WO2004054297A1

WO2004054297A1 - Einmalpasswortgenerator für mobiltelephone

Info

Publication number: WO2004054297A1
Application number: PCT/CH2002/000677
Authority: WO
Inventors: Stephan Gautschi
Original assignee: Stephan Gautschi
Priority date: 2002-12-09
Filing date: 2002-12-09
Publication date: 2004-06-24

Abstract

Der Einmalpasswortgenerator für Mobiltelephone ist eine softwarebasierte Methode zur Generierung von Einmalpasswörtern auf Mobiltelephonen (GSM, UMTS, etc.). Er benutzt die SIM Karte oder gleichwertige Mikrochipkarten zur Speicherung der geheimen Daten. Dabei werden auf das berechtigte Telephon beschränkte Einmalpassworte durch eine Software generiert, die für beliebig viele Applikationen eindeutig sind. Diese werden durch den geheimen Schlüssel bestehend aus 'Telephonnummer', 'Laufnummer', 'UserID' und 'ServiceID' mittels öffentlichem hash-algorythmus (z.B. MD5) erzeugt. Die Software und der geheime Schlüssel werden auf dem Mobiltelephon gespeichert, dessen Ausführung 'PIN code' geschützt werden kann.

Description

Beschreibung

Einmalpasswortgenerator für Mobiltelephone

1. Einführung

Anbei wird eine Methode (Einmalpasswortgenerator) präsentiert, die sogenannte 'zwei- Faktor- Authentisierung' mit 'Einmalpasswortschutz' und Lizenzierung für Mobiltelephone und beliebige Applikationen zu betreiben.

Typische, häufig via Internet verfügbare Anwendungen sind z.B. Retailbanking, Brokerage, E-shopping, etc.. Die dabei verwendeten Authentisierungssysteme erfordern den Einsatz einer dedizierten Hardware und Software. Dabei besteht die eingesetzte Zweifaktorauthentisierung aus einem statischen Passwort kombiniert mit einem zweiten 'Einmalpasswort'. Als Beispiele seinen hier die Bankportale 'CS - Directnet' und 'UBS e-Banking' erwähnt, die zum Schutz der Kundenportale Einmalpasswörter basierend auf Streichlisten, Token mit Display oder Smartcard/Reader einsetzen.

2. Funktion

Der Einmalpasswortgenerator für Mobiltelephone ist eine softwarebasierte Methode, der ausschliesslich auf dem/den vordefinierten Mobiltelephone angewendet werden kann. Er ersetzt somit die z.B. oben erwähnten, dedizierten Hardware und Softwarelösungen, indem das Mobiltelephon des Anwenders verwendet wird. Die Anwender müssen somit auch zwingend im Besitze eines Mobiltelephon sein, und können die Telephonnummern während der gesamten Benutzungsdauer des Passwortgenerators nicht ändern.

Eine weitere Eigenschaft besteht darin, beliebig viele Applikationen mit dem gleichen Einmalpasswortgenerator benutzen zu können. Dies wird durch einfaches Hinzufügen eines weiteren Applikationsnamens (Service-ID) und Laufnummer in den geheimen Schlüssel (private key) ermöglicht.

Nach jedem Gebrauch des Passwortgenerators wird der erzeugte Passcode als neue Laufnummer auf die SIM card unter der zugehörigen Applikation gespeichert, und bei der Erzeugung des nächsten Einmalpasswortes in den Algorithmus eingespiesen. Beschreibung

Vor dem Generieren eines Einmalpasswortes muss zuerst der gewünschte Service selektiert werden. Die folgende Erzeugung des Einmalpasswortes kann mittels PIN code geschützt erfolgen, indem der Algorythmus erst ausgeführt wird, nachdem der lokalen PIN der geschützten SIM Karte eingegeben wird. Dieser PIN wird übrigens üblicherweise beim Anschalten des Mobil telephons abgefragt.

3. Target devices

Digitale Mobiltelephone mit 'SIM-Karten' basierend auf Technologien wie GSM, GPRS,

UMTS, etc.

4. Definitionen

4.1. private key

Geschützter Key, der sicher auf der SIM card gespeichert wird. Er besteht aus folgenden Faktoren, die bei der Erzeugung eines applikationsspezifischen Einmalpasswortes verwendet werden müssen:

- 'Telephonnummer' im internationalen Format (z.B. +41791234567)

- 'Laufnummer' bestehend aus 12 character (variable Zufallszahl, die pro Passwortgenerierung ändert)

- 'UserlD' bestehend aus 20 character (statischer Benutzername oder Zufallscode)

- 'ServicelD' bestehend aus 20 character (statischer Applikaitons- oder Servicename)

4.2. Erzeugung der Einmalpasswörter

- Applikationsauswahl: Der Benutzer wählt den gewünschten Service aus (z.B. CS Directnet, UBS E-Banking, etc.), und aktiviert somit die benötigten Faktoren im private key. Optional kann er auch den lokalen PIN editieren

- Chiffrieraigorythmus: public MD5 hash oder ähnliche öffentliche Verfahren

- Resultat: Einmalpasswort bestehend aus 8 Charaktern, wird am Display angezeigt

4.3. Logfunktion (optional)

- Zeitpunkt der Schlüssgeneration auf dem Mobiltelephon zwecks Logging / Auditing. Die Informationen können nur einen bestimmten Speicherplatz auf dem Mobiltelephon belegen, bevor sie automatisch in einem roll-over Verfahren gelöscht werden.

Claims

AnsprüchePatentansprüche des Einmalpasswortgenerators für Mobiltelephone

1. Telephonnummer ist Teil des 'private keys'

Die Telephonnummer wird als Teil des 'private keys'benutzt. Dies schafft die Voraussetzung für die Individualisierung der Auth^nisierungssoftware.

2. Telephonnummer wird lokal gelesen

Die Telephonnummer wird von der client Software lokal aus der SIM Karte der

» Mobiltelephone eingelesen, und mit dem in der Software mitgelieferten 'private key' bei der

Benutzung verglichen. Dadurch gelingt die Restriktion der Benutzung auf die berechtigte und lizenzierte SIM Karte, unter Wahrung der Unabhängig vom physischen Mobiltelephon.

3. Support von mehreren Applikationen

Der Einmalpasswortgenerator erlaubt die Benutzung einer beliebige Anzahl unabhängiger Applikationen oder Services, indem der Einmalpasswortschutz vollumfänglich bewahrt bleibt. Es sind also keine sogenannten 'replay-attacks' möglich. Dies wird erreicht, indem der 'private key' pro Applikation/Service dedizierte 'ServicelD's' und 'Laufnummern' enthält. Der Anwender wird somit durch die Wahl der gewünschten Applikation zwei applikationsspezifische Faktoren bei der Generierung des Einmalpasswortes benutzen.