Beschreibungdescription
Verfahren und Vorrichtung zur Sicherung des Zugangs zu einem Dienst in einem Telekommunikations-NetzMethod and device for securing access to a service in a telecommunications network
Die Erfindung betrifft ein Verfahren zum Zugang eines Dienstes in einem Telekommunikationsnetz, etwa einem privaten Netz, einem Intelligenten Netz oder einem Mobilfunk-Netz von einem beliebigen Kommunikationsendgerät aus, bei dem es not- wendig ist, sich mittels Eingabe von Ziffernfolgen zu authentifizieren um Zugang zu einem gewünschten Dienst zu erlangen. Außerdem betrifft die Erfindung eine Vorrichtung in einem Telekommunikations-Netz, die es ermöglicht, eine sichere Authentifizierung eines Benutzers durchzuführen im Falle eines Dienstaufrufes.The invention relates to a method for accessing a service in a telecommunications network, for example a private network, an intelligent network or a mobile radio network, from any communication terminal, in which it is necessary to authenticate by entering numerical sequences in order to access to obtain a desired service. In addition, the invention relates to a device in a telecommunications network that enables secure authentication of a user to be carried out in the event of a service call.
Bei einem Intelligenten Netz IN handelt es sich um eine Architektur, die es in einem Kommunikationsnetz ermöglicht, für Teilnehmer dieses Netzes Dienste anzubieten. Diese Mehrwert- dienste, wie sie auch genannt werden, bieten Netzbetreibern die Gelegenheit, sich von Konkurrenten zu differenzieren und zusätzliche Einnahmequellen zu erschließen.An intelligent network IN is an architecture which makes it possible in a communication network to offer services for participants in this network. These value-added services, as they are also called, offer network operators the opportunity to differentiate themselves from their competitors and to tap additional sources of income.
Um Mehrwertdienste in einem IN anbieten zu können, benötigt der Netzbetreiber in seinem Netz mindestens einen zentralen Knoten (Service Control Point) , der die Informationen gespeichert hat, die für die Durchführung der Dienste notwendig sind (Speicherung der Dienstprogramme, Weiterleitung an zuständige Netzknoten etc.). Dieser zentrale Knoten wird auch durchführende Instanz genannt.In order to be able to offer value-added services in an IN, the network operator needs at least one central node (service control point) in its network, which has stored the information necessary for the implementation of the services (storage of the service programs, forwarding to the responsible network node, etc. ). This central node is also called the executing authority.
Die Teilnehmer in einem Kommunikationsnetz können dabei interessante neue Dienste in Anspruch nehmen.Participants in a communication network can take advantage of interesting new services.
Einer der bekannteren Dienste ist das sogenannte Credit Card Calling' . Hierbei werden dem Anrufer die Gebühren für getätigte Anrufe über seine Kreditkarte abgerechnet. Damit kein Mißbrauch betrieben werden kann, wenn zum Beispiel die Kre-
2 ditkarte verloren geht, ist neben der Kreditkartennummer auch die Eingabe einer privaten Personal Identification Number (PIN) notwendig, um Zugriff auf den besagten Dienst zu erlangen.One of the more well-known services is so-called credit card calling. The caller is billed for the charges for calls made using his credit card. So that no abuse can be made if, for example, the 2 If the card is lost, in addition to the credit card number, it is also necessary to enter a private personal identification number (PIN) in order to gain access to the service in question.
Auch bei anderen Diensten ist so ein Zugriff-Schutz vorhanden oder denkbar, zum Beispiel bei Teilnehmern in einem Mobilen Netz, einem Privaten Netz oder einem Private Virtual Network.Access protection is also available or conceivable with other services, for example with subscribers in a mobile network, a private network or a private virtual network.
In diesen ganzen Fällen wird der authentisierende Zifferncode über die Tastatur des Endgerätes eingegeben und transparent (d. h. in Klartext) über die Leitungen und Vermittlungsknoten des Kommunikationsnetzes übertragen.In all of these cases, the authenticating numeric code is entered via the keyboard of the terminal and transmitted transparently (i.e. in plain text) via the lines and switching nodes of the communication network.
Hierbei ergeben sich zwei Möglichkeiten, diese Zugangscodes auszuspionieren: a) durch Ausspähen der PIN, etwa Beobachtung des Benutzers bei der Eingabe über die Tastatur seines Endgerätes, auch durch Videoüberwachung b) durch Abhören der PIN bei der Übertragung zwischen Endgerät und der durchführenden Instanz.There are two ways of spying on these access codes: a) by spying on the PIN, for example, observing the user when entering them via the keyboard of his end device, also by video surveillance b) by listening to the PIN during transmission between the end device and the executing agency.
Aufgabe der Erfindung ist es, eine Möglichkeit anzugeben, wie der Zugriff auf Dienste in einem Telekommunikations-Netz si- cherer gestaltet werden kann.The object of the invention is to provide a way of making access to services in a telecommunications network more secure.
Diese Aufgabe wird durch ein Verfahren gemäß Patentanspruch 1 gelöst.This object is achieved by a method according to claim 1.
Das verwendete Verfahren beschreibt folgendes Vorgehen: die eindeutige Ziffernfolge zur Zugangssicherung wird nach der Eingabe mittels einer, dem Fachmann bekannten, Verschlüsselungsfunktion oder einer mathematischen Einwegfunktion verschlüsselt. Bei einer Einwegfunktion handelt es sich um eine mathematische Funktion f (x)=y, wobei y einfach zu berechnen ist, uirige-
3 kehrt ist die Ermittlung von x aus y dagegen sehr aufwendig und nicht notwendigerweise eindeutig.The method used describes the following procedure: the unique sequence of digits for access security is encrypted after entry using an encryption function known to the person skilled in the art or a mathematical one-way function. A one-way function is a mathematical function f (x) = y, where y is easy to calculate, uirige- 3 conversely, the determination of x from y is very complex and not necessarily unambiguous.
Dabei wird ein weiterer Parameter mitverschlüsselt, der sich bei jeder erneuten Eingabe der Ziffernfolge ändert. Jeder er- neute Verschlüsselungsvorgang liefert demgemäß ein neues Er¬ gebnis .Another parameter is also encoded, which changes each time the sequence of digits is entered again. Each ER Neute encryption process provides therefore a new He ¬ result.
Dieses wird dann zusammen mit dem veränderbaren Parametern, direkt per Protokoll oder in eine Ziffernfolge codiert, in Multi-Frequenz Tonwahl gegebenenfalls über Vermittlungsknoten bis zur zentralen Instanz gesendet.This is then coded together with the changeable parameters, directly by protocol or in a sequence of digits, in multi-frequency tone dialing, if necessary, via switching nodes to the central instance.
Die Übertragung erfolgt dabei in der gleichen Weise wie beim bisherigen Vorgehen der Authentifizierung.The transmission takes place in the same way as in the previous authentication procedure.
In der zentralen Instanz erfolgt dann die Auswertung der übertragenen Ziffernfolge, indem aus der bekannten Einwegfunktion, der erwarteten PIN und den mitgelieferten Parametern ebenfalls ein Ergebnis berechnet und im dem empfangenen Wert verglichen wird.The transmitted sequence of digits is then evaluated in the central instance by also calculating a result from the known one-way function, the expected PIN and the parameters supplied and comparing it with the received value.
Die Realisierung dieses Authentisierungsverfahrens ist vergleichsweise einfach. Verschlüsselungsverfahren sind dem Fachmann in hinreichender Menge bekannt. Die Implementierung des Verfahrens ist nur auf Benutzerseite und bei der zentralen Instanz notwendig, der Implementierungsaufwand ist ge- ring. Eine bereits vorhandene Datenbank kann einfach erweitert werden, um ein Feld zur Speicherung der bereits empfangenen Zugangscodes.The implementation of this authentication method is comparatively simple. Encryption methods are known to a person skilled in the art in sufficient quantities. The implementation of the method is only necessary on the user side and at the central instance, the implementation effort is low. An existing database can easily be expanded to include a field for storing the access codes already received.
Der Vorteil des beschriebenen Verfahrens liegt klar im Teil- nehmerschutz. Der Benutzer hat keinen größeren Aufwand als in bisherigen Verfahren, denn ein Zugangscode mußte bisher schon eingegeben werden. Es wird aber wirksam verhindert, daß ein unberechtigter Teilnehmer auf fremde Kosten telefoniert. Dieser Mißbrauch ist bislang ja möglich, da bei der Eingabe etwa der Kreditkarten-Nummer es nicht Voraussetzung ist, daß der Benutzer auch in Besitz dieser Kreditkarte ist. So konnte
4 durch einfaches Beobachten der eingegebenen Nummer inklusive PIN der Zugang einfach erreicht werden.The advantage of the described method lies clearly in the protection of participants. The user has no greater effort than in previous methods, because an access code had to be entered previously. However, it is effectively prevented that an unauthorized subscriber can make calls at third party costs. This abuse has so far been possible, since when entering the credit card number, for example, it is not a prerequisite that the user also has this credit card. So could 4 Access can be easily achieved by simply observing the number entered including the PIN.
In diesem Fall verhindert zusätzlich die fehlende Kenntnis über das verwendete Verschlüsselungsverfahren die ungerecht- fertigte Nutzung.In this case, the lack of knowledge about the encryption method used also prevents unauthorized use.
Durch das Hinzufügen eines oder mehrerer veränderbarer Parameter, wie zum Beispiel eine Angabe über den Anforderungszeitpunkt, wird der Zugangscode abhörsicher gestaltet. Ein Abhörversuch im Netz (auf der Anschlußleitung etwa) wird dadurch nutzlos, da ein wiederholt benutzter Zugangscode von vorneherein abgelehnt wird.By adding one or more changeable parameters, such as an indication of the time of the request, the access code is designed to be bug-proof. An attempt at eavesdropping on the network (on the connecting line, for example) becomes useless because a repeatedly used access code is rejected from the outset.
Die Aufgabe wird durch eine Vorrichtung gemäß Patentan- spruch 9 gelöst.The object is achieved by a device according to patent claim 9.
Dabei wird ein Gerät zur Verschlüsselung der eingegebenen PIN benutzt. Dieses Gerät benötigt eine Eingabevorrichtung (Tastatur), ähnlich der des Kommunikationsendgerätes. In dem Gerät erfolgt eine Umrechnung der eingegebenen Ziffernfolge durch die mathematische Einweg-Funktion, zusammen mit einem veränderbaren Parameter. Das Ergebnis der Berechnung wird zusammen mit dem zweiten Parameter dann in Multi-Frequenz-Ton- wahlverfahren übersetzt und an das Endgerät übertragen. Von dort aus geschieht die Übertragung bis zur zentralen Instanz .A device is used to encrypt the entered PIN. This device requires an input device (keyboard), similar to that of the communication terminal. The entered sequence of digits is converted in the device by the mathematical one-way function, together with a changeable parameter. The result of the calculation is then translated together with the second parameter in multi-frequency tone dialing and transmitted to the terminal. From there, the transmission takes place to the central instance.
In der zentralen Instanz wird mit dem empfangenen Zugangscode eine Authentifizierung durchgeführt.Authentication is carried out in the central instance with the received access code.
Ein wesentlicher Vorteil dieses Vorgehens besteht, zusätzlich zu den zuvor genannten Vorteilen, in der Möglichkeit, die Nummer bereits längere Zeit vor der tatsächlichen Benutzung einzugeben. So kann zumindest das 'Ausspionieren' durch Beobachten der Eingabe der Nummer wirksam verhindert werden.A major advantage of this procedure, in addition to the advantages mentioned above, is the ability to enter the number long before the actual use. At least 'spying' can be effectively prevented by observing the entry of the number.
Vorteilhafte Ausgestaltungen und Weiterbildungen sind in den Unteransprüchen angegeben.
5 Das erfindungsgemäße Vorgehen bietet sich bei bestimmten Ar¬ ten von Telekommunikationsnetzen besonders an. Hier ist in erster Linie die Architektur des Intelligenten Netzes zu nennen, bei der z. B. der Dienst ΛCredit Card Calling' bereits implementiert ist. Die für das Verfahren benötigte Infrastruktur ist bereits vorhanden. Neben den Privaten Netzen, die einen Mechanismus für Zugriffe von außen benötigen, gibt es auch das VPN, das Virtual Private Network, welches ebenfalls in IN Technik realisiert wird. Zuletzt ist das Verfah- ren auch in Kommunikationsnetzen für Mobilfunk denkbar, auch hier muß sich der Benutzer eines Gerätes authentifizieren.Advantageous refinements and developments are specified in the subclaims. 5 The procedure according to the invention is particularly suitable for certain types of telecommunications networks. First of all, the architecture of the intelligent network should be mentioned. As the service Λ Credit Card Calling 'is already implemented. The infrastructure required for the process already exists. In addition to the private networks that require a mechanism for external access, there is also the VPN, the virtual private network, which is also implemented using IN technology. Finally, the method is also conceivable in communication networks for mobile radio, here too the user of a device has to authenticate himself.
Für die veränderbaren Parameter sind viele Möglichkeiten denkbar. Im einfachsten Fall wird jedesmal eine Zufallszahl kreiert, entsprechende Generatorfunktionen für Zufallszahlen sind dem Fachmann bekannt.Many possibilities are conceivable for the changeable parameters. In the simplest case, a random number is created each time, corresponding generator functions for random numbers are known to the person skilled in the art.
Eine weitere Möglichkeit ist eine Zeitangabe, zum Beispiel eine Einteilung in ein Zeitraster beliebiger Ausprägung. In diesem Fall kann die zentrale Instanz einerseits überprüfen, ob es sich bei dem empfangenen Zugangscode um einen aktuellen Wert handelt. Zudem ist möglicherweise die zusätzliche Übertragung des veränderbaren Parameters nicht notwendig, wenn Sender und Empfänger anderweitig zeitlich synchronisiert sind. Eine weitere Möglichkeit ist die Erzeugung einer mathematischen Reihe, mit einer Anfangszahl n, wobei sich die Folgezahl n2 aus ihrer Vorgängerzahl nl in verschiedener Weise ergeben kann, z. B. im Aufsummieren eines festen Wertes.Another option is a time specification, for example a division into a time grid of any type. In this case, the central entity can on the one hand check whether the received access code is a current value. In addition, the additional transmission of the changeable parameter may not be necessary if the transmitter and receiver are otherwise synchronized in time. Another possibility is the generation of a mathematical series with an initial number n, the subsequent number n2 being able to result from its predecessor number nl in various ways, e.g. B. adding up a fixed value.
Für die Art der Verschlüsselung sind dem Fachmann zahlreiche Verfahren und Funktionen bekannt. Insbesondere in der ITU Re- commendation X.509 und im RFC 1938 werden verschieden aufwendige und sichere Authentifizierungs- und Verschlüsselungsverfahren vorgestellt.Numerous methods and functions are known to the person skilled in the art for the type of encryption. In the ITU Communication X.509 and in RFC 1938 in particular, various complex and secure authentication and encryption methods are presented.
In der ITU Rec. X.509 werden insbesondere zwei Verfahren vorgestellt .
6 Das erste, einfachere Verfahren begnügt sich mit einem Verschlüsselungsvorgang. Die Einwegfunktion f wird auf einen oder mehrere veränderbare Parameter und die PIN, möglicherweise noch erweitert um einen, dem MFV-Sender und dem Tele- kommunikationsdienst bekannten String, angewendet. Das Ergebnis aus f (Parameterl, [Parameter2, ...], PIN) wird in einen Ziffernstring konvertiert und dieser dann vom MFV Sender übertragen.In ITU Rec. X.509 two methods are presented in particular. 6 The first, simpler method is content with an encryption process. The one-way function f is applied to one or more changeable parameters and the PIN, possibly extended by a string known to the DTMF transmitter and the telecommunications service. The result from f (Parameter1, [Parameter2, ...], PIN) is converted into a string of digits and this is then transmitted by the DTMF transmitter.
Eine zweistufige Verschlüsselung ist aufwendiger zu realisieren und bedarf auch mehr Rechenleistung bei Sender und Empfänger, sie bietet jedoch auch einen wesentlich höheren Schutz . Dabei geschieht ein erster Verschlüsselungsschritt wie bei dem oben genannten, einstufigen Verfahren. Anschließend findet ein zweiter Durchgang mit einem zweiten mathematischen Algorithmus f (der mit der ersten Funktion f identisch sein kann) statt, das Ergebnis berechnet sich wie folgt: f (Parameter xl [, Parameter x2,..], f (Parameter yl [, Parameter y2], PIN), PIN).Two-stage encryption is more complex to implement and also requires more computing power for the sender and receiver, but it also offers significantly higher protection. A first encryption step takes place as in the one-step procedure mentioned above. Then there is a second pass with a second mathematical algorithm f (which can be identical to the first function f), the result is calculated as follows: f (parameter xl [, parameter x2, ..], f (parameter yl [, Parameters y2], PIN), PIN).
Ein verallgemeinertes Verschlüsselungs-Vorgehen schreibt die mehrfache Anwendung eines oder verschiedener Algorithmen vor, jeweils mit den Eingabeparametern PIN und zusätzlichen verän- derbaren Parametern.A generalized encryption procedure prescribes the multiple use of one or different algorithms, each with the input parameters PIN and additional changeable parameters.
Wenn das Ergebnis der Verschlüsselung keine numerische Ziffernfolge ist, oder das Ergebnis nicht ohne MVF-Töne übertragen werden kann (wie bei ISDN) , so muß das Ergebnis vor der Übertragung noch in eine solche übersetzt werden.If the result of the encryption is not a numerical sequence of digits, or the result cannot be transmitted without MVF tones (as with ISDN), the result must still be translated into one before transmission.
Das Authentifizierungsverfahren überprüft den übertragenen Zifferncode. Dadurch wird festgestellt, ob der Teilnehmer Berechtigung hat zum Zugriff auf einen Dienst. Zusätzlich kann festgestellt werden, ob mit dem zum Dienstzugang berechtigenden Zugriffscode Mißbrauch betrieben wird.
7 Bei der Authentifizierung kann folgendermaßen vorgegangen werden:The authentication procedure checks the transmitted code. This determines whether the subscriber is authorized to access a service. In addition, it can be determined whether the access code authorizing access to the service is being misused. 7 The authentication can be carried out as follows:
- Es wird von der zentralen Instanz überprüft, ob der gesendete Zugangscode in einem vorgegebenen Zeitintervall be- reits einmal empfangen wurde.- The central instance checks whether the access code sent has already been received once in a predetermined time interval.
Ist dies der Fall, so wird die Authentifizierung als nicht erfolgreich abgebrochen.If this is the case, the authentication is canceled as unsuccessful.
- Im anderen Fall berechnet die zentrale Instanz den zu erwartenden Zugangscode mittels der selben Einweg-Funktion und des im empfangenen Zugangscodes enthaltenen zweiten Parameters und vergleicht das Ergebnis mit dem empfangenen. Bei Übereinstimmung des berechneten und des empfangenen Zugangscodes ist die Authentisierung erfolgreich. Dem Teilnehmer wird der Zugang zu dem gewünschten Dienst gewährt.- In the other case, the central entity calculates the expected access code using the same one-way function and the second parameter contained in the received access code and compares the result with the received one. If the calculated and the received access code match, the authentication is successful. The subscriber is granted access to the desired service.
Es kann vorteilhaft sein, die Verschlüsselungsvorrichtung in das Kommunikationsendgerät zu integrieren. So hat der Teilnehmer kein zweites Gerät, welches verloren gehen kann. Übertragungsfehler von der Verschlüsselungsvorrichtung zum Endge- rät werden ebenfalls vermieden. Ein im Endgerät bereits vorhandener Generator für MFV-Töne kann verwendet und gegebenenfalls modifiziert werden.It may be advantageous to integrate the encryption device into the communication terminal. So the participant has no second device that can be lost. Transmission errors from the encryption device to the terminal are also avoided. A generator for DTMF tones already present in the terminal can be used and modified if necessary.
Die Anwendungsmöglichkeiten dieses Verfahrens in einem Tele- kommunikations-Netz (insbesondere einem Intelligenten Netz, einem Privaten Netz oder einem Mobilen Netz) sind vielfältig. Vor allem der Gebührenaspekt stellt sowohl für den Diensterbringer als auch für den Netz-Teilnehmer einen wesentlichen Faktor dar. Gerade bei Credit Card Telefonie ist ein sehr großes Risiko gegeben. Insbesondere da in dem Fall des Mißbrauchs kein Verlust der Karte bemerkt wird und erst die nächste Rechnung das Ausmaß des Schadens offenbart.The possible uses of this method in a telecommunications network (in particular an intelligent network, a private network or a mobile network) are diverse. Above all, the fee aspect is an important factor for both the service provider and the network subscriber. Especially with credit card telephony, there is a very high risk. Especially since in the event of misuse, no loss of the card is noticed and only the next invoice reveals the extent of the damage.
Hier kann mit vergleichsweise geringem Aufwand ein für beide Seiten sehr hoher Nutzen erzielt werden.
Im folgenden wird die Erfindung anhand von Ausführungsbei- spielen erläutert. Dabei zeigenHere a very high benefit for both sides can be achieved with comparatively little effort. The invention is explained below on the basis of exemplary embodiments. Show
Figur 1 die Erzeugung, Übertragung und Authentifizierung eines Einmal-Zugangscodes in einem Intelligenten Netz, Figur 2 die Generierung des Einmal-Zugangscodes nach ITU X.509, einstufiges Verfahren, und1 shows the generation, transmission and authentication of a one-time access code in an intelligent network, FIG. 2 shows the generation of the one-time access code according to ITU X.509, one-step method, and
Figur 3 die Generierung des Einmal-Zugangscodes nach ITU X.509, zweistufiges Verfahren.Figure 3 shows the generation of the one-time access code according to ITU X.509, two-step process.
Figur 1 zeigt den Weg eines Zugangsschlüssels (PIN) vom Teilnehmer bis zu einer zentralen Instanz (SCP) in einem Intelligenten Netz.FIG. 1 shows the path of an access key (PIN) from the subscriber to a central instance (SCP) in an intelligent network.
Nach der Eingabe in eine Vorrichtung zur Verschlüsselung (MFV) wird die PIN mittels Multi-Frequenz Wähltönen an das Endgerät (KE) und von dort in das Kommunikationsnetz zur zentralen Instanz (SCP) übertragen. Auf dem Weg werden Vermittlungsstellen (SSP) passiert, über die der verschlüsselte Zugangscode derzeit transparent übertragen wird. Hierbei könnte der Zugangscode durch Abhören ausspioniert werden. Die zen- tralen Instanz (SCP) überprüft den Zugangscode anhand von bereits bekannten Daten, z. B. aus einer Datenbank (DB), und den mitgelieferten Daten aus dem angelieferten Ziffernstring. Nach Berechnung des zu erwarteten Zugangscodes und Vergleich mit dem erhaltenen wird eine Rückmeldung gemacht, ob der übermittelte Zugangscode korrekt und der Zugriff des Teilnehmers daher gestattet ist, oder nicht.After entry into an encryption device (DTMF), the PIN is transmitted to the end device (KE) by means of multi-frequency dialing tones and from there into the communication network to the central entity (SCP). On the way, switching centers (SSP) are passed, through which the encrypted access code is currently being transmitted transparently. The access code could be spied on by eavesdropping. The central entity (SCP) checks the access code on the basis of already known data, eg. B. from a database (DB), and the supplied data from the supplied string of digits. After calculating the expected access code and comparing it with the received one, a feedback is made as to whether the transmitted access code is correct and therefore the access of the participant is permitted or not.
Figur 2 und Figur 3 zeigen schematisch die Generierung eines Zugangscodes, der über das Netz zur zentralen Instanz über- tragen werden soll. Dabei ist ein symmetrischer Schlüssel benötigt (PIN) , der beim Teilnehmer und bei der zentralen Instanz, die eine Authentifizierung durchführt, bekannt ist. Die PIN selber wird nicht unverschlüsselt übertragen. Zusätzlich werden hier zwei variable Parameter mit verschlüs- seit, eine Zeitangabe (Zeit, Zeit') und eine Zufallszahl.FIG. 2 and FIG. 3 schematically show the generation of an access code which is to be transmitted to the central entity via the network. This requires a symmetrical key (PIN), which is known to the subscriber and to the central entity that carries out authentication. The PIN itself is not transmitted unencrypted. In addition, two variable parameters are encrypted here, a time specification (time, time ') and a random number.
Diese Komponenten ändern sich bei jedem Authentifizierungs- vorgang und verhindern somit, daß ein abgehörter Einmal-Zu-
9 gangscode wiederverwertet werden kann. Sofern diese Komponenten nicht bei der zentralen Instanz automatisch abgeleitet werden können, müssen sie bei der Authentifizierung mit übertragen werden. Zusätzliche Daten, wie z. B. ein beliebiger Text, können in die Bildung des Einmal-Zugangscodes mit einfließen. Diese Daten sind entweder auf beiden Seiten bekannt oder ableitbar oder werden zusätzlich übertragen. it der Einweg-Funktion f (und f' ) wird ein verschlüsselter Zugangscode (rpPIN) erzeugt.
These components change with each authentication process and thus prevent a tapped one-time access 9 gang code can be recycled. If these components cannot be derived automatically at the central instance, they must also be transferred during authentication. Additional data, such as B. any text can be included in the formation of the one-time access code. These data are either known on both sides or can be derived, or are additionally transmitted. The one-way function f (and f ') generates an encrypted access code (rpPIN).
10 Literaturverzeichnis10 Bibliography
ITU-T X.509ITU-T X.509
Information Technology - Open Systems Interconnection - The Directory: Authentication Framework ITU-T Recommendation X.509, 11/93Information Technology - Open Systems Interconnection - The Directory: Authentication Framework ITU-T Recommendation X.509, 11/93
RFC 1938RFC 1938
Request for Comments: 1938, May 1996 A one-Time Password SystemRequest for Comments: 1938, May 1996 A one-Time Password System
N. Haller, Bellcore, C. Metz, Kaman Sciences CorporationN. Haller, Bellcore, C. Metz, Kaman Sciences Corporation
AbkürzungsVerzeichnisList of abbreviations
f, f Mathematische Funktionenf, f mathematical functions
IN Intelligentes NetzIN intelligent network
ITU International Telecommuniation UnionITU International Telecommuniation Union
KE Kommunikationsendgerät MFV Multi-Frequenz VerfahrenKE communication terminal MFV multi-frequency method
PIN Personal Identification Number rpPIN replayprotected PINPIN Personal Identification Number rpPIN replay-protected PIN
SCP Service Control PointSCP Service Control Point
SSP Service Switching Point
SSP service switching point