsselhistorie von dem weiteren Server 15 als PKCS#12 Datei und teilt diese Datei in verschiedene Teile, um als QR-Code an das mobile Endgerät 2 übertragen zu werden. Die Erfassung des QR-Codes mittels Kamera des mobilen Endgeräts 2 erfolgt gleichermaßen, wie in der Initialisierungsphase des Systems zum Bereitstellen der Informationen der Registrierungsstelle 3. Wichtig ist hierbei, dass die Informationen verschlüsselt werden mit dem öffentlichen Schlüssel des Benutzerzertifikats 11 und erst danach in einen QR- Code gewandelt werden. Die Kamera des mobilen Endgeräts 2 erfasst die Informationen des QR- Codes und entschlüsselt die Informationen mit dem privaten Schlüssel des Schlüsselpaars 11 zur Speicherung in der TEE. In addition to the system shown in FIG. 2, the history is stored in TA 8 via the user's key pair 1 1. This history is requested by the registration office 3, the further server 15 or the certification authority 4. This communication is based on a public-key cryptography standard, in short PKCS, ie a standard for asymmetric cryptography, for example a PKCS # 11 interface or a mini-driver or a CMP protocol, which the further server 15 should support. Since private keys of the TA 8 are then to be transported, different scenarios a) to c) are conceivable: a) The registration center 3 receives the key history from the further server 15 as a PKCS # 12 file and encrypts this with the public key of the user certificate 14 The TA 8 connects to the registrar 3 in a TLS session. The TA 8 downloads the encrypted PKCS # 12 file, decrypts this file with the private key of the key pair 11, and stores the file in the TEE of the mobile terminal 2. b) The registry 3 obtains the key history from the other server 15 as PKCS # 12 File and sends this as PUSH message to the terminal 1 in encrypted form, using the cryptographic key during the initialization phase of the TA 8 is used. c) The Registrar 3 obtains the key history from the other server 15 as a PKCS # 12 file and divides this file into various parts to be transmitted to the mobile terminal 2 as a QR code. The detection of the QR code by means of a camera of the mobile terminal 2 takes place in the same way as in the initialization phase of the system for providing the information of the registration authority 3. It is important here that the information is encrypted with the public key of the user certificate 11 and only then QR code to be converted. The camera of the mobile terminal 2 acquires the information of the QR Codes and decrypts the information with the private key of key pair 11 for storage in the TEE.
In Fig.4 wird ein Ausführungsbeispiel eines Verfahrensablaufs zum erfindungsgemäßen Einrichten der Authentifizierung eines Benutzers zum Anmelden des Benutzers an einem Endgerät 1 mittels seinem mobilem Endgerät 2 gezeigt. FIG. 4 shows an exemplary embodiment of a method sequence for establishing the authentication of a user according to the invention for logging on the user at a terminal 1 by means of his mobile terminal 2.
Das Verfahren gemäß Fig.4 weist das Endgerät 1, das mobile Endgerät 2, die Registrierungsstelle 3, die Zertifizierungsstelle 4 (CA 4) und das Verwaltungssystem 5 (TAM 5) gemäß den zuvor beschriebenen Fig.2 und Fig.3 auf. The method according to FIG. 4 comprises the terminal 1, the mobile terminal 2, the registration point 3, the certification center 4 (CA 4) and the management system 5 (TAM 5) according to FIGS. 2 and 3 described above.
In einem Schritt a wird der Benutzer in der Registrierungsstelle 3 für das System freigeschaltet. Die Identität des Benutzers kann dabei aus dem Verzeichnisdienst 12 übernommen werden. Die Registrierungsstelle 3 verbindet sich im Schritt a' zudem mit der CA 4, um für das Beantragen des Benutzerzertifikats benötigten Informationen abzurufen. Zusätzlich veranlasst die Registrierungsstelle 3 die Installation des CP 9 im Endgerät 1 gemäß Schritt b, beispielsweise über das Netzwerk 13, sofern dieser über andere Methoden nicht bereits auf dem Endgerät installiert wurde. Zusätzlich wird im Schritt c die TA 8 auf dem mobilen Endgerät 2 installiert. In a step a, the user is enabled in the registry 3 for the system. The identity of the user can be taken from the directory service 12. The registry 3 also connects to the CA 4 in step a 'to retrieve information needed to request the user certificate. In addition, the registry 3 causes the installation of the CP 9 in the terminal 1 according to step b, for example via the network 13, if it has not already been installed on the terminal via other methods. In addition, the TA 8 is installed on the mobile terminal 2 in step c.
Die CA 4 überträgt in Schritt a' ein SCEP-OTP für die Erstellung des Benutzerzertifikats 14 zurück an die Registrierungsstelle 3. Alternativ kann das SCEP-OTP auch direkt von der CA 4 an das mobile Endgerät 2 übertragen werden. Die Schritte a, b und c können zeitgleich oder hintereinander ausgeführt werden. Die Registrierungsstelle 3 erstellt im Schritt d einen QR-Code. Dieser QR-Code beinhaltet Informationen für das mobile Endgerät 2. Die Informationen können ein Bündel an Informationen darstellen, beinhaltend das SCEP-OTP von der CA 4, Verbindungsinformationen zur CA 4 und Verbindungsinformationen zum TAM 5. Diese Informationen können ggf. auch in getrennte QR- Codes gewandelt und dem mobilen Endgerät 2 bereitgestellt werden. Der QR-Code oder die QR-Codes werden im Schritt e von dem mobilen Endgerät 2 durch Erfassen des QR-Codes mittels Kamera empfangen. Alternativ können die im QR-Code enthaltenen Informationen auch über andere Wege wie z.B. das Netzwerk 13 oder in anderen Formaten übertragen werden. Sodann wird die TA 8 eingerichtet, wobei der QR-Code ausgelesen wird, um die TA 8 einzurichten. Während des Einrichten-Schritt e verbindet sich die TA 8 auf Basis der im QR-Code enthaltenen Verbindungsinformationen mit dem TAM 5 im Schritt f. Im TAM 5 wird die Lizenz der TA 8 geprüft und aktiviert. Durch die Aktivierung gemäß Schritt f wird in der TA 8 ein Schlüsselpaar 11 generiert (Schritt g). Das Schlüsselpaar 11 wird dabei entweder in der TA8 bzw. der TEE des mobilen Endgeräts 2 selbst generiert oder bei einer fehlenden Funktionalität in der TEE durch den TAM 5 generiert und der TA 8 bereitgestellt. Während dem Schritt g wird zudem ein Zertifikat 14 für das Schlüsselpaar 11 beantragt (Schritt h) und dazu mittels des im QR-Code enthaltenen Verbindungsinformation eine Verbindung zur CA4 aufgebaut. Mittels des im QR-Code enthaltenen SCEP-OTP wird in der CA4 ein Zertifikat 14 erstellt, siehe Schritt i und das Zertifikat 14 an die TA 8 übertragen und optional in der TEE abgelegt (Schritt j). Im Schritt e oder nach dem Schritt j vergibt der Benutzer ein Zugangspasswort oder PIN für die TA 8. Alternativ kann der Benutzer biometrische Sicherungsverfahren wie z.B. Fingerabdrücke verwenden, um einen biometrischen Wert abzufragen, der im Verfahren hinterlegt ist. The CA 4 transmits a SCEP-OTP for the creation of the user certificate 14 back to the registration site 3 in step a '. Alternatively, the SCEP-OTP can also be transmitted directly from the CA 4 to the mobile terminal 2. The steps a, b and c can be performed simultaneously or consecutively. The registration office 3 creates a QR code in step d. This QR code includes information for the mobile terminal 2. The information may represent a bundle of information, including the SCEP-OTP from the CA 4, connection information to the CA 4, and connection information to the TAM 5. This information may also be divided into separate QR - Codes converted and the mobile terminal 2 are provided. The QR code or the QR codes are received by the mobile terminal 2 in step e by detecting the QR code by means of a camera. Alternatively, the information contained in the QR code can also be transmitted via other means such as the network 13 or in other formats. Then the TA 8 is set up, with the QR code read out to set up the TA 8. During the setup step e, the TA 8 connects to the TAM 5 in step f based on the connection information contained in the QR code. In the TAM 5 the license of the TA 8 is checked and activated. Through the activation according to step f, a key pair 11 is generated in the TA 8 (step g). The key pair 11 is generated either in the TA8 or the TEE of the mobile terminal 2 itself or generated by the TAM 5 in the case of missing functionality in the TEE and the TA 8 is provided. During the step g, a certificate 14 is also requested for the key pair 11 (step h) and, by means of the connection information contained in the QR code, establishes a connection to the CA4. By means of the SCEP-OTP contained in the QR code, a certificate 14 is created in the CA4, see step i and the certificate 14 is transmitted to the TA 8 and optionally stored in the TEE (step j). In step e or after step j, the user assigns an access password or PIN for the TA 8. Alternatively, the user may use biometric backup methods such as fingerprints to retrieve a biometric value deposited in the method.
Wenn im Schritt b die CP 9 noch nicht installiert wurde, so veranlasst die Registrierungsstelle 3 über den Verzeichnisdienst 14 die Installation nach dem Schritt j. If, in step b, the CP 9 has not yet been installed, the registry 3 causes the directory service 14 to install after step j.
Gemäß einer ersten Ausführungsvariante des Verfahrens erstellt die CA 4 zudem ein Ersatz- Zertifikat, welches im Schritt j' in einem sicheren Speicherbereich des Endgeräts 1 kryptografisch gesichert abgelegt wird. Die kryptografischen Schlüssel für dieses Zertifikat werden auf dem Endgerät 1 erzeugt und für die Zertifikatserstellung an die CA 4 übertragen. Diese Beantragung kann über SCEP, oder ein anderes Verfahren erfolgen. Das Ersatz-Zertifikat wird bevorzugt im TPM des Endgeräts 1 abgelegt. Diese erste Ausführungsvariante wird dann angewendet, wenn eine Anmeldung am Endgerät 1 ausschließlich mittels eines Zertifikats ermöglicht werden soll. According to a first embodiment of the method, the CA 4 also creates a replacement certificate, which is stored cryptographically secured in step j 'in a secure memory area of the terminal 1. The cryptographic keys for this certificate are generated on the terminal 1 and transmitted to the CA 4 for certificate generation. This application can be made via SCEP, or another method. The replacement certificate is preferably stored in the TPM of the terminal 1. This first variant embodiment is used when a registration on the terminal 1 is to be made possible exclusively by means of a certificate.
Der Benutzer kann sich nun am Endgerät 1 mittels seines mobilen Endgeräts 2 anmelden. Dazu wird eine Bluetooth-LE Verbindung 6 zwischen dem Endgerät 1 und dem mobilen Endgerät 2 aufgebaut. Für die Einbettung in Windows™ sind eine Reihe von Bibliotheken zu verwenden, insbesondere die Standardschnittstellen„common application programming interface" version 1 und 2, kurz: CAPI vi & v2. Der CP 9 wird zusätzlich installiert, um den Anmeldeprozess des Endgeräts 1 für eine Authentifizierung mittels mobilem Endgerät 2 zu ermöglichen. Der CP 9 steuert und überwacht die Verbindung zum mobilen Endgerät 2, sodass kein unsicherer Minitreiber benötigt wird, der es einem Angreifer ermöglichen könnte, die Kommunikation zwischen dem Endgerät 1 und dem mobilen Endgerät 2 zu unterbinden oder abzuhören. Nach der erfolgreichen Anmeldung durch Authentifizierung des Benutzerzertifikats der TA 8 durch das Endgerät 1, insbesondere dem zentralen Verzeichnisdienst 12, wird im Schritt aa durch den CP 9 direkt ein OTP mit der Registrierungsstelle 3 ausgehandelt und (im Schritt ab) an diese Registrierungsstelle 3 gesendet und dort hinterlegt. Diese Übertragung im Schritt ab erfolgt verschlüsselt. Optional kann im Schritt ac auch das Ersatz-Zertifikat in der Registrierungsstelle 3 kryptografisch gesichert abgelegt werden. Das OTP bzw. das Ersatz-Zertifikat kann auch in dem Verzeichnisdienst 12 abgespeichert werden. Dieses OTP wird gemäß der Ausgestaltung der Fig.l bis Fig.3 verwendet, um einen Benutzer an dem System anzumelden, sollte das mobile Endgerät 2 nicht vorhanden sein, wobei die Zwei-Faktor-Authentifizierung weiterhin eingehalten wird. Sollte in Schritt aa keine Verbindung zum Netzwerk 13 bestehen, wird dieser Schritt ausgeführt, wenn die Verbindung wiederhergestellt wurde. The user can now log on to the terminal 1 by means of his mobile terminal 2. For this purpose, a Bluetooth LE connection 6 is established between the terminal 1 and the mobile terminal 2. For embedding in Windows ™, a number of libraries are to be used, in particular the standard interfaces "common application programming interface" version 1 and 2, in short: CAPI vi & v2 The CP 9 is additionally installed to control the login process of the terminal 1 for a Authentication by means of mobile terminal 2. The CP 9 controls and monitors the connection to the mobile terminal 2, so that no unsafe mini-driver is needed, which could allow an attacker to prevent or intercept the communication between the terminal 1 and the mobile terminal 2 , After successful registration by authentication of the user certificate TA 8 by the terminal 1, in particular the central directory service 12, in step aa by the CP 9 directly OTP with the registry 3 and negotiated (in step ab) to this registry 3 and sent deposited there. This transfer in step is done encrypted. Optionally, in step ac, the replacement certificate can also be stored cryptographically secured in the registry 3. The OTP or the replacement certificate can also be stored in the directory service 12. This OTP is used in accordance with the embodiment of FIGS. 1 to 3 in order to register a user to the system if the mobile terminal 2 is not present, while the two-factor authentication is still adhered to. If there is no connection to network 13 in step aa, this step will be performed when the connection is reestablished.
In Fig.5 ist ein Ausführungsbeispiel eines Verfahrensablaufs zum erfindungsgemäßen Anmelden eines Benutzers an einem Endgerät 1 mittels mobilen Endgeräts 2 gezeigt. Dabei ist bevorzugt das in Fig.4 gezeigte Verfahren angewendet worden, um das System einzurichten. Das Verfahren gemäß Fig.5 verwendet dabei ebenfalls das in den Fig.2 und Fig.3 gezeigte System. FIG. 5 shows an exemplary embodiment of a method sequence for registering a user according to the invention on a terminal 1 by means of a mobile terminal 2. In this case, the method shown in Figure 4 has been preferably used to set up the system. The method according to FIG. 5 likewise uses the system shown in FIGS. 2 and 3.
Gemäß dem Schritt k ist ein gesperrtes Endgerät 1 vorgesehen, welches auf eine Benutzerauthentifizierung wartet, um entsperrt zu werden. Dabei ist auf dem Endgerät 1 der CP 9 installiert und ein OTP gemäß einer letztmaligen Anmeldung des Benutzers wurde hinterlegt. According to the step k, there is provided a locked terminal 1 which waits for user authentication to be unlocked. In this case, the CP 9 is installed on the terminal 1 and an OTP according to a last login of the user has been deposited.
Im Schritt 1 nähert sich der Benutzer dem Endgerät 1 mit seinem mobilen Endgerät 2. Der Benutzer startet die TA 8 und gibt eine PIN ein, um die Authentifizierung zu starten. Es wird eine Bluetooth- Verbindung 6 zwischen dem Endgerät 1 und dem mobilen Endgerät 2 aufgebaut. Alternativ zur PIN können auch biometrische Sensoren Verwendung finden, um eine biometrische Authentifizierung zu nutzen. In step 1, the user approaches the terminal 1 with his mobile terminal 2. The user starts the TA 8 and inputs a PIN to start the authentication. A Bluetooth connection 6 is established between the terminal 1 and the mobile terminal 2. As an alternative to the PIN, biometric sensors can also be used to make use of biometric authentication.
Im Schritt m erkennt das Endgerät 1 das mobile Endgerät 2 durch den installierten CP 9 und startet die Anmeldeprozedur aufgrund der gestarteten TA 8 im mobilen Endgerät 2. Im Schritt n wird eine Verbindung zum Verzeichnisdienst 12 des Endgeräts 1 aufgebaut. Der Verzeichnisdienst 12 ist dabei eine Netzwerkkomponente des Netzwerks 13. Ist die Verbindung zum Netzwerk nicht verfügbar wird versucht den Benutzer auf Basis der auf dem Endgerät 1 hinterlegten Daten zu authentifizieren (Offline- Anmeldung). Im Schritt o generiert der Verzeichnisdienst 12 eine sogenannte Challenge beispielsweise gemäß dem Challenge Handshake Authentication Protocol, kurz CHAP. Das CHAP ist ein Authentifizierungsprotokoll. Im Schritt n initiiert das Endgerät 1 eine Verbindung zum Verzeichnisdienst 12. Der Verzeichnisdienst erzeugt die Challenge im Schritt o. Die Challenge ist ein zufälliger Wert, der an das Endgerät 1 im Schritt p übertragen wird. In step m, the terminal 1 recognizes the mobile terminal 2 through the installed CP 9 and starts the registration procedure based on the started TA 8 in the mobile terminal 2. In step n, a connection to the directory service 12 of the terminal 1 is established. In this case, the directory service 12 is a network component of the network 13. If the connection to the network is not available, the user is attempted to authenticate on the basis of the data stored on the terminal 1 (offline login). In step o, the directory service 12 generates a so-called challenge, for example, according to the Challenge Handshake Authentication Protocol, CHAP for short. The CHAP is an authentication protocol. In step n, the terminal 1 initiates a connection to the directory service 12. The directory service generates the challenge in step o. The challenge is a random value which is transmitted to the terminal 1 in step p.
Das Endgerät 1 sendet die Challenge im Schritt q an das mobile Endgerät 2 via der BLE 6. Die TA 8 signiert die Challenge im Schritt u. Das Signieren ist ein asymmetrisches Kryptoverfahren, bei dem das mobile Endgerät 2 mit Hilfe des geheimen Signaturschlüssels (dem Private Key) des Schlüsselpaars 11 zu der Challenge einen weiteren Wert berechnet. Im Schritt v überträgt das mobile Endgerät 2 die signierte Challenge an das Endgerät 1 zurück. Das Endgerät 1 leitet die signierte Challenge im Schritt w an den Verzeichnisdienst 12 weiter. The terminal 1 sends the challenge in step q to the mobile terminal 2 via the BLE 6. The TA 8 signs the challenge in step u. The signing is an asymmetric cryptographic method in which the mobile terminal 2 calculates another value using the secret signature key (the private key) of the key pair 11 to the challenge. In step v, the mobile terminal 2 transmits the signed challenge back to the terminal 1. The terminal 1 forwards the signed challenge to the directory service 12 in step w.
Im Schritt x prüft der Verzeichnisdienst 12 die Signatur. Dazu wird der während der Signatur berechnete weitere Wert überprüft, indem mit Hilfe des öffentlichen Verifikationsschlüssels (dem Public Key) des Schlüsselpaars 11 die nicht-abstreitbare Urheberschaft und Integrität der Challenge verifiziert wird. Ggf. wird gemäß Schritt y auch die Gültigkeit des Zertifikats 14 in der Zertifizierungsstelle 4 abgefragt. Ist das Zertifikat 14 gültig und die Signatur korrekt, ist der Authentifizierungsversuch erfolgreich. Sodann wird das Endgerät 1 im Schritt z entsperrt und die Anmeldung des Benutzers mittels seines mobilen Endgeräts 2 ist erfolgt. In step x, the directory service 12 checks the signature. For this purpose, the additional value calculated during the signature is checked by verifying the non-contestable authorship and integrity of the challenge with the aid of the public verification key (the public key) of the key pair 11. Possibly. In step y, the validity of the certificate 14 in the certification authority 4 is also queried. If the certificate 14 is valid and the signature correct, the authentication attempt is successful. Then, the terminal 1 is unlocked in step z and the registration of the user by means of his mobile terminal 2 is done.
Nach der erfolgreichen Anmeldung wird - wie in den Schritten aa und ab der Fig.4 - im Schritt aa der Fig.5 durch den CP 9 ein neues OTP mit der Registrierungsstelle 3 ausgehandelt und (im Schritt ab) an diese Registrierungsstelle 3 und ggf. den Verzeichnisdienst 12 gesendet und dort abgelegt, sofern noch kein OTP existierte oder aus einem anderen Grund ein neues OTP erzeugt werden muss. Diese Übertragung im Schritt ab erfolgt verschlüsselt. Dieses neue OTP wird gemäß der Ausgestaltung der Fig.l bis Fig.3 verwendet, um einen Benutzer an dem System anzumelden, sollte das mobile Endgerät 2 nicht vorhanden sein, wobei die Zwei-Faktor-Authentifizierung weiterhin eingehalten wird. After the successful logon - as in steps aa and ab of FIG. 4 - in step aa of FIG. 5 a new OTP is negotiated with the registration site 3 by the CP 9 and (in step ab) to this registration point 3 and, if necessary, the directory service 12 is sent and stored there, if no OTP existed or for another reason, a new OTP must be generated. This transfer in step is done encrypted. This new OTP is used according to the embodiment of FIGS. 1 to 3 to register a user to the system should the mobile terminal 2 not be present, while still maintaining two-factor authentication.
In den Fig. 6 und 7 werden nun zwei erfindungsgemäße Szenarien beschrieben, bei dem der Benutzer 16 sein mobiles Endgerät 2 nicht bei sich führt, beispielsweise weil er es verloren hat oder es defekt ist, er sich aber dennoch am Endgerät 1 über eine Zwei-Faktor-Authentifizierung anmelden sollte. Dazu sollte zumindest das Verfahren gemäß Fig.4 bereits abgeschlossen sein. In Fig.6 ist im Schritt ad - wie im Schritt k in Fig.5 - das Endgerät 1 gesperrt und wartet auf eine Benutzerauthentifizierung, um entsperrt zu werden. Dabei ist auf dem Endgerät 1 der CP 9 installiert und ein OTP gemäß einer letztmaligen Anmeldung des Benutzers wurde hinterlegt. Im System gemäß Fig.6 ist eine Anmeldung eines Benutzers an einem Endgerät ausschließlich mittels eines Zertifikats möglich. FIGS. 6 and 7 now describe two scenarios according to the invention, in which the user 16 does not carry his mobile terminal 2 with him, for example because he has lost it or it is defective, but he nevertheless has access to the terminal 1 via a two-terminal system. Should log factor authentication. For this purpose, at least the method according to FIG. 4 should already be completed. In Fig. 6, in step ad, as in step k in Fig. 5, the terminal 1 is disabled and waits for user authentication to be unlocked. In this case, the CP 9 is installed on the terminal 1 and an OTP according to a last login of the user has been deposited. In the system according to FIG. 6, a user can log on to a terminal exclusively by means of a certificate.
Der Benutzer kontaktiert im Schritt ae eine Auskunftsstelle 17, und berichtet den Verlust/Defekt des mobilen Endgeräts 2. Die Auskunftsstelle 17, beispielsweise ein weiterer Teil der Registrierungsstelle 3 oder ein Helpdesk oder ein Teil im weiteren Server 15 oder eine andere Instanz im Netzwerk 13, widerruft im Schritt af das bisherige Benutzerzertifikat 14 und fordert das OTP von der Registrierungsstelle 3 oder dem Verzeichnisdienst 12 im Schritt ag an. Das OTP wird dem Benutzer mündlich mitgeteilt, bspw. über eine Telefonverbindung. Alternativ kann das OTP auch über andere Geräte und Kommunikationsformen übertragen werden. Zudem wird der Anmeldevorgang im Endgerät 1 auf OTP-Eingabe umgestellt, beispielsweise automatisch durch den CP 9 oder eine Benutzereingabe in einer Anmelde-GUI. Der Benutzer gibt im Schritt ah das OTP am Endgerät 1 ein. Mittels dieses OTP wird ein Zugriff auf das Ersatz-Zertifikat im TPM des Endgeräts 1 frei geschaltet. Dieses Ersatz-Zertifikat wird anstelle des Benutzerzertifikats 14 verwendet, um die Challenge zu signieren. Es wird auf die Ausführungen zu Fig.l verwiesen. The user contacts an information point 17 in step ae and reports the loss / defect of the mobile terminal 2. The information point 17, for example a further part of the registration point 3 or a help desk or a part in the further server 15 or another instance in the network 13, in step af, revokes the previous user certificate 14 and requests the OTP from the registry 3 or the directory service 12 in step ag. The OTP is communicated verbally to the user, for example via a telephone connection. Alternatively, the OTP can also be transmitted via other devices and forms of communication. In addition, the logon process in the terminal 1 is converted to OTP input, for example automatically by the CP 9 or a user input in a logon GUI. The user enters the OTP on the terminal 1 in step ah. By means of this OTP, access to the replacement certificate in the TPM of the terminal 1 is enabled. This replacement certificate is used instead of the user certificate 14 to sign the challenge. Reference is made to the comments on Fig.l.
Die Schritte n bis z der Fig.6 entsprechen den Schritten n bis z gemäß der Fig.5, wobei anstelle dem Benutzerzertifikat 14 des mobilen Endgeräts 2 nunmehr das Ersatz-Zertifikat des TPM des Endgeräts 1 verwendet wird. The steps n to z of FIG. 6 correspond to the steps n to z according to FIG. 5, whereby instead of the user certificate 14 of the mobile terminal 2, the replacement certificate of the TPM of the terminal 1 is now used.
Nach der erfolgreichen Anmeldung z wird - wie in den Schritten aa und ab der Fig.4 - im Schritt aa der Fig.6 durch den CP 9 direkt ein neues OTP mit der Registrierungsstelle 3 ausgehandelt und (im Schritt ab) an diese Registrierungsstelle 3 und den Verzeichnisdienst 12 gesendet und dort abgelegt. Diese Übertragung im Schritt ab erfolgt verschlüsselt. Dieses neue OTP wird gemäß der Ausgestaltung der Fig.l bis Fig.3 verwendet, um einen Benutzer an dem Endgerät 1 anzumelden, sollte das mobile Endgerät 2 nicht vorhanden sein, wobei die Zwei-Faktor-Authentifizierung weiterhin eingehalten wird. Steht in Schritt aa die Verbindung zum Netzwerk nicht zur Verfügung wird dieser Schritt auf den Zeitpunkt verschoben, an dem die Verbindung wiedergegeben ist. After the successful logon z is - as in steps aa and from Fig.4 - in step aa of Figure 6 by the CP 9 directly a new OTP negotiated with the registry 3 and (in step ab) to this registry 3 and the directory service 12 sent and stored there. This transfer in step is done encrypted. This new OTP is used according to the embodiment of Fig.l to Fig.3 to register a user at the terminal 1, should the mobile terminal 2 not be present, the two-factor authentication is still adhered to. If the connection to the network is not available in step aa, this step is moved to the time the connection is played.
Fig.7 zeigt ein zweites erfindungsgemäßes Ausführungsbeispiel zur Anmeldung an einem Endgerät 1 ohne Vorhandensein des mobilen Endgeräts 2. In Fig.7 ist - wie im Schritt k in Fig.5 - im Schritt ad das Endgerät 1 gesperrt und wartet auf eine Benutzerauthentifizierung, um entsperrt zu werden. Dabei ist auf dem Endgerät 1 der CP 9 installiert und ein OTP gemäß einer letztmaligen Anmeldung des Benutzers wurde hinterlegt. Im System gemäß Fig.7 ist - im Gegensatz zu Fig.6 - eine Anmeldung eines Benutzers an einem Endgerät auch ohne Zertifikat möglich, wobei dennoch eine Zwei-Faktor- Authentifizierung realisiert werden muss. Der Benutzer kontaktiert im Schritt ae eine Auskunftsstelle 17, und berichtet den Verlust/Defekt des mobilen Endgeräts 2. Die Auskunftsstelle 17, beispielsweise ein weiterer Teil der Registrierungsstelle 3 oder ein Helpdesk oder ein Teil im weiteren Server 15 oder eine andere Instanz im Netzwerk 13, widerruft im Schritt af das bisherige Benutzerzertifikat 14 und fordert das OTP von der Registrierungsstelle 3 oder dem Verzeichnisdienst 12 im Schritt ag an. Das OTP wird dem Benutzer mündlich mitgeteilt, bspw. über eine Telefonverbindung. Zudem wird der Anmeldevorgang im Endgerät 1 auf OTP-Eingabe umgestellt, beispielsweise automatisch durch den CP 9 oder eine Benutzereingabe in einer Anmelde-GUI. Der Benutzer gibt im Schritt ah das OTP am Endgerät 1 ein. Bei erfolgreicher Eingabe wird nun im Schritt ai eine Anmeldemaske dargestellt und der Benutzer 16 aufgefordert, einen Benutzernamen und ein weiteres Passwort einzugeben. Diese Form der Anmeldung entspricht dem konventionellen Anmelden an einem Endgerät 1. Dieser Benutzername und das weitere Passwort werden anstelle des Benutzerzertifikats 14 verwendet, um sich am Verzeichnisdienst 12 anzumelden. Alternativ zur manuellen Eingabe können die Informationen Benutzername und weiteres Passwort im geschützten Speicherbereich des Endgeräts (TPM) abgelegt werden und von dort unter Verwendung des OTP als Sicherungsmechanismus abgerufen werden. Dies ermöglicht die Nutzung weitaus komplexerer Passwörter, da der Benutzer sich dieses nicht merken muss. 7 shows a second exemplary embodiment according to the invention for logging onto a terminal 1 without the presence of the mobile terminal 2. In FIG. 7, as in step k in FIG. 5, in step ad the terminal 1 is locked and waits for user authentication unlocked to become. In this case, the CP 9 is installed on the terminal 1 and an OTP according to a last login of the user has been deposited. In the system according to FIG. 7, in contrast to FIG. 6, it is possible to register a user at a terminal even without a certificate, whereby nevertheless a two-factor authentication must be realized. The user contacts an information point 17 in step ae and reports the loss / defect of the mobile terminal 2. The information point 17, for example a further part of the registration point 3 or a help desk or a part in the further server 15 or another instance in the network 13, in step af, revokes the previous user certificate 14 and requests the OTP from the registry 3 or the directory service 12 in step ag. The OTP is communicated verbally to the user, for example via a telephone connection. In addition, the logon process in the terminal 1 is converted to OTP input, for example automatically by the CP 9 or a user input in a logon GUI. The user enters the OTP on the terminal 1 in step ah. Upon successful entry, a login mask is now displayed in step ai and the user 16 is requested to enter a user name and another password. This form of registration corresponds to the conventional log on to a terminal 1. This user name and the further password are used instead of the user certificate 14 to log on to the directory service 12. As an alternative to manual entry, the user name and additional password information can be stored in the protected memory area of the terminal (TPM) and retrieved from there using the OTP as the backup mechanism. This allows the use of much more complex passwords because the user does not have to remember this.
Nach der erfolgreichen Anmeldung z wird - wie in den Schritten aa und ab der Fig.4 - im Schritt aa der Fig.6 durch den CP 9 direkt ein neues OTP mit der Registrierungsstelle 3 ausgehandelt und (im Schritt ab) an diese Registrierungsstelle 3 und den Verzeichnisdienst 12 gesendet und dort abgelegt. Diese Übertragung im Schritt ab erfolgt verschlüsselt. Dieses neue OTP wird gemäß der Ausgestaltung der Fig.l bis Fig.3 verwendet, um einen Benutzer an dem Endgerät 1 anzumelden, sollte das mobile Endgerät 2 nicht vorhanden sein, wobei die Zwei-Faktor-Authentifizierung weiterhin eingehalten wird. Im Anschluss an diese Szenarien gemäß Fig. 6 oder Fig.7 erhält der Benutzer ein neues mobiles Endgerät. Die Registrierungsstelle sendet erneut QR-Codes, um ein SCEP-OTP und Verbindungsinformationen zur CA 4 und dem TAM 5 an das neue mobile Endgerät 2 zu übertragen. Der Vorgang gleicht dem Schritt d) der Fig.4. Die Schritte e) bis j) gemäß der Fig.4 werden ebenfalls durchgeführt, auf eine Wiederholung wird aufgrund gleicher Vorgänge in den Schritten e) bis j) verzichtet. Ebenfalls wird gemäß der Schritte aa und ab ein neues OTP generiert und in der Registrierungsstelle 3 und /oder dem Verzeichnisdienst 12 hinterlegt. After the successful logon z is - as in steps aa and from Fig.4 - in step aa of Figure 6 by the CP 9 directly a new OTP negotiated with the registry 3 and (in step ab) to this registry 3 and the directory service 12 sent and stored there. This transfer in step is done encrypted. This new OTP is used according to the embodiment of Fig.l to Fig.3 to register a user at the terminal 1, should the mobile terminal 2 not be present, the two-factor authentication is still adhered to. Following these scenarios according to FIG. 6 or FIG. 7, the user receives a new mobile terminal. The registration office again sends QR codes to transmit a SCEP-OTP and connection information to the CA 4 and the TAM 5 to the new mobile terminal 2. The process is the same as step d) of FIG. The steps e) to j) according to the Fig.4 are also performed, a repetition is due to the same Operations in steps e) to j) omitted. Likewise, according to steps aa and ab, a new OTP is generated and stored in the registration office 3 and / or the directory service 12.
Nachfolgend wird ein Szenario beschrieben, bei dem der Benutzer im System gemäß der Fig.2 und Fig.3 und des Ablaufs gemäß der Fig.4 bei einer vergessenen PIN für die TA 8 und somit die TA 8 gesperrt bleibt. Dabei kontaktiert der Benutzer die Auskunftsstelle, welche ein neues Benutzerzertifikat bei der Registrierungsstelle 3 beauftragt. Die Registrierungsstelle 3 fordert sodann eine Benutzerzertifikats- Aktualisierung bei der CA 4 an, woraufhin die Schritte d) und e) wiederholt werden und im Rahmen des Schritts e) ein neuer PIN durch den Benutzer vergeben werden kann. Nachfolgend wird wiederum ein neues OTP gemäß der Schritte aa und ab der Fig.4 oder Fig.5 erzeugt und abgelegt. Das Zurücksetzen der PIN erfolgt alternativ über ein hierarchisch übergeordnetes Passwort, beispielsweise einer PUK. The following describes a scenario in which the user remains locked in the system according to FIGS. 2 and 3 and the sequence according to FIG. 4 with a forgotten PIN for the TA 8 and thus the TA 8. In this case, the user contacts the information center, which orders a new user certificate from the registration office 3. The registration authority 3 then requests a user certificate update at the CA 4, after which the steps d) and e) are repeated and a new PIN can be assigned by the user in the context of step e). Subsequently, a new OTP according to steps aa and from FIG. 4 or FIG. 5 is generated and stored again. The reset of the PIN is alternatively via a hierarchically superior password, such as a PUK.
Im Rahmen der Erfindung können alle beschriebenen und/oder gezeichneten und/oder beanspruchten Elemente beliebig miteinander kombiniert werden. In the context of the invention, all described and / or drawn and / or claimed elements can be combined with each other as desired.
BEZUGSZEICHENLISTE LIST OF REFERENCE NUMBERS
1 Endgerät  1 terminal
2 Mobiles Endgerät  2 mobile terminal
3 Registrierungsstelle, Selbstverwaltungsportal  3 registry, self-government portal
4 Zertifizierungsstelle, CA, Certification Authority 4 Certification Body, CA, Certification Authority
5 Sicheranwendungsverwaltung, TAM, Trusted Application Manager 5 Secure Application Management, TAM, Trusted Application Manager
6 Drahtlos-Verbindung, Bluetooth LE 6 wireless connection, Bluetooth LE
7 Lizenzvergabestelle, TLS  7 Licensing Office, TLS
8 Sichere Anwendung  8 Safe application
9 Berechtigungsanfrage-Routine, Credential Provider, CP 9 Authorization Request Routine, Credential Provider, CP
10 Registrierungsanwendung  10 registration application
11 Schlüsselpaar für Benutzerzertifikat  11 key pair for user certificate
12 Verzeichnisdienst, AD  12 directory service, AD
13 Netzwerk  13 network
14 Benutzerzertifikat 14 user certificate
15 Weitere Server-Dienste, bspw. Card-Management-Dienst  15 Further server services, eg card management service
16 Benutzer  16 users
a, a' Freischalten des Benutzers a, a 'Enable the user
b Installieren des CP b Installing the CP
c Installieren der sicheren Anwendung c Install the secure application
d Generieren Zugang zu CA und TAM d Generate access to CA and TAM
e Einrichten der sicheren Anwendung (Zugang + PIN), QR e Setting up the secure application (Access + PIN), QR
f Aktivieren der sicheren Anwendung f Enable the secure application
g Generieren eines krypto grafischen Schlüssels Generate a cryptographic key
h Generieren eines Zertifikatsantrags h Generate a certificate request
i Zertifikat erstellen Create a certificate
j Zertifikat ablegen j Save certificate
k Endgerät im gesperrten Zustand k Terminal in the locked state
1 Starten der sicheren Anwendung und Verbindungsaufbau zum Endgerät m Credential Provider startet Anmeldeprozedur  1 Starting the secure application and establishing a connection to the terminal m Credential Provider starts the login procedure
n Info an TAM n Info to TAM
o Generieren einer Berechtigungsaufforderung, Challenge o Generate an authorization request, Challenge
p Challenge an Endgerät p Challenge to terminal
q Challenge an sichere Anwendung q Challenge to secure application
u Signieren der Challenge u Sign the challenge
v Signierte Challenge an Endgerät v Signed challenge to end device
w Signierte Challenge an TAM Signed challenge to TAM
x Prüfung Zertifikat und Signatur, Benutzerberechtigung x Check certificate and signature, user authorization
y Prüfung Gültigkeit des Zertifikats y Check validity of the certificate
z Entsperren des Endgeräts z Unlock the device
aa Generieren eines Fallback-OTP aa Generate a fallback OTP
ab Speichern des Fallback-OTP from saving the fallback OTP
ac Speichern eines Ersatz-Zertifikats ac Saving a replacement certificate
ad Endgerät im gesperrten Zustand ad terminal in the locked state
ae Kontaktieren der Auskunftsstelle ae Contact the information center
af Widerruf des Benutzerzertifikats af Revocation of the user certificate
ag Anfordern des OTP ag Request the OTP
ah Eingabe des OTP beim Endgerät ah Enter the OTP at the terminal
ai Darstellen einer (konventionellen) Anmeldemaske ai Representation of a (conventional) login mask

Claims

PATENTANSPRÜCHE
1. Verfahren zum Einrichten einer Benutzer- Authentifizierung an einem Endgerät (1) mittels eines mobilen Endgeräts (2), wobei das Verfahren die folgenden Schritte umfasst: A method for establishing user authentication at a terminal (1) by means of a mobile terminal (2), the method comprising the following steps:
- Einrichten (e) einer sicheren Anwendung (8) auf dem mobilen Endgerät (2);  - establishing (e) a secure application (8) on the mobile terminal (2);
- Verbinden (f) der sicheren Anwendung (8) zu einem Verwaltungssystem (5) zum Aktivieren der sicheren Anwendung (8);  - connecting (f) the secure application (8) to a management system (5) for activating the secure application (8);
- Anfragen und Erhalten (h, i, j) eines neuen Benutzerzertifikats bei einer Zertifizierungsstelle (4) durch die aktivierte sichere Anwendung (8);  Requesting and obtaining (h, i, j) a new user certificate at a certification authority (4) by the activated secure application (8);
- Absicherung des Zugriffs auf das neue Benutzerzertifikat über die Vergabe einer PIN oder die Nutzung vorhandener biometrischer Authentifizierung;  - securing access to the new user certificate by assigning a PIN or using existing biometric authentication;
- Starten (1) der sicheren Anwendung (8) auf dem mobilen Endgerät (2) und Aufbauen einer drahtlosen Kommunikationsverbindung vom mobilen Endgerät (2) zu dem Endgerät (1);  - starting (1) the secure application (8) on the mobile terminal (2) and establishing a wireless communication link from the mobile terminal (2) to the terminal (1);
- Starten (m) der Berechtigungsanfrage-Routine (9) im Endgerät (1) und Aufbau einer Kommunikationsverbindung zum Netzwerk (13) oder einem Verzeichnisdienst (12) zur  - Starting (m) the authorization request routine (9) in the terminal (1) and establishing a communication connection to the network (13) or a directory service (12) for
Authentifizierung des Benutzers; Authentication of the user;
- Generieren (o) einer Berechtigungsaufforderung durch das Netzwerk (13) oder den Verzeichnisdienst (12) und Übertragen (p) dieser an das Endgerät (1);  Generating (o) an authorization request by the network (13) or the directory service (12) and transmitting (p) it to the terminal (1);
- Signieren (u) der Berechtigungsaufforderung mittels des Benutzerzertifikats (14) in der sicheren Anwendung (8);  - signing (u) the authorization request by means of the user certificate (14) in the secure application (8);
- Übertragen (w) der signierten Berechtigungsaufforderung an das Netzwerk (13) oder den Verzeichnisdienst (12) zum Prüfen (x) der Signatur, bevorzugt unter Prüfen (y) der Gültigkeit des Benutzerzertifikats (14); und  - transmitting (w) the signed authorization request to the network (13) or the directory service (12) for checking (x) the signature, preferably checking (y) the validity of the user certificate (14); and
- Erteilen (z) einer Anmelde-Erlaubnis vom Netzwerk (13) oder dem Verzeichnisdienst (14) bei erfolgreicher Prüfung (x, y).  - Issue (z) a login permission from the network (13) or the directory service (14) upon successful verification (x, y).
2. Verfahren nach Anspruch 1 , wobei das Verfahren nach dem Erteilen-Schritt weiter umfasst: 2. The method of claim 1, wherein after the grant step, the method further comprises:
- Generieren (aa) eines Einmal-Passworts durch die Berechtigungsanfrage-Routine (9) des Endgeräts (1); und - Speichern (ab) des Einmal-Passworts bei einer Registrierungsstelle (3) und/oder einem Anmeldedienst. Generating (aa) a one-time password by the authorization request routine (9) of the terminal (1); and - Save (from) the one-time password at a registration office (3) and / or a registration service.
3. Verfahren nach Anspruch 1 oder 2, wobei für den Verbinden-Schritt (f) Informationen von der Registrierungsstelle (3) zum Erzeugen einer Verbindung zum Verwaltungssystem (5) in der sicheren Anwendung (8) erhalten werden und diese Informationen als QR-Code bereitgestellt (d) und mittels einer Kamera des mobilen Endgeräts (2) erfasst (e) werden. 3. The method of claim 1 or 2, wherein for the connecting step (f) information from the registration office (3) for establishing a connection to the management system (5) in the secure application (8) are obtained and this information as a QR code provided (d) and detected by a camera of the mobile terminal (2).
4. Verfahren nach Anspruch 3, wobei die Informationen von der Registrierungsstelle (3) zudem Verbindungsinformationen für die Zertifizierungsstelle (4) beinhalten. The method of claim 3, wherein the information from the registrar (3) further includes connection information for the certification authority (4).
5. Verfahren nach einem der vorhergehenden Ansprüche, wobei die sichere Anwendung (8) in einer sicheren Laufzeitumgebung des mobilen Endgeräts (2) abläuft und das Benutzerzertifikat (14) für ein kryptografisches Schlüsselpaar (11) generiert wird, das in einem nur für die sichere Laufzeitumgebung zugreifbaren sicheren Speicherbereich des mobilen Endgeräts (2) abgelegt ist. 5. The method according to any one of the preceding claims, wherein the secure application (8) runs in a secure runtime environment of the mobile terminal (2) and the user certificate (14) for a cryptographic key pair (11) is generated, which in one only for the secure Runtime environment accessible secure storage area of the mobile terminal (2) is stored.
6. Verfahren ( 100) zum Anmelden eines Benutzers an einem Endgerät ( 1 ) mittels des Einmal- Passworts gemäß Anspruch 2 bei Nichtvorhandensein eines zum Authentifizieren des Benutzers zu verwendenden mobilen Endgeräts (2), wobei das Verfahren (100) die folgenden Schritte umfasst: A method (100) for registering a user at a terminal (1) using the one-time password according to claim 2 in the absence of a mobile terminal (2) to be used to authenticate the user, the method (100) comprising the steps of:
- Umschalten (101) des Anmeldevorgangs am Endgerät (1) zum Verwenden eines Einmal- Passworts anstelle einer Authentifizierung mittels des mobilen Endgeräts (2) zum  Switching (101) the log-on process at the terminal (1) to use a one-time password instead of an authentication by means of the mobile terminal (2) for
Authentifizieren dieses Benutzers an diesem Endgerät (1), wobei das Einmal-Passwort bei einer vormaligen Authentifizierung des Benutzers erzeugt wurde und in einer Registrierungsstelle (3) gespeichert ist; Authenticating this user at this terminal (1), wherein the one-time password was generated in a previous authentication of the user and stored in a registry (3);
- Bereitstellen (102) des Einmal-Passworts an den Benutzer;  Providing (102) the one-time password to the user;
- Abfragen (103) des Einmal-Passworts zum Anmelden mittels einer  - Querying (103) the one-time password for signing by means of a
Berechtigungsanfrage-Routine (9) des Endgeräts (1); Authorization request routine (9) of the terminal (1);
- Prüfen (104) des Einmal-Passworts und Authentifizieren des Benutzers an dem Endgerät - checking (104) the one-time password and authenticating the user at the terminal
(i); (I);
- Generieren (105) eines neuen Einmal-Passworts durch die Berechtigungsanfrage-Routine (9) des Endgeräts (1); und - Speichern (106) des neuen Einmal-Passworts in der Registrierungsstelle anstelle des bisherigen Einmal-Passworts und Verwenden des neuen Einmal-Passworts bei einem - generating (105) a new one-time password by the authorization request routine (9) of the terminal (1); and - storing (106) the new one-time password in the registry instead of the previous one-time password and using the new one-time password at one
darauffolgenden Anmelden des Benutzers am Endgerät (1) bei erneutem Nichtvorhandensein des zum Authentifizieren des Benutzers zu verwendenden mobilen Endgeräts (2). subsequent registration of the user at the terminal (1) in the event of renewed absence of the mobile terminal (2) to be used for authenticating the user.
7. Verfahren nach Anspruch 6, wobei ein Verzeichnisdienst (12) in einem mit dem Endgerät (1) verbundenen Netzwerk (13) zum Authentifizieren des Benutzers verwendet wird und der Benutzer durch erfolgreiche Authentifizierung im Verzeichnisdienst (12) am Endgerät (1) angemeldet wird, wobei das Einmal-Passwort im Verzeichnisdienst (12) abgelegt wird. The method of claim 6, wherein a directory service (12) in a network (13) connected to the terminal (1) is used to authenticate the user and the user is logged into the directory service (12) on the terminal (1) by successful authentication , wherein the one-time password in the directory service (12) is stored.
8. Verfahren nach Anspruch 7, wobei das Einmal-Passwort dem Benutzer über eine von der Verbindung zwischen dem Endgerät (1 ) und dem Netzwerk verschiedene Verbindung bereitgestellt wird. 8. The method of claim 7, wherein the one-time password is provided to the user via a connection different from the connection between the terminal (1) and the network.
9. Verfahren nach einem der vorhergehenden Ansprüche, wobei bei Verlust oder Defekt des mobilen Endgeräts (2) die Gültigkeit des bisherigen Benutzerzertifikats in dem Netzwerk widerrufen wird. 9. The method according to any one of the preceding claims, wherein in case of loss or defect of the mobile terminal (2), the validity of the previous user certificate is revoked in the network.
10. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Anmeldeschritt die folgenden Schritte umfasst: 10. The method according to any one of the preceding claims, wherein the registration step comprises the following steps:
- Starten (1) der sicheren Anwendung (8) auf dem mobilen Endgerät (2) und Aufbauen einer drahtlosen Kommunikationsverbindung vom mobilen Endgerät (2) zu dem Endgerät (1);  - starting (1) the secure application (8) on the mobile terminal (2) and establishing a wireless communication link from the mobile terminal (2) to the terminal (1);
- Starten (m) der Berechtigungsanfrage-Routine (9) im Endgerät (1) und Aufbau einer Kommunikationsverbindung zum Netzwerk (13) oder einem Verzeichnisdienst (12) zur  - Starting (m) the authorization request routine (9) in the terminal (1) and establishing a communication connection to the network (13) or a directory service (12) for
Authentifizierung des Benutzers; Authentication of the user;
- Generieren (o) einer Berechtigungsaufforderung durch das Netzwerk (13) oder den Verzeichnisdienst (12) und Übertragen (p) dieser an das Endgerät (1);  Generating (o) an authorization request by the network (13) or the directory service (12) and transmitting (p) it to the terminal (1);
- Signieren (u) der Berechtigungsaufforderung mittels des Benutzerzertifikats (14) in der sicheren Anwendung (8);  - signing (u) the authorization request by means of the user certificate (14) in the secure application (8);
- Übertragen (w) der signierten Berechtigungsaufforderung an das Netzwerk (13) oder den Verzeichnisdienst (12) zum Prüfen (x) der Signatur, bevorzugt unter Prüfen (y) der Gültigkeit des Benutzerzertifikats (14); - Erteilen (z) einer Anmelde-Erlaubnis vom Netzwerk (13) oder dem Verzeichnisdienst (14) bei erfolgreicher Prüfung (x, y). - transmitting (w) the signed authorization request to the network (13) or the directory service (12) for checking (x) the signature, preferably checking (y) the validity of the user certificate (14); - Issue (z) a login permission from the network (13) or the directory service (14) upon successful verification (x, y).
11. Mobiles Endgerät (2) zum Anmelden eines Benutzers an einem Endgerät (1) eines Netzwerks gemäß einem der vorhergehenden Ansprüche, aufweisend: 11. A mobile terminal (2) for registering a user at a terminal (1) of a network according to one of the preceding claims, comprising:
- eine gesicherte Laufzeitumgebung beinhaltend die sichere Anwendung (8);  a secure runtime environment including the secure application (8);
- ein Drahtlosverbindungsmodul (6), insbesondere Bluetooth LE Modul, eingerichtet zur Kommunikation mit einer Berechtigungsanfrage-Routine (9) eines Endgeräts (1);  - A wireless connection module (6), in particular Bluetooth LE module, set up for communication with an authorization request routine (9) of a terminal (1);
- ein Drahtlosverbindungsmodul, insbesondere Mobilfunk- oder Breitbandverbindungsmodul, eingerichtet zur Kommunikation mit einer Zertifizierungsstelle (4) zum Erhalten eines Benutzerzertifikats (14);  a wireless connection module, in particular a mobile radio or broadband connection module, configured to communicate with a certification authority (4) for obtaining a user certificate (14);
- einem Speicherbereich zum gesicherten Ablegen eines Schlüsselpaares (11), wobei die gesicherte Laufzeitumgebung eingerichtet ist, exklusiv auf den Speicherbereich zuzugreifen; und  a memory area for securely storing a key pair (11), wherein the secure runtime environment is set up to exclusively access the memory area; and
- eine Kamera zum Erfassen von Informationen einer Registrierungsstelle.  a camera for collecting information from a registration authority.
12. Computerprogrammprodukt, ausführbar in einer sicheren Laufzeitumgebung eines mobilen Endgeräts (2) und eingerichtet zum Authentifizieren eines Benutzers an einem Netzwerk (13), wobei dazu das Verfahren nach einem der vorhergehenden Ansprüche durchgeführt wird. A computer program product executable in a secure runtime environment of a mobile terminal (2) and adapted to authenticate a user to a network (13) by performing the method of any one of the preceding claims.
13. Computerprogrammprodukt, ausführbar in einem Endgerät (1) eines Netzwerks (13) und eingerichtet zum Abfragen einer Berechtigung eines Benutzers, wobei dazu das Verfahren nach einem der vorhergehenden Ansprüche durchgeführt wird. 13. Computer program product, executable in a terminal (1) of a network (13) and adapted for requesting authorization of a user, to which end the method according to one of the preceding claims is performed.
EP18803528.1A 2017-09-19 2018-09-18 Method for configuring user authentication on a terminal device by means of a mobile terminal device and for logging a user onto a terminal device Withdrawn EP3685563A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017121648.0A DE102017121648B3 (en) 2017-09-19 2017-09-19 METHOD FOR REGISTERING A USER AT A TERMINAL DEVICE
PCT/DE2018/000274 WO2019057231A1 (en) 2017-09-19 2018-09-18 Method for configuring user authentication on a terminal device by means of a mobile terminal device and for logging a user onto a terminal device

Publications (1)

Publication Number Publication Date
EP3685563A1 true EP3685563A1 (en) 2020-07-29

Family

ID=64316236

Family Applications (1)

Application Number Title Priority Date Filing Date
EP18803528.1A Withdrawn EP3685563A1 (en) 2017-09-19 2018-09-18 Method for configuring user authentication on a terminal device by means of a mobile terminal device and for logging a user onto a terminal device

Country Status (3)

Country Link
EP (1) EP3685563A1 (en)
DE (1) DE102017121648B3 (en)
WO (1) WO2019057231A1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11792184B2 (en) * 2019-12-05 2023-10-17 Microsoft Technology Licensing, Llc Autopilot re-enrollment of managed devices
CN111954211B (en) * 2020-09-07 2023-05-02 北京计算机技术及应用研究所 Novel authentication key negotiation system of mobile terminal
CN117473560B (en) * 2023-12-28 2024-03-12 飞天诚信科技股份有限公司 Method and device for realizing work of online OTP (one time programmable) equipment

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7783702B2 (en) 2005-11-30 2010-08-24 Microsoft Corporation Using a mobile phone to control a personal computer
US9210150B2 (en) 2011-10-25 2015-12-08 Salesforce.Com, Inc. Two-factor authentication systems and methods
US9887983B2 (en) 2013-10-29 2018-02-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
US8646060B1 (en) 2013-07-30 2014-02-04 Mourad Ben Ayed Method for adaptive authentication using a mobile device
US10645077B2 (en) * 2013-12-02 2020-05-05 Thales Dis France Sa System and method for securing offline usage of a certificate by OTP system
US9781105B2 (en) 2015-05-04 2017-10-03 Ping Identity Corporation Fallback identity authentication techniques
GB2547472A (en) * 2016-02-19 2017-08-23 Intercede Ltd Method and system for authentication

Also Published As

Publication number Publication date
WO2019057231A1 (en) 2019-03-28
DE102017121648B3 (en) 2019-01-03

Similar Documents

Publication Publication Date Title
DE102015215120B4 (en) METHOD OF USING ONE DEVICE TO UNLOCK ANOTHER DEVICE
US7770212B2 (en) System and method for privilege delegation and control
DE112008001436T5 (en) Secure communication
EP3909221B1 (en) Method for securely providing a personalized electronic identity on a terminal
US20030115154A1 (en) System and method for facilitating operator authentication
EP3114600B1 (en) Security sytem with access control
EP4128695B1 (en) Personalized and server-specific authentication mechanism
DE102017121648B3 (en) METHOD FOR REGISTERING A USER AT A TERMINAL DEVICE
DE102016208512A1 (en) Access control with a mobile device
EP3908946B1 (en) Method for securely providing a personalized electronic identity on a terminal
EP3465513B1 (en) User authentication by means of an id token
DE10124427A1 (en) Communication device authentication method compares hash values of transmission and reception devices provided using hash value algorithm
DE102017006200A1 (en) Method, hardware and system for dynamic data transmission to a blockchain computer network for storing personal data around this part again block by block as the basis for end to end encryption used to dynamically update the data collection process via the data transmission module in real time from sensor units. The block modules on the blockchain database system are infinitely expandable.
EP2631837B1 (en) Method for generating a pseudonym with the help of an ID token
DE102017012249A1 (en) Mobile terminal and method for authenticating a user to a terminal by means of a mobile terminal
KR102288445B1 (en) On-boarding method, apparatus and program of authentication module for organization
DE102018102608A1 (en) Method for user management of a field device
EP3882796A1 (en) User authentication using two independent security elements
EP4295257A1 (en) Reading out identity attributes using a remote security element
CN100474825C (en) Method and system for unified process of domain authentication and user network authority control
DE102021103997A1 (en) User authentication using two independent security elements
EP3289509A1 (en) Method for generating an electronic signature
EP2381712B1 (en) Secure Reading Data from a Mobile Device with fixed TPM
EP2723111B1 (en) Multiple factor authentification for mobile end devices
EP2397960A1 (en) Method for reading attributes from an ID token via a telecommunications chip card and a server computer system

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20200312

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20210517

RAP3 Party data changed (applicant data changed or rights of an application transferred)

Owner name: APIIDA AG

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20230401