WO2007062888A1 - Mobile chipkarteneinrichtung und verfahren zur authentifizierung mittels chipkarte gegenüber mindestens einer einrichtung - Google Patents

Mobile chipkarteneinrichtung und verfahren zur authentifizierung mittels chipkarte gegenüber mindestens einer einrichtung Download PDF

Info

Publication number
WO2007062888A1
WO2007062888A1 PCT/EP2006/067016 EP2006067016W WO2007062888A1 WO 2007062888 A1 WO2007062888 A1 WO 2007062888A1 EP 2006067016 W EP2006067016 W EP 2006067016W WO 2007062888 A1 WO2007062888 A1 WO 2007062888A1
Authority
WO
WIPO (PCT)
Prior art keywords
chip card
access device
card access
pda
zpe
Prior art date
Application number
PCT/EP2006/067016
Other languages
English (en)
French (fr)
Inventor
Gerhard Pisl
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2007062888A1 publication Critical patent/WO2007062888A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/28Individual registration on entry or exit involving the use of a pass the pass enabling tracking or indicating presence
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/23Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder by means of a password
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/25Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
    • G07C9/257Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition electronically

Definitions

  • security-related facilities are increasingly being secured via security codes, so-called authentication tokens, digital signatures and / or chip cards.
  • security codes so-called authentication tokens, digital signatures and / or chip cards.
  • buildings are frequently secured by smart card readers / readers or magnetic code readers, with access only granted to persons having a chip card or magnetic code card encoded for access to the building and delivering it to the respective chip card reader / writer or magnetic code reader.
  • a company often has a large number of facilities to be secured, and different security criteria can be applied depending on the facility.
  • it may be sufficient to check a chip card by means of a reading device as to whether the chip card is a chip card from a set of previously registered chip cards.
  • a reading device To the right of residence of a person fen on business premises to überprü ⁇ even frequently dispensed checks by means of technical control devices and only the visible wearing an ID card with optical identification features is required so that security personnel or employees an unauthorized person can recognize the missing card.
  • Encrypte-mail traffic is usually subject to very high security requirements, in particular the use of digital signatures on chip cards and additional securing of the digital signature, in particular by means of PIN or password.
  • a permanent insertion of a chip card in a chip card read / write device of a device requires increased vigilance from a user of the chip card in that he withdraws the chip card from the chip card read / write device when leaving the device or when removing it from the device , Otherwise, without permission ⁇ preferential person could access the still unlocked device or it could authorize an unauthorized person the smart card without permission.
  • a uniform use of a single chip card for authorization for various devices can be problematic in conventional chip card sizes beyond, especially in small devices, as they can not accommodate a smart card due to their size.
  • conventional devices in which a PIN input is performed by means of a keyboard for enabling a chip card often an unsecured transmission path between a keyboard and the chip card read / write device or require a separate, complex backup of this transmission path.
  • the present invention has for its object to provide an arrangement and a method for authentication by means of a smart card and a smart card access device, in which or in which an improved and / or more flexible use of smart cards is made possible.
  • the mobile chip card access device comprises a chip card coupling device for, in particular, galvanic, direct and / or contactless contacting of a plug-in into the chip card access device
  • Chip card and an input device for entering and / or detecting an authentication information, in particular by entering a PIN or checking biometric features, after plugging in and contacting the smart card.
  • the mobile chip card access device comprises a validation device for initiating a check of a valid authentication by the chip card access device or by the chip card by means of evaluation of the entered authentication information. tion with a stored on the chip card Identifikati ⁇ onsinformation.
  • the mobile chip card access device comprises a transmitting device for transmitting a, in particular generated by the smart card entitlement proof by radio due to a valid
  • the mobile chip card access device is detected by inserting the smart card in the mobile smart card access device and their contacting an input via an input device of the smart card access device authentication information.
  • Smart card is checked for validity by means of evaluating the entered authentication information with an identification information stored on the chip card. Furthermore, by means of a transmission device of the mobile chip card access device, on the basis of a valid authentication, a proof of authorization is transmitted to the at least one device that checks the authorization by means of radio.
  • the chip card coupling device has in particular
  • the mobile smart card access device is in particular a wireless smart card reader / writer interface with a radio ⁇ , which preferably has a transmission range of up to one meter or even of several meters, so that during movement within a space a built-contact means is not lost.
  • the smart card access device is only slightly larger than a smart card and can be in a pocket of a dress ⁇ dung tee or hung around the neck of a user wearing.
  • the chip card access device is preferably integrated in a PDA, a mobile telephone or a cordless telephone according to the DECT standard, so that a user does not have to carry any further device with him and an already existing power supply, an input unit, a control unit and / or of the respectively named device. or a transmitting unit for the smart card access device can be used.
  • a chip card can be used for authentication with respect to one or more devices, wherein when entering the authentication information, none or only a few of the devices can be located in the area of action of the chip card access device.
  • the area of action is in particular the surrounding area of the chip card access device, in which the chip card access device can establish and maintain a radio link to a device.
  • a smart card by the invention.
  • An input of the authentication information and a check of the validity of the authentication information can preferably be required only once, whereby the authentication of multiple devices is very easy.
  • a cumbersome introduction of the chip card in the different devices and a repeated input of the authentication information can be omitted.
  • a complete, all common characters or a simplified keyboard, a fingerprint sensor and / or a touch screen can be provided.
  • the respective input element is integrated in the back of the smart card ⁇ access device or even directly on the smart card.
  • the integration into the chip card access device is particularly advantageous, as a result of which manipulation or intervention in the authentication process can be hindered or prevented, since the integration makes it particularly difficult or impossible to intercept a entered authentication information.
  • the smart card access device can be used for applications with high security requirements such as the so-called "secure digital signature" - for example, according to the German Digital Signature Act, also called signature law - and e-commerce applications for goods orders and cash transactions over the Internet.
  • the chip card access device can be certified for use for higher security requirements, for example, depending on the design according to the classification of the standards Aus- shot of the German banking industry as chip card read / write device class 2, 3 or 4.
  • the chip card access device may further include a display, light-emitting diodes or a loudspeaker in order to at least report valid and / or erroneous inputs to the user or to output status information.
  • This can be the knowledge a secret, cryptographic key in the smart card and the smart card access device are checked.
  • a check of the credential can be performed by a device receiving the credential as a result of the transmission of the credential. Due to a positive test result then the device may be up to a next examination or no time limit for the intended use woks ⁇ ben or unlocked. Depending on the security requirements of the device, activation of the device can take place permanently or only for a predefinable period of time or only until the end of a transaction.
  • the proof of entitlement can be transmitted to several or all devices in the area of action of the chip card access device, so that the chip card access device can be in radio contact with several of the devices in a temporally overlapping period.
  • the institutions may each receive a specific or a common proof of entitlement for all institutions and, in the case of a respective positive examination, be used as intended for a subsequent period until the next examination.
  • the radio transmission from the mobile chip card access device to the respective devices can be carried out in a further advantageous development by means of a transmission in the radio frequency range.
  • so-called passive or active environmental sensors and / or transmitters can be used - also called passive proximity or Active Proximity device.
  • the coding of the transmission can furthermore be carried out according to a Bluetooth, WLAN, WiMAX, DECT, GSM, and / or UMTS standard.
  • the mobile chip card access device may preferably have a largely transparent chip card container for receiving the chip card or only guide ⁇ rails for the chip card without further coverage of the chip card surface.
  • the chip card can be used as an identification card or ID card for a manual, visual inspection by the inventive smart card access device, so that with a single smart card differentchemistryan ⁇ requirements can be met.
  • chip card access device can be designed such that different types of known
  • Chip cards can be used - for example, via a plurality of contact devices, such as a magnetic stent reader, an antenna, metallic contact elements - and the smart card access device is thus universally applicable.
  • contact devices such as a magnetic stent reader, an antenna, metallic contact elements - and the smart card access device is thus universally applicable.
  • FIG. 1 shows a chip card access device with its essential, visible from the outside components
  • Figure 2 is a block diagram of the smart card access device with its essential functional components
  • FIG. 3 shows a system consisting of the chip card access device and other devices in contact with it.
  • FIGS. 1A, 1B, 1C three different perspective views of a chip card access device CZ for a read, write and / or program execution access to a chip card are illustrated in a schematic representation.
  • FIGS. 1A and 1B show a perspective front-side view of the chip card access device CZ, with FIG. 1A representing a view without and FIG. 1B a view with inserted chip card C.
  • the viewing window SF makes it possible to provide an insight into a plugged-in chip card C, as illustrated in FIG. 1B.
  • the inserted chip card C is inserted laterally into the chip card access device CZ via a rectangular insert E.
  • the viewing window SF allows various features of the smart card C to be made visible to a user. These are in particular an image CB of the chip card C, a chip card inscription CBSCHR or security features SM such as a hologram.
  • the mobile chip card access device CZ comprises a rechargeable battery, not shown, which can be charged for example via a charging socket LB at the top of the smart card access device CZ and allows mobile use. Charging of the rechargeable battery can alternatively also take place via an inductive charging only by approximation of the chip card access device CZ to a charging device.
  • an antenna unit AE is indicated by a dashed rectangle which is not visible from the outside and is contained within the chip card access device CZ in order to be able to make contact with communication devices in the environment of the user.
  • the antenna unit AE is advantageously integrated into the chip card access device CZ in such a way that the chip card access device CZ is only slightly larger than the chip card C.
  • the figure IC shows a perspective oblique view of the rear, top and side view of the chip card access device CZ, wherein at the top of the chip card access device CZ the already explained elements of the carrying strap TB and the charging socket LB are attached or angeord- nert.
  • a number field ZF with several input keys - in the present embodiment, only the number keys 1 to 9 - and a fingerprint sensor FS as input unit according to the invention.
  • the numeric field ZF and the fingerprint sensor FS can be used individually or jointly for authentication of the user. For example, a PIN, password or code number is entered and recorded via the numeric keypad ZF.
  • a PIN, password or code number is entered and recorded via the numeric keypad ZF.
  • the fingerprint FS is the fingerprint of
  • the chip card access device CZ further preferably comprises an on / off key EAT for deactivating or activating the chip card access device CZ and / or a light-emitting diode LED for outputting status information and / or user-defined assistance by the chip card access device CZ.
  • the chip card access device CZ shown in FIG. 1 is small, portable and mobile.
  • a write / read device (not shown) as a chip card switching device according to the invention and the input device conditions of the numeric field ZF and the fingerprint sensor FS in a common device of the smart card access device CZ
  • high security requirements can be guaranteed because a transmission path between read / write device and the input devices without intervention in the smart card access device CZ from the outside is not accessible, audible and / or manipulated.
  • FIG. 2 shows in a block diagram the essential components of the chip card access device CZ illustrated as rectangles.
  • the input unit EE as input device according to the invention, which are represented in FIG. 1 by the number field ZF and the fingerprint sensor FS.
  • the display unit ANZ which in Figure 1 by the LC display LCD and the
  • the chip card access device CZ comprises an antenna unit AE and a transmission unit SE connected to it, which together form the transmission device according to the invention. Furthermore, the chip card access device CZ comprises a coupling device KE as inventive Chip Actuallykop- pel adopted for contacting an inserted chip card C and for communication with this.
  • Other elements of the smart card access device CZ are in particular a validity-GP and a control unit STE, in particular, the validity-GP, the input unit EE, the display unit and the ANZ Sendeein ⁇ SE standardized controls. This relationship to each other is illustrated in Figure 2 each by a solid line.
  • the coupling device KE After inserting the chip card C into the chip card access device CZ, the coupling device KE makes contact with the chip card C ago by a galvanic contacting or contacting via a in the chip card C and the chip card access device CZ respectively integrated
  • an activation or authentication tion of the chip card C done.
  • the user of the chip card C accessible information, for example ⁇ entered and recorded by entering a PIN through the number pad ZF or by placing a finger on the fingerprint sensor FS.
  • the entry of a multi-digit PIN as authentication information is detected, the detected PIN being transmitted to the chip card C by means of the validity checking unit GP.
  • the smart card C can then check by evaluating the entered PIN information, whether the authentication is valid by the user. This is done in particular by comparing, processing or evaluating the detected PIN information with a secret identification information stored on the chip card and / or by processing a secret algorithm.
  • the evaluation on validity ⁇ speed can be done by the smart card C or by the smart card access device CZ.
  • a positive or negative evaluation result can then be transmitted from the chip card C to the chip card access device CZ and consequently be displayed on the LC display LCD or on the light-emitting diode LED accordingly.
  • the control unit STE can then perform a state change in order to provide means in the following time in order to be able to come into contact with further devices.
  • the transmitting unit SE and the antenna unit AE can also be activated for contact with the other devices.
  • FIG. 3 shows a chip card access device CZ with chip card C-preferably over a longer period or permanently plugged in and contacted-in whose environment or range of action-in particular determined by the radio range-there are several devices which are suitable for carrying out their respective intended operation Use one proof of eligibility.
  • the credentials will be provided below by the smart card access device CZ.
  • a PDA pocket computer, a mobile phone MT - for example, a cordlessretendge ⁇ advises registered to a PBX TK - a workstation within a PC and access control unit ZKE shown.
  • the access control unit ZKE is, for example, a turnstile (as shown in FIG. 3) at an entrance of a company or a door (not shown) to a building which only opens to a user if authorization is available.
  • Chip surelyzugriffseinrich- tung CZ has already verified as a valid authentication of the user to the smart card C by means of its validity-GP or such a check has already been triggered, and this check is positive obtainedfal ⁇ len.
  • Messages between the aforementioned devices PDA, MT, PC, ZKE and the chip card access device CZ are illustrated below as a stylized flash of a message traffic M transmitted by radio waves. Specific messages are additionally shown as an arrow next to the stylized lightning with arrowhead in the transmission direction of the respective message.
  • the access control unit TCS is a non Darge ⁇ presented radio module equipped and periodically sends a query message Al in their respective environments to detect in the environment entering user with their respective smart card access devices CZ and capture. If a user approaches his access control unit CZ with an access control unit ZKE, the chip card access device CZ receives the said request message Al by means of its antenna unit AE.
  • the message information contained in the query message Al is the control unit STE from the query message Al extracted and forwarded to the chip card C.
  • the message information is for example an identification number of the access control unit ⁇ ZKE.
  • the smart card C will respond with a Florinformati ⁇ on, which is transmitted back to the smart card access device CZ.
  • This response information corresponds to a proof of authorization and is packed by the transmitting unit SE-controlled by the control unit STE-into a confirmation unit Bl and transmitted back to the access control unit ZKE by means of the antenna unit AE.
  • the latter receives the confirmation message Bl recognizes the valid authentication and releases the access control unit ZKE for the user, for example by deactivating an otherwise permanently existing lock.
  • the user can enter the building or the terrain secured by the access control unit ZKE.
  • Said query message Al and said confirmation message Bl are part of the radio message traffic M, which takes place in the period during which the smart card access device CZ and the access control unit ZKE are in the mutual area of effect.
  • the workstation PC having a radio module sends a search message Q to its respective operating environment before displaying an input mask for a login on its screen. This is illustrated in Figure 3 by several arrows in different directions, starting from the workstation PC.
  • the workstation computer PC By sending out the search message Q, the workstation computer PC tries to identify all authenticated chip card access devices CZ in its effect environment.
  • the Receiving chip card access devices CZ then each transmit an identification message K to the workstation PC, which in particular comprises a unique identifier for the chip card or user-specific information - for example a name or a computer login of the user.
  • the workstation PC After receiving one or more identification messages K, the workstation PC displays a login window (not shown in FIG. 3) with the identifiers determined and to be selected from the received identification messages K on the screen.
  • the login window preferably additionally comprises an input field for further authentication information, for example a PIN, so that only the respective identifier can be activated for several displayed identifiers, which is actually to be activated by the user by entering the PIN. In this way it can be prevented that a user can unauthorized the login of another user who is staying with a smart card access device CZ in the vicinity of the workstation PC use.
  • further authentication information for example a PIN
  • a user of the workstation PC selects one of the displayed identifiers, enters an associated PIN and initiates the login process, then a login authentication request message A2 is transmitted from the workstation PC to the selected chip card access device CZ.
  • An authentication information determined by the login process and transmitted by means of the login-authentication request message A2 is passed on to the chip card C by the chip card access device CZ, which then carries out a check on the authorization of the respective workstation user.
  • the smart card C generates a credential via a secret algorithm using the authentication information and transfers it to the chip card access device CZ. This transmits the generated authorization verification by means of its transmission unit SE via radio to the workstation-calculated PC by means of the authentication confirmation. message B2.
  • the workstation PC receives this authentication confirmation message B2, checks the credential contained therein and releases the workstation ⁇ PC for the user, if the proof of entitlement proves to be valid.
  • query messages can now be sent to the chip card access device CZ for the intended use of the workstation PC, by means of which it can be recognized whether the chip card access device CZ and its inserted chip card C are still in the operating environment of the workstation PC. If this is not the case, the absence of a response message from the chip card access device CZ can cause the workstation PC to be blocked.
  • the handheld PDA is turned on by the user.
  • data on the pocket computer PDA are separately secured by means of authentication mechanisms.
  • an integrated radio module is activated by the PDA and a query message (not explicitly shown) is transmitted via the radio module to the chip card access devices CZ located in the environment.
  • This check information is forwarded by the chip card access device CZ to the chip card C, which then performs a check by means of adjustment or evaluation of stored data on the chip card C.
  • the chip card C generates response information that is transmitted back to the pocket computer PDA by the sending unit SE of the chip card access device CZ (not shown).
  • the contact on ⁇ is below takeover of a mobile phone MT - for example, a so-called smart phone - presented to the smart card access device CZ. It is assumed here that use of the mobile telephone MT is also possible without authentication by the chip card access device CZ. However, user-specific settings should be activated by the authentication at the mobile phone MT.
  • Phone number is now transmitted to the smart card access device CZ within a query message (not explicitly shown).
  • the smart card C analyzes this information and responds with a confirmation information, if the smart card C, the transmitted office number or user-specific information is known.
  • the smart card access device ⁇ CZ transmits the Bestreliriensinformati ⁇ one as a credential by means of its sending unit SE via radio to the mobile telephone MT. If the transmitted response information proves to be valid, then the mobile telephone MT can activate user-specific settings of the respective user. This is done, for example, by contacting the mobile telephone MT to form a telecommunication system TK-shown in FIG. 3 as a rectangle-in which the respective user settings are stored.
  • These activated user settings can remain activated after the user has left the environment area of the user Mobile phones MT has left with his smart card access device CZ. Thus, this differs from the behavior of the workstation PC, in which leaving the impact environment of the workstation PC causes a deactivation or blocking of the workstation PC and thus can meet higher security requirements.
  • the chip card access device can support various radio standards.
  • a mobile computer can be contacted via Bluetooth and a computer network via wireless LAN.
  • direct contacting via the GSM, UMTS or DECT standard is possible (GSM: Globile System for Mobile Communication, UMTS: Universal Mobile Telecommunications System, DECT: Digital Enhanced Cordless Telecommunications).
  • GSM Globile System for Mobile Communication
  • UMTS Universal Mobile Telecommunications System
  • DECT Digital Enhanced Cordless Telecommunications
  • new applications can be introduced in which authentication or even control can only take place by approaching a user with a chip card access device CZ. For example, an automobile could only by
  • Known smart cards often have optical features that indicate the validity of the smart cards. These are for example an image of a user on the chip card, a company logo or a hologram. With regard to these optical features, it is furthermore advantageous for the mobile smart card access device CZ shown to be able to retain the function of a visual identification card due to the viewing window SF. Thus, a simultaneous electronic authentication and a manual optical authentication, for example, by security personnel, easily possible.
  • a simultaneous electronic authentication and a manual optical authentication for example, by security personnel, easily possible.
  • the visibility of the optical features can also be ensured by guide rails on the Chip Actuallyzugriffseinrich- surface, by means of which a chip card can be fixed, with no or only a small coverage of the chip card surface takes place and thus in this embodiment, optical identification remain largely uncovered on a surface of the chip card in the inserted state.
  • the smart card access device of the invention can be such extended to any contact from Einrich ⁇ obligations on the display of the smart card access device, or is indicated by a tone generator and a response of
  • Smart card access device must be explicitly released by the user by user action on the input device. Preferably, it can be indicated on the display by which device an authentication was requested.
  • the messages and credentials mentioned in the description of the figures may in particular be so-called signature tokens or authentication tokens, a valid token assuring the authorization for the use of a respective device by the user.
  • the token is preferably determined or calculated in the smart card, the result of the calculation proving ownership and / or correct use of the token. For smart cards with certificates this can be a signature or a correct decryption.
  • a token can also be a one-time password.
  • the chip card access device with inserted and activated chip card can also permanently and / or repeatedly send out query messages to its effect environment in order to detect a device requiring an authentication.
  • This can be used to detect new facilities or to confirm the presence of already authenticated facilities.
  • the smart card or the smart card ⁇ further access means a memory for storing identification information already authenticated devices for which a used currently has acquired an authorization is available, so that a temporary loss of contact and / or a short time leaving no area of effect of the smart card access device to a restarting the authentication process and it may contain ⁇ nen leads manual steps. In this way, it can be achieved that the user has to perform manual steps as little as possible in order to obtain authorization for a device.
  • the said method is described by means of a chip card, but the invention can also be used for other mobile, processor-controlled small computers - for example USB or Bluetooth dongles (USB: Universal Serial Bus) with its own processor and interface to a read / write ⁇ device, are used.
  • USB Universal Serial Bus
  • the chip card access device according to the invention must in this case only provide a suitable interface to this small computer.
  • the smart card according to the invention can ⁇ accessor in a mobile device like a stringless ses phone or a handheld computer integrated. This is particularly advantageous in that the user does not have to carry another device permanently with him again.
  • Preference ⁇ example is the smart card - especially when integrated into a telephone or handheld computer, but also in a standalone device - via a slot of the smart card access device and / or without changing location of moving components of the smart card access device (CZ) in or out of the smart card access device ( CZ) can be inserted or removed. Opening a cover, such as a battery compartment or removing a component, such as a battery, is not intended for this process be necessary so that a change of the chip card can be completed easily and quickly.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Die Erfindung betrifft eine mobile Chipkartenzugriffseinrichtung (CZ), umfassend eine Chipkartenkoppeleinrichtung (KE) zur Kontaktierung einer in die Chipkartenzugriffseinrichtung (CZ) einsteckbaren Chipkarte (C), eine Eingabeeinrichtung (EE), eine Gültigkeitsprüfeinrichtung (GP) und eine Sendeeinrichtung (SE, AE), sowie ein Verfahren zur Authentifizierung mittels Chipkarte (C) und der mobilen Chipkartenzugriffseinrichtung (CZ). Die Eingabeeinrichtung (EE) weist Mittel zur Eingabe und/oder Erfassung einer Authentif izierungsinf ormation auf. Die Gültigkeitsprüf einrichtung (GP) umfasst Mittel zum Initiieren einer durch die Chipkartenzugriffseinrichtung (CZ) oder durch die Chipkarte (C) ablaufenden Überprüfung einer gültigen Authentifizierung mittels Auswerten der eingegebenen Authentifizierungsinformation mit einer auf der Chipkarte (C) gespeicherten Identifikationsinformation. Weiterhin weist die Sendeeinrichtung (SE, AE) Mittel zur Übermittlung eines Berechtigungsnachweises mittels Funk aufgrund einer gültigen Authentifizierung zu mindestens einer, den Berechtigungsnachweis prüfenden Einrichtung (PDA, PC, MT, ZPE) im Wirkungsbereich der mobilen Chipkartenzugriffseinrichtung (CZ) auf.

Description

Beschreibung
Mobile Chipkarteneinrichtung und Verfahren zur Authentifizierung mittels Chipkarte gegenüber mindestens einer Einrichtung
In Unternehmen oder Organisationen befinden sich vermehrt sicherheitsrelevante Einrichtungen die über Sicherheitscodes, so genannte Authentifizierungstoken, digitale Signaturen und/oder Chipkarten gesichert werden. Beispielsweise werden Gebäude häufig mittels Chipkarten-Schreib/Lesegeräten oder Magnetcodelesern gesichert, wobei lediglich Personen, die eine für den Zutritt zu dem Gebäude kodierte Chipkarte oder Magnetcodekarte besitzen und diese dem jeweiligen Chipkarten- Schreib/Lesegerät oder Magnetcodelesern zuführen, ein Zutritt gewährt wird.
Für einen Zugriff auf einen über eine Chipkarte gesicherten Arbeitsplatzrechner, wird darüber hinaus üblicherweise neben einem Einführen der Chipkarte noch eine Eingabe einer Identifikationsinformation - üblicherweise einer PIN
(Personal Identification Number) - gefordert, um den Zugriff auf den Arbeitsplatzrechner gemäß strenger Sicherheitsvorgaben zu sichern.
Ein Unternehmen weist häufig eine Mehrzahl von zu sichernden Einrichtungen auf, wobei je nach Einrichtung unterschiedliche Sicherheitskriterien angewendet werden können. So kann es an einem Eingang eines Standortes eines Unternehmens ausreichen, eine Chipkarte mittels einer Leseeinrichtung dahingehend zu überprüfen, ob die Chipkarte eine Chipkarte aus einem Satz von zuvor registrierten Chipkarten ist. Um die Aufenthaltsberechtigung einer Person auf einem Firmengelände zu überprü¬ fen, wird sogar häufig auf Kontrollen mittels technischer Kontrollgeräte verzichtet und lediglich das sichtbare Tragen eines Ausweises mit optischen Identifikationsmerkmalen gefordert, so dass Sicherheitspersonal oder Mitarbeiter eine unberechtigte Person am fehlenden Ausweis erkennen kann. Für einen verschlüsselten E-Mail-Verkehr werden wiederum üblicherweise sehr hohe Sicherheitsanforderungen gestellt, insbesondere die Verwendung von digitalen Signaturen auf Chipkarten und eine zusätzliche Sicherung der digitalen Signatur insbesondere mittels PIN oder Passwort.
Je mehr verschiedene Einrichtungen mittels Sicherheitsmaßnahmen gesichert werden sollen, desto vorteilhafter wird ein einheitliches Verfahren, so dass ein Benutzer lediglich mit vorzugsweise einer einzigen Chipkarte viele oder alle verschiedenen Sicherheitsanforderungen erfüllen kann und mehrere oder alle zu sichernden Einrichtungen für eine bestimmungsgemäße Verwendung freischalten kann. Bei dieser Anforderung erweist es sich häufig als problematisch, dass Einrichtungen - beispielsweise ein Arbeitsplatzrechner dessen Zugang mit Chipkarte gesichert ist - teilweise erfordern, dass die Chipkarte in der Einrichtung während des Benutzungs¬ zeitraums im Chipkarten-Schreib/Lesegerät dauerhaft gesteckt bleiben und somit eine andere Einrichtung, die ebenfalls ein Freischalten oder eine Authorisierung mittels der Chipkarte erfordert, während dieser Zeit nicht verwendet werden kann.
Weiterhin erfordert ein dauerhaftes Stecken einer Chipkarte in einem Chipkarten-Schreib/Lesegerät einer Einrichtung eine erhöhte Wachsamkeit von einem Benutzer der Chipkarte, dass er bei einem Verlassen der Einrichtung oder bei einem Entfernen von der Einrichtung die Chipkarte wieder aus dem Chipkarten- Schreib/Lesegerät entnimmt. Ansonsten könnte eine unberech¬ tigte Person auf die weiterhin freigeschaltete Einrichtung zugreifen oder es könnte sich eine unberechtigte Person der Chipkarte unerlaubterweise ermächtigen.
Ein einheitliches Verwenden einer einzigen Chipkarte für eine Authorisierung für verschiedene Einrichtungen kann bei üblichen Chipkartengrößen darüber hinaus insbesondere bei kleinen Geräten problematisch sein, da diese aufgrund ihrer Größe keine Chipkarte aufnehmen können. Des Weiteren weisen übliche Einrichtungen, bei denen eine PIN-Eingabe mittels einer Tastatur zum Freischalten einer Chipkarte durchgeführt wird, häufig einen ungesicherten Übertragungsweg zwischen einer Tastatur und dem Chipkarten- Schreib/Lesegerät auf oder erfordern eine gesonderte, aufwendige Sicherung dieses Übertragungswegs .
Der vorliegenden Erfindung liegt die Aufgabe zugrunde, eine Anordnung und ein Verfahren zur Authentifizierung mittels einer Chipkarte und einer Chipkartenzugriffseinrichtung anzugeben, bei der bzw. bei dem ein verbesserter und/oder flexiblerer Einsatz von Chipkarten ermöglicht wird.
Gelöst wird diese Aufgabe durch eine mobile Chipkarten¬ zugriffseinrichtung mit den Merkmalen von Patentanspruch 1, sowie ein Verfahren zur Authentifizierung mittels Chipkarte mit den Merkmalen von Patentanspruch 9. Vorteilhafte Ausführungsformen und Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen angegeben.
Die erfindungsgemäße, mobile Chipkartenzugriffseinrichtung umfasst eine Chipkartenkoppeleinrichtung zur insbesondere galvanischen, direkten und/oder berührungslosen Kontaktierung einer in die Chipkartenzugriffseinrichtung einsteckbaren
Chipkarte und eine Eingabeeinrichtung zur Eingabe und/oder Erfassung einer Authentifizierungsinformation, insbesondere durch Eingabe einer PIN oder Überprüfung biometrischer Merkmale, nach einem Einstecken und Kontaktieren der Chipkarte. Zur Überprüfung biometrischer Merkmale kann insbesondere ein Erfassen einer Fingerkuppe auf einen Fingerabdrucksensor durchgeführt werden. Darüber hinaus umfasst die mobile Chipkartenzugriffseinrichtung eine Gültigkeitsprüfeinrichtung zum Initiieren einer durch die Chipkartenzugriffseinrichtung oder durch die Chipkarte ablaufenden Überprüfung einer gültigen Authentifizierung mittels Auswerten der eingegebenen Authentifizierungsinforma- tion mit einer auf der Chipkarte gespeicherten Identifikati¬ onsinformation. Zusätzlich umfasst die mobile Chipkartenzugriffseinrichtung eine Sendeeinrichtung zur Übermittlung eines, insbesondere von der Chipkarte generierten Berechti- gungsnachweises mittels Funk aufgrund einer gültigen
Authentifizierung zu mindestens einer, den Berechtigungsnachweis prüfenden Einrichtung - insbesondere ein Arbeitsplatzrechner, ein mobiler Laptop, ein Tablet-PC, ein PDA, ein Telefon und/oder ein so genanntes Smart-Telefon, das PDA- und Telefonfunktionen vereint - im Wirkungsbereich der mobilen Chipkartenzugriffseinrichtung.
Bei dem erfindungsgemäßen Verfahren zur Authentifizierung mittels Chipkarte gegenüber mindestens einer im Wirkungsbe- reich einer mobilen Chipkarteneinrichtung befindlichen
Einrichtung, wird nach Einstecken der Chipkarte in die mobile Chipkartenzugriffseinrichtung und deren Kontaktierung eine über eine Eingabeeinrichtung der Chipkartenzugriffseinrichtung eingegebene Authentifizierungsinformation erfasst. Durch die mobile Chipkartenzugriffseinrichtung oder durch die
Chipkarte wird mittels Auswerten der eingegebenen Authentifi- zierungsinformation mit einer auf der Chipkarte gespeicherten Identifikationsinformation eine Authentifizierung auf Gültigkeit überprüft. Weiterhin wird durch eine Sendeeinrich- tung der mobilen Chipkartenzugriffseinrichtung aufgrund einer gültigen Authentifizierung ein Berechtigungsnachweis zu der mindestens einen, den Berechtigungsnachweis prüfenden Einrichtung mittels Funk übermittelt.
Die Chipkartenkoppeleinrichtung besitzt insbesondere
Kontaktstifte für einen direkten Kontakt zu Kontaktelementen der Chipkarte und/oder besitzt einen so genannten Transponder zur berührungslosen Koppelung der Chipkarte mittels einer Spule oder Antenne. Als Chipkarte ist insbesondere eine Mikroprozessorkarte oder eine so genannte Smartcard mit einem integrierten Prozessor zu verstehen. Die mobile Chipkartenzugriffseinrichtung ist insbesondere ein kabelloses Chipkarten-Schreib/Lesegerät mit einer Funk¬ schnittstelle, die vorzugsweise eine Sendereichweite bis zu einem Meter oder auch von mehreren Metern aufweist, damit bei Bewegungen innerhalb eines Raumes ein aufgebauter Kontakt zu einer Einrichtung nicht verloren geht. Vorteilhafterweise ist die Chipkartenzugriffseinrichtung lediglich wenig größer als eine Chipkarte und lässt sich in einer Tasche eines Klei¬ dungsstücks oder umgehängt um den Hals eines Benutzers tragen. Vorzugsweise ist die Chipkartenzugriffseinrichtung in einem PDA, einem Mobiltelefon oder einem schnurlosen Telefon nach dem DECT-Standard integriert, so dass ein Benutzer kein weiteres Gerät mit sich tragen muss und von dem jeweilig genannten Gerät eine bereits vorhandene Stromversorgung, eine Eingabeeinheit, eine Steuereinheit und/oder eine Sendeeinheit für die Chipkartenzugriffseinrichtung verwendet werden kann.
Vorteilhafterweise lässt sich mittels der erfindungsgemäßen Chipkartenzugriffseinrichtung eine Chipkarte zur Authentifi- zierung gegenüber einer oder mehrerer Einrichtungen verwenden, wobei sich bei der Eingabe der Authentifizierungsinfor- mation keine oder lediglich einzelne der Einrichtungen im Wirkungsbereich der Chipkartenzugriffseinrichtung befinden kann. Der Wirkungsbereich ist dabei insbesondere der umgebende Bereich der Chipkartenzugriffseinrichtung, in dem die Chipkartenzugriffseinrichtung eine Funkverbindung zu einer Einrichtung aufbauen und aufgebaut halten kann.
Insbesondere können durch die Erfindung mehrere Einrichtungen gleichzeitig von einer Chipkarte authentifiziert werden. Eine Eingabe der Authentifizierungsinformation und eine Prüfung der Gültigkeit der Authentifizierungsinformation kann dabei vorzugsweise lediglich einmal benötigt werden, wodurch das Authentifizieren von mehreren Einrichtungen sehr einfach wird. Ein umständliches Einbringen der Chipkarte in die unterschiedlichen Einrichtungen und ein wiederholtes Eingeben der Authentifizierungsinformation kann entfallen. Für die Eingabe der Authentifizierungsinformation können gemäß einer vorteilhaften Ausführungsform der mobilen Chipkartenzugriffseinrichtung eine vollständige, alle üblichen Zeichen umfassende oder eine vereinfachte Tastatur, einen Fingerabdruck-Sensor und/oder einen Touchscreen vorgesehen sein. Vorzugsweise befindet sich das jeweilige Eingabeelement integriert in die Rückseite der Chipkarten¬ zugriffseinrichtung oder sogar direkt auf der Chipkarte. Die Integration in die Chipkartenzugriffseinrichtung ist insbesondere vorteilhaft, als dass dadurch eine Manipulation oder ein Eingriff in den Authentifiziervorgang erschwert oder verhindert werden kann, da durch die Integration insbesondere ein Abhören einer eingegeben Authentifizierungsinformation deutlich erschwert oder unmöglich gemacht wird. Somit lässt sich die Chipkartenzugriffseinrichtung für Anwendungen mit hohen Sicherheitsanforderungen wie die so genannte "sichere digitale Signatur" - beispielsweise nach dem deutschen Gesetz zur digitalen Signatur, auch Signaturgesetz genannt - und E- Commerce-Anwendungen für Warenbestellungen und Geldabwicklungen über das Internet einsetzen. Weiterhin kann die Chipkartenzugriffseinrichtung für den Einsatz für höhere Sicherheitsanforderungen zertifiziert werden, beispielsweise je nach Ausgestaltung gemäß der Klassifizierung des Normenaus- Schusses der deutschen Kreditwirtschaft als Chipkarten- Schreib/Lesegerät der Klasse 2, 3 oder 4.
Zur Bestätigung der Gültigkeit einer eingegebenen Authentifi- zierungsinformation oder für weitere Interaktionen mit einem Benutzer kann die Chipkartenzugriffseinrichtung weiterhin ein Display, Leuchtdioden oder einen Lautsprecher umfassen, um zumindest gültige und/der fehlerhafte Eingaben an den Benutzer melden oder Statusinformationen ausgeben zu können.
Vorzugsweise kann weiterhin eine gegenseitige Authentifizie¬ rung zwischen der Chipkartenzugriffseinrichtung und der Chipkarte durchgeführt werden. Hierbei kann die Kenntnis eines geheimen, kryptographischen Schlüssels in der Chipkarte und der Chipkartenzugriffseinrichtung überprüft werden.
In einer vorteilhaften Weiterbildung der Erfindung kann durch eine den Berechtigungsnachweis empfangende Einrichtung infolge der Übermittlung des Berechtigungsnachweises eine Prüfung des Berechtigungsnachweises durchgeführt werden. Aufgrund eines positiven Prüfergebnisses kann daraufhin die Einrichtung bis zu einer nächsten Prüfung oder ohne zeitliche Beschränkung für eine bestimmungsgemäße Verwendung freigege¬ ben oder freigeschaltet werden. Dabei kann je nach Sicherheitsanforderungen der Einrichtung eine Freischaltung der Einrichtung dauerhaft erfolgen oder lediglich für eine vorgebbare Zeitspanne oder lediglich bis zur Beendigung einer Transaktion.
In einer weiteren vorteilhaften Ausführungsform der mobilen Chipkartenzugriffseinrichtung kann der Berechtigungsnachweis an mehrere oder alle Einrichtungen im Wirkungsbereich der Chipkartenzugriffseinrichtung übermittelt werden, so dass die Chipkartenzugriffseinrichtung in einem zeitlich überlappenden Zeitraum mit mehreren der Einrichtungen in Funkkontakt stehen kann. Die Einrichtungen können jeweils einen spezifischen oder einen für alle Einrichtungen gemeinsam bestimmten Berechtigungsnachweis erhalten und bei jeweiliger positiver Prüfung für einen folgenden Zeitraum bis zu einer nächsten Prüfung jeweils bestimmungsgemäß verwendet werden.
Die Funkübertragung von der mobilen Chipkartenzugriffsein- richtung zu den jeweiligen Einrichtungen kann in einer weiteren vorteilhaften Weiterbildung mittels einer Übertragung im Radiofrequenzbereich durchgeführt werden. Hierbei können so genannte passive oder aktive Umgebungssensoren und/oder -sender eingesetzt werden - auch Passive-Proximity- oder Active-Proximity-Einrichtung genannt . Die Kodierung der Übertragung kann weiterhin gemäß einem Bluetooth-, WLAN-, WiMAX-, DECT-, GSM-, und/oder UMTS-Standard erfolgen. Nach einer weiteren vorteilhaften Ausführungsform der Erfindung kann die mobile Chipkartenzugriffseinrichtung vorzugsweise einen weitgehend durchsichtigen Chipkarten— Behälter zur Aufnahme der Chipkarte oder lediglich Führungs¬ schienen für die Chipkarte ohne weitere Abdeckung der Chipkartenoberfläche aufweisen. Somit kann sichergestellt werden, dass angebrachte, optische Identifikationsmerkmale auf einer Oberfläche der Chipkarte - beispielsweise ein Foto eines Besitzers der Chipkarte, ein Firmenlogo, ein Hologramm, ein Beschriftungstext und/oder eine Unterschrift - im eingesteckten Zustand weitgehend unverdeckt bleiben. Somit kann mittels der erfindungsgemäßen Chipkartenzugriffseinrichtung die Chipkarte als Identifikationskarte oder Sichtausweis für eine manuelle, optische Überprüfung verwendet werden, so dass mit einer einzigen Chipkarte verschiedene Sicherheitsan¬ forderungen erfüllt werden können.
Weiterhin kann die Chipkartenzugriffseinrichtung derart ausgestaltet sein, dass verschiedene Typen von bekannten
Chipkarten verwendet werden können - beispielsweise über eine Mehrzahl von Kontakteinrichtungen, wie ein Magnetsteifenleser, eine Antenne, metallische Kontaktelemente - und die Chipkartenzugriffseinrichtung somit universell einsetzbar ist.
Ein Ausführungsbeispiel der Erfindung wird nachfolgend an Hand einer Zeichnung näher erklärt.
Dabei zeigen in schematischer Darstellung die
Figur 1 eine Chipkartenzugriffseinrichtung mit seinen wesentlichen, von außen sichtbaren Komponenten, Figur 2 ein Blockdiagramm der Chipkartenzugriffseinrichtung mit seinen wesentlichen Funktionskomponenten, und Figur 3 ein System bestehend aus der Chipkartenzugriffsein- richtung und mit dieser in Kontakt stehenden weiteren Einrichtungen.
In Figuren IA, IB, IC sind in schematischer Darstellung drei verschiedene, perspektivische Darstellungen einer Chipkartenzugriffseinrichtung CZ für einen Lese-, Schreib- und/oder Programmausführzugriff auf eine Chipkarte veranschaulicht. Die Figuren IA und IB zeigen dabei eine perspektivische Front-Seiten-Ansicht der Chipkartenzugriffseinrichtung CZ, wobei die Figur IA eine Ansicht ohne und die Figur IB eine Ansicht mit gesteckter Chipkarte C darstellt. An der Frontseite des Gehäuses befindet sich lediglich ein Sicht¬ fenster SF - als Rechteck dargestellt. Das Sichtfenster SF erlaubt es, einen Einblick auf eine gesteckte Chipkarte C zu ermöglichen, wie in Figur IB verdeutlicht. Die eingesteckte Chipkarte C wird dabei über einen rechteckigen Einschub E seitlich in die Chipkartenzugriffseinrichtung CZ eingeführt. Im eingesteckten Zustand ermöglicht das Sichtfenster SF verschiedene Merkmale der Chipkarte C für einen Benutzer sichtbar zu machen. Dies sind insbesondere ein Bild CB der Chipkarte C, eine Chipkartenbeschriftung CBSCHR oder Sicherheitsmerkmale SM wie beispielsweise ein Hologramm. Weiterhin umfasst die mobile Chipkartenzugriffseinrichtung CZ einen nicht dargestellten Akkumulator, der beispielsweise über eine Ladebuchse LB an der Oberseite der Chipkartenzugriffseinrichtung CZ aufgeladen werden kann und den mobilen Einsatz ermöglicht. Ein Aufladen des Akkumulators kann alternativ auch über ein induktives Laden lediglich durch Annäherung der Chipkartenzugriffseinrichtung CZ an eine Ladeeinrichtung erfolgen.
Die Anbringung der Chipkartenzugriffseinrichtung CZ an einen Körper eines Benutzers oder an Kleidungsstücke des Benutzers kann beispielsweise über ein Trageband TB oder alternativ über einen am der Chipkartenzugriffseinrichtung CZ befestig- ten Clip (nicht dargestellt) erfolgen. Weiterhin ist in Figur IA und IB eine Antenneneinheit AE durch ein gestrichelte Rechteck angedeutet, die von Außen nicht sichtbar ist und innerhalb der Chipkartenzugriffseinrichtung CZ enthalten ist, um Kontakt zu Kommunikationseinrichtungen im Umfeld des Benutzers aufnehmen zu können. Die Antenneneinheit AE ist dabei vorteilhafterweise so in die Chipkartenzugriffseinrich¬ tung CZ integriert, dass die Chipkartenzugriffseinrichtung CZ lediglich wenig größer als die Chipkarte C ist .
Die Figur IC zeigt eine perspektivisch schräge Darstellung der Rück-, Ober- und Seitenansicht der Chipkartenzugriffseinrichtung CZ, wobei an der Oberseite der Chipkartenzugriffseinrichtung CZ die bereits erläuterten Elemente des Tragebands TB und der Ladebuchse LB angebracht bzw. angeord- nert sind. Auf der Rückseite der Chipkartenzugriffseinrichtung CZ befinden sich ein Ziffernfeld ZF mit mehreren Eingabetasten - im vorliegenden Ausführungsbeispiel lediglich die Zahlentasten 1 bis 9 - und einer Fingerabdrucksensor FS als erfindungsgemäße Eingabeeinheit. Das Ziffernfeld ZF und der Fingerabdrucksensor FS können dabei einzeln oder gemeinsam zur Authentifizierung des Benutzers verwendet werden. Über das Ziffernfeld ZF wird dabei beispielsweise eine PIN-, Passwort- oder Code-Nummer eingegeben und erfasst. Über den Fingerabdruck FS wird der Fingerabdruck des
Benutzers eingelesen und erfasst. Vorzugsweise umfasst die Chipkartenzugriffseinrichtung CZ weiterhin eine Ein/Aus-Taste EAT zum Deaktivieren oder Aktivieren der Chipkartenzugriffseinrichtung CZ und ein LC-Display LCD und/oder eine Leuchtdiode LED für eine Ausgabe von Statusinformationen und/oder von benutzerdefinierten Hilfestellungen durch die Chipkartenzugriffseinrichtung CZ .
Die in Figur 1 dargestellt Chipkartenzugriffseinrichtung CZ ist klein, tragbar und mobil. Durch die Integration einer nicht dargestellten Schreib-/Leseeinrichtung als erfindungsgemäße Chipkartenkoppeleinrichtung und der Eingabeeinrichtun- gen des Ziffernfelds ZF und des Fingerabdrucksensors FS in ein gemeinsames Gerät der Chipkartenzugriffseinrichtung CZ können hohe Sicherheitsanforderungen garantiert werden, da ein Übertragungsweg zwischen Schreib-/Leseeinrichtung und der Eingabeeinrichtungen ohne Eingriff in die Chipkartenzugriffseinrichtung CZ von außen nicht zugänglich, abhörbar und/oder manipulierbar ist.
In Figur 2 sind in einem Blockschaltbild die wesentlichen, als Rechtecke veranschaulichten Komponenten der Chipkartenzugriffseinrichtung CZ dargestellt. Dies sind die Eingabeeinheit EE als erfindungsgemäße Eingabeeinrichtung, die in Figur 1 durch das Ziffernfeld ZF und den Fingerabdrucksensor FS repräsentiert sind. Weiterhin ist dies die Anzeigeeinheit ANZ, die in Figur 1 durch das LC-Display LCD und die
Leuchtdiode LED repräsentiert sind. Darüber hinaus umfasst die Chipkartenzugriffseinrichtung CZ eine Antenneneinheit AE und eine mit dieser in Verbindung stehenden Sendeeinheit SE, die zusammen die erfindungsgemäße Sendeeinrichtung bilden. Weiterhin umfasst die Chipkartenzugriffseinrichtung CZ eine Koppeleinrichtung KE als erfindungsgemäße Chipkartenkop- peleinrichtung zur Kontaktierung einer eingesteckten Chipkarte C und zur Kommunikation mit dieser. Weitere Elemente der Chipkartenzugriffseinrichtung CZ sind insbeson- dere eine Gültigkeitsprüfeinheit GP und eine Steuereinheit STE, die insbesondere die Gültigkeitsprüfeinheit GP, die Eingabeeinheit EE, die Anzeigeeinheit ANZ und die Sendeein¬ heit SE steuert. Diese Beziehung zueinander ist in Figur 2 jeweils durch einen durchgezogenen Strich veranschaulicht.
Nach Einstecken der Chipkarte C in die Chipkartenzugriffseinrichtung CZ stellt die Koppeleinrichtung KE einen Kontakt zu der Chipkarte C her, indem eine galvanische Kontaktierung oder eine Kontaktierung über eine in der Chipkarte C und der Chipkartenzugriffseinrichtung CZ jeweils integrierte
Kurzdistanzantenne erfolgt. Mittels der Eingabeeinheit EE kann daran anschließend eine Aktivierung bzw. Authentifizie- rung der Chipkarte C erfolgen. Dabei kann eine nur dem Benutzer der Chipkarte C zugängliche Information, beispiels¬ weise durch Eingabe einer PIN durch das Ziffernfeld ZF oder durch Auflegen eines Fingers auf den Fingerabdrucksensor FS eingegeben und erfasst werden. Erfasst wird beispielsweise die Eingabe einer mehrstelligen PIN als Authentifizierungsin- formation, wobei die erfasst PIN zu der Chipkarte C mittels der Gültigkeitsprüfeinheit GP übermittelt wird. Die Chipkarte C kann daraufhin durch Auswerten der eingegebenen PIN- Information überprüfen, ob die Authentifizierung durch den Benutzer gültig ist. Dies geschieht insbesondere durch Vergleich, Verarbeitung oder Auswerten der erfassten PIN- Information mit einer auf der Chipkarte gespeicherten, geheimen Identifikationsinformation und/oder durch Abarbei- tung eines geheimen Algorithmus. Die Auswertung auf Gültig¬ keit kann dabei von der Chipkarte C oder durch die Chipkartenzugriffseinrichtung CZ erfolgen. Ein positives oder negatives Auswertungsergebnis kann daraufhin von der Chipkarte C zur Chipkartenzugriffseinrichtung CZ übermittelt werden und infolgedessen entsprechend am LC-Display LCD oder an der Leuchtdiode LED angezeigt werden. Weiterhin kann daraufhin die Steuereinheit STE einen Zustandswechsel vollziehen, um in der folgenden Zeit Mittel bereitzustellen, um mit weiteren Einrichtungen in Kontakt treten zu können. Die Sendeeinheit SE und die Antenneneinheit AE können außerdem für den Kontakt zu den weiteren Einrichtungen aktiviert werden.
In Figur 3 ist eine Chipkartenzugriffseinrichtung CZ mit - vorzugsweise über einen längeren Zeitraum oder dauerhaft - gesteckter und kontaktierter Chipkarte C dargestellt, in deren Umfeld bzw. Wirkungsbereich - insbesondere bestimmt durch die Funkreichweite - sich mehrere Einrichtungen befinden, die zur Durchführung ihres jeweiligen bestimmungs- gemäßen Einsatzes jeweils einen Berechtigungsnachweis überprüfen. Der Berechtigungsnachweis soll im Folgenden durch die Chipkartenzugriffseinrichtung CZ bereitgestellt werden. Beispielhaft sind in Figur 3 ein Taschencomputer PDA, ein Mobiltelefon MT - beispielsweise ein schnurloses Sprachendge¬ rät registriert an einer Telefonanlage TK -, ein Arbeits- platzrechner PC und eine Zutrittskontrolleinheit ZKE dargestellt. Bei der Zugriffskontrolleinheit ZKE handelt es sich beispielsweise um ein Drehkreuz (wie in Figur 3 dargestellt) an einem Eingang einer Firma oder um eine - nicht dargestellte - Tür zu einem Gebäude, das sich nur bei vorhandener Berechtigung für einen Benutzer öffnet.
Weiterhin sei angenommen, dass die Chipkartenzugriffseinrich- tung CZ mittels ihrer Gültigkeitsprüfeinheit GP bereits eine gültige Authentifizierung des Benutzers gegenüber der Chipkarte C verifiziert hat bzw. eine derartige Überprüfung bereits ausgelöst hat und diese Überprüfung positiv ausgefal¬ len ist .
Meldungen zwischen den vorstehend genannten Einrichtungen PDA, MT, PC, ZKE und der Chipkartenzugriffseinrichtung CZ sind im Folgenden als stilisierter Blitz eines mittels Funkwellen übertragenen Meldungsverkehrs M veranschaulicht. Spezifische Meldungen sind zusätzlich jeweils als Pfeil neben dem stilisierten Blitz mit Pfeilspitze in Übermittlungsrich- tung der jeweiligen Meldung dargestellt.
Die Zutrittskontrolleinheit ZKE ist mit einem nicht darge¬ stellten Funkmodul ausgestattet und sendet in regelmäßigen Abständen eine Abfragemeldung Al in ihr jeweiliges Umfeld, um in das Umfeld eintretende Benutzer mit ihren jeweiligen Chipkartenzugriffseinrichtungen CZ zu erkennen und zu erfassen. Nähert sich nun ein Benutzer mit seiner Chipkartenzugriffseinrichtung CZ einer Zutrittskontrolleinheit ZKE an, so empfängt die Chipkartenzugriffseinrichtung CZ die genannte Abfragemeldung Al mittels ihrer Antenneneinheit AE. Die in der Abfragemeldung Al enthaltene Meldungsinformation wird durch die Steuereinheit STE aus der Abfragemeldung Al extrahiert und an die Chipkarte C weitergeleitet. Die Meldungsinformation ist beispielsweise eine Identifikations¬ nummer der Zutrittskontrolleinheit ZKE.
Die Chipkarte C antwortet darauf mit einer Antwortinformati¬ on, die an die Chipkartenzugriffseinrichtung CZ zurückübermittelt wird. Diese Antwortinformation entspricht einem Berechtigungsnachweis und wird durch die Sendeeinheit SE - gesteuert durch die Steuereinheit STE - in eine Bestätigungs- meidung Bl gepackt und mittels der Antenneneinheit AE zurück an die Zutrittkontrolleinheit ZKE mittels Funk übermittelt. Letztgenannte empfängt die Bestätigungsmeldung Bl erkennt die gültige Authentifizierung und gibt die Zutrittskontrolleinheit ZKE für den Benutzer frei, beispielsweise indem eine sonst dauerhaft bestehende Verriegelung deaktiviert wird. Somit kann der Benutzer das Gebäude oder das Gelände, das durch die Zutrittskontrolleinheit ZKE gesichert wird, betreten. Die genannte Abfragemeldung Al und die genannte Bestätigungsmeldung Bl sind dabei Teil des mittels Funk übertragenen Meldungsverkehrs M, der in dem Zeitraum, währenddem sich die Chipkartenzugriffseinrichtung CZ und die Zutrittskontrolleinheit ZKE im gegenseitigen Wirkungsbereich befinden, erfolgt.
In einem zweiten Szenario wird nun im Folgenden beschrieben, wie die Chipkartenzugriffseinrichtung CZ mittels der Erfindung zur Anmeldung am Arbeitsplatzrechner PC genutzt werden kann. Der ein Funkmodul aufweisende Arbeitsplatzrechner PC sendet vor Anzeige einer Eingabemaske für ein Login auf dessen Bildschirm, eine Suchmeldung Q an sein jeweiliges Wirkungsumfeld aus. Dies ist in Figur 3 durch mehrere Pfeile in verschiedene Richtungen ausgehend vom Arbeitsplatzrechner PC veranschaulicht.
Durch das Aussenden der Suchmeldung Q versucht der Arbeitsplatzrechner PC alle authentifizierten Chipkartenzugriffsein- richtungen CZ in seinem Wirkungsumfeld zu ermitteln. Die empfangenden Chipkartenzugriffseinrichtungen CZ übermitteln daraufhin jeweils eine Kennungsmeldung K an den Arbeitsplatzrechner PC, die insbesondere eine eindeutige Kennung für die Chipkarte oder eine benutzerspezifische Information - beispielsweise ein Name oder ein Rechner-Login des Benutzers - umfasst. Nach Erhalt einer oder mehrerer Kennungsmeldungen K zeigt der Arbeitsplatzrechner PC ein Login-Fenster (in Figur 3 nicht dargestellt) mit den aus den empfangenen Kennungsmeldungen K ermittelten und auszuwählenden Kennungen am Bildschirm an. Das Login-Fenster umfasst vorzugsweise zusätzlich weiterhin ein Eingabefeld für eine weitere Authentifizierungsinformation, beispielsweise einer PIN, damit bei mehreren angezeigten Kennungen nur die jeweilige Kennung aktiviert werden kann, die durch den Benutzer mittels Eingabe der PIN tatsächlich aktiviert werden soll. Auf diese Weise kann verhindert werden, dass ein Benutzer unberechtigt das Login eines weiteren Benutzers, der sich mit einer Chipkartenzugriffseinrichtung CZ in der Nähe des Arbeitsplatzrechners PC aufhält, verwenden kann.
Wählt nun ein Benutzer des Arbeitsplatzrechners PC eine der angezeigten Kennungen aus, gibt eine zugehörige PIN ein und initiiert den Login-Vorgang, so wird eine Login- Authentifizier-Anforderungsmeldung A2 vom Arbeitsplatzrechner PC an die ausgewählte Chipkartenzugriffseinrichtung CZ übermittelt. Eine durch den Login-Vorgang bestimmte und mittels der Login-Authentifizier-Anforderungsmeldung A2 übermittelte Authentifizierungsinformation wird durch die Chipkartenzugriffseinrichtung CZ an die Chipkarte C weiterge- leitet, die daraufhin eine Prüfung der Berechtigung des jeweiligen Arbeitsplatzrechner-Benutzers durchführt. Die Chipkarte C erzeugt über einen geheimen Algorithmus unter Verwendung der Authentifizierungsinformation einen Berechtigungsnachweis und übergibt diesen der Chipkartenzugriffsein- richtung CZ. Diese übermittelt den erzeugten Berechtigungs¬ nachweis mittels ihrer Sendeeinheit SE über Funk zu dem Arbeitsplatzrechnet PC mittels der Authentifizierungsbestäti- gungsmeldung B2. Der Arbeitsplatzrechner PC empfängt diese Authentifizierungsbestätigungsmeldung B2, überprüft den darin enthaltenen Berechtigungsnachweis und gibt den Arbeitsplatz¬ rechner PC für den Benutzer frei, sofern sich der Berechti- gungsnachweis als gültig erweist .
Im weiteren Verlauf können nun für den bestimmungsgemäßen Einsatz des Arbeitsplatzrechners PC in zeitlichen Abständen Abfragemeldungen an die Chipkartenzugriffseinrichtung CZ abgesendet werden, mittels derer erkannt werden kann, ob sich die Chipkartenzugriffseinrichtung CZ und ihre gesteckte Chipkarte C weiterhin im Wirkungsumfeld des Arbeitsplatzrechners PC befinden. Ist dies nicht der Fall, so kann ein Ausbleiben einer Antwortmeldung von der Chipkarten- Zugriffseinrichtung CZ bewirken, dass der Arbeitsplatzrechner PC gesperrt wird.
Während nun der Arbeitsplatzrechner PC bestimmungsgemäß eingesetzt werden kann, wird durch den Benutzer ein weiteres Gerät, der Taschencomputer PDA eingeschaltet. Hierbei sei angenommen, dass Daten auf dem Taschencomputer PDA über Authentifizierungsmechanismen gesondert gesichert sind. Wird nun versucht, auf diese Daten zuzugreifen, so wird durch den PDA ein integriertes Funkmodul aktiviert, und über das Funkmodul eine Abfragemeldung (nicht explizit dargestellt) mit einer PrüfInformation an die im Umfeld befindlichen Chipkartenzugriffseinrichtungen CZ übermittelt. Diese PrüfInformation wird durch die Chipkartenzugriffseinrichtung CZ an die Chipkarte C weitergeleitet, die daraufhin eine Prüfung mittels Abgleich oder Auswertung gespeicherter Daten auf der Chipkarte C durchführt. Auf diese Weise erzeugt die Chipkarte C eine Antwortinformation, die mittels der Sendeeinheit SE der Chipkartenzugriffseinrichtung CZ zurück an den Taschencomputer PDA übermittelt wird (nicht darge- stellt) . Diese Antwortinformation entspricht einem Berechti¬ gungsnachweis und wird nun durch den Taschencomputer PDA geprüft. Erweist sich der Berechtigungsnachweis in einer durch den Taschencomputer PDA durchgeführten Prüfung - beispielsweise durch einen Vergleich mit einer Referenzinformation - als gültig, so werden die Daten frei geschalten und dem Benutzer an einer Anzeigeeinheit des Taschencomputers PDA angezeigt .
In einem weiteren Szenario wird im Folgenden die Kontaktauf¬ nahme eines Mobiltelefons MT - beispielsweise ein so genanntes Smart-Phone - zur Chipkartenzugriffseinrichtung CZ dargestellt. Hierbei sei angenommen, dass ein Einsatz des Mobiltelefons MT auch ohne Authentifizierung durch die Chipkartenzugriffseinrichtung CZ möglich ist. Jedoch sollen durch die Authentifizierung beim Mobiltelefon MT benutzerspezifische Einstellungen aktiviert werden können.
Zeitlich überlappend mit dem aktivierten Zustand des Arbeitsplatzrechner PC und/oder des Taschencomputers PDA kann nun ein Benutzer des Mobiltelefons MT sich an diesem mittels seiner Bürorufnummer oder einer anderen, eindeutigen, benutzerspezifischen Information identifizieren. Diese
Rufnummer wird nun an die Chipkartenzugriffseinrichtung CZ innerhalb einer Abfragemeldung (nicht explizit dargestellt) übermittelt. Die Chipkarte C analysiert diese Information und antwortet darauf mit einer Bestätigungsinformation, sofern der Chipkarte C die übermittelte Bürorufnummer oder benutzerspezifische Information bekannt ist. Die Chipkarten¬ zugriffseinrichtung CZ übermittelt die Bestätigungsinformati¬ on als Berechtigungsnachweis mittels ihrer Sendeeinheit SE über Funk an das Mobiltelefon MT. Erweist sich die übermit- telte Antwortinformation als gültig, so kann das Mobiltelefon MT benutzerspezifische Einstellungen des jeweiligen Benutzers aktivieren. Dies erfolgt beispielsweise durch Kontaktaufnahme des Mobiltelefons MT zu einem Telekommunikationssystem TK - in Figur 3 als Rechteck dargestellt -, in dem die jeweiligen Benutzer-Einstellungen gespeichert sind. Diese aktivierten Benutzereinstellungen können dabei auch weiterhin aktiviert bleiben, nachdem der Benutzer den Umgebungsbereich des Mobiltelefons MT mitsamt seiner Chipkartenzugriffseinrichtung CZ verlassen hat. Somit unterscheidet sich dies vom Verhalten des Arbeitsplatzrechners PC, bei dem ein Verlassen des Wirkungsumfeldes des Arbeitsplatzrechners PC ein Deaktivieren oder ein Sperren des Arbeitsplatzrechners PC bewirkt und somit höhere Sicherheitsanforderung erfüllen kann.
Bei der Erfindung ist insbesondere vorteilhaft, dass mehrere Einrichtungen, die einen Berechtigungsnachweis erfordern, bevor sie bestimmungsgemäß eingesetzt werden können, gleichzeitig durch eine einzelne Chipkartenzugriffseinrichtung CZ und einer gesteckten Chipkarte C authorisiert werden können. Dies bedeutet insbesondere, dass beispielsweise der Taschencomputer PDA, das Mobiltelefon MT und der Arbeits- platzrechner PC zeitlich überlappend durch den Benutzer eingesetzt werden können. Dies ist bei üblichen stationären Systemen, bei denen eine Chipkarte gesteckt bleiben muss, mit einer einzelnen Chipkarte nicht möglich, da diese sich ja nur in einem Gerät befinden kann.
Weiterhin ist vorteilhaft, dass durch die Chipkartenzugriffseinrichtung CZ gleichzeitig verschiedene Prüfalgo¬ rithmen und Prüfverfahren eingesetzt werden können, die unter anderem unterschiedliche Sicherheitskriterien erfüllen können. Somit kann eine Chipkarte für verschiedene Einsatz¬ möglichkeiten verwendet werden.
Weiterhin ist vorteilhaft dass die Chipkartenzugriffseinrichtung verschiedene Funkstandards unterstützen kann. Beispiels- weise kann ein mobiler Rechner über Bluetooth und ein Computernetzwerk über Wireless LAN kontaktiert werden. Darüber hinaus ist eine direkte Kontaktierung über den GSM-, UMTS- oder DECT-Standard möglich (GSM: Globile System for Mobile Communication, UMTS: Universal Mobile Telecommunicati- ons System, DECT: Digital Enhanced Cordless Telecommunicati- ons) . Darüber hinaus ist vorteilhaft, dass neue Anwendungen eingeführt werden können, bei denen eine Authentifizierung oder auch Steuerung lediglich durch Annäherung eines Benutzers mit einer Chipkartenzugriffseinrichtung CZ erfolgen kann. Beispielsweise könnte ein Automobil lediglich durch
Annäherung mit einer spezifischen Chipkartenzugriffseinrichtung CZ entriegelt werden und könnten benutzerindividuelle Einstellungen - beispielsweise die Sitzposition - vorgenommen werden .
Mittels der Erfindung lässt sich darüber hinaus beispielswei¬ se ein internetfähiger PC in einem Gemeinschaftsraum einer Firma derart steuern, dass unberechtigte Personen jeweils lediglich einen Zugang zu frei zugängliche Bereiche des Intranets besitzen und dass Benutzer mit erweiterten Rechten mittels Authentifizierung durch die Chipkartenzugriffseinrichtung CZ auch restriktive Bereiche des Intranets abfragen dürfen oder einen Zugriff auf das Internet erhalten können.
Bekannte Chipkarten besitzen häufig optische Merkmale, die auf die Gültigkeit der Chipkarten hindeuten. Dies sind beispielsweise ein Bild eines Benutzers auf der Chipkarte, ein Firmenlogo oder ein Hologramm. An der dargestellten mobilen Chipkartenzugriffseinrichtung CZ ist bezüglich dieser optischen Merkmale weiterhin vorteilhaft, dass sie auf Grund des Sichtfensters SF weiterhin die Funktion einer Sichtidentifikationskarte behalten kann. Somit sind eine zeitgleiche elektronische Authentifizierung und eine manuelle optische Authentifizierung, beispielsweise durch Sicherheitspersonal, einfach möglich. Alternativ zur Ausgestaltung mit einem
Sichtfenster, kann die Sichtbarkeit der optischen Merkmale auch durch Führungsschienen an der Chipkartenzugriffseinrich- tung-Oberflache sichergestellt werden, mittels denen eine Chipkarte fixiert werden kann, wobei keine oder lediglich eine geringe Abdeckung der Chipkartenoberfläche erfolgt und somit auch in dieser Ausgestaltung optische Identifikations- merkmale auf einer Oberfläche der Chipkarte im eingesteckten Zustand weitgehend unverdeckt bleiben.
Um eine erhöhte Sicherheit gegenüber Missbrauch oder unbewusstem Fehlverhalten bei der Authentifizierung mittels mobiler Chipkartenzugriffseinrichtung zu erhalten, kann die erfindungsgemäße Chipkartenzugriffseinrichtung dergestalt erweitert werden, dass jegliche Kontaktaufnahme von Einrich¬ tungen am Display der Chipkartenzugriffseinrichtung oder über einen Tongenerator angezeigt wird und eine Antwort der
Chipkartenzugriffseinrichtung explizit vom Benutzer mittels Benutzeraktion an der Eingabeeinrichtung freigegeben werden muss. Vorzugsweise kann am Display angegeben werden, durch welche Einrichtung eine Authentifizierung abfragt wurde.
Bei den im Rahmen der Figurenbeschreibung genannten Meldungen und Berechtigungsnachweise kann es sich insbesondere um so genannte Signatur-Token oder Authentifizierungstoken handeln, wobei ein gültiger Token die Berechtigung für die Benutzung einer jeweiligen Einrichtung durch den Benutzer sicherstellt. Der Token wird vorzugsweise in der Chipkarte ermittelt oder berechnet, wobei das Ergebnis der Berechnung einen Besitz und/oder korrekten Gebrauchs des Tokens beweist. Bei Smart Cards mit Zertifikaten kann das eine Signatur oder eine korrekte Entschlüsselung sein. Weiterhin kann ein Token auch ein Einmalpasswort sein.
Alternativ und/oder zusätzlich zu den im Ausführungsbeispiel genannten Meldungen, kann auch die Chipkartenzugriffseinrich- tung mit gesteckter und aktivierter Chipkarte permanent und/oder wiederholt Abfragemeldungen an dessen Wirkungsumfeld aussenden, um eine, eine Authentifizierung erfordernde Einrichtung zu erfassen. Dies kann eingesetzt werden, um neue Einrichtungen aufzuspüren, oder um das Vorhandensein bereits authentifizierter Einrichtungen zu bestätigen. Vorteilhafterweise umfasst die Chipkarte oder die Chipkarten¬ zugriffseinrichtung weiterhin einen Speicher zum Ablegen von Identifikationsinformationen bereits authentifizierter Einrichtungen, für die ein Benutzter aktuell eine Berechti- gung erworben hat, so dass ein vorübergehender Kontaktverlust und/oder ein kurzzeitiges Verlassen des Wirkungsbereichs der Chipkartenzugriffseinrichtung nicht zu einem erneuten Starten des Authentifizierungsvorgangs und darin eventuell enthalte¬ nen, manuellen Schritten führt. Auf diese Weise kann erreicht werden, dass der Benutzer so wenig wie möglich manuelle Schritte durchführen muss, um eine Berechtigung für eine Einrichtung zu erhalten.
Das genannte Verfahren ist anhand einer Chipkarte beschrie- ben, doch kann die Erfindung darüber hinaus auch für andere mobile, prozessorgesteuerte Kleinrechner - beispielsweise USB- oder Bluetooth-Dongles (USB: Universal Serial Bus) mit eigenem Prozessor und Schnittstelle zu einem Schreib/Lese¬ gerät, eingesetzt werden. Die erfindungsgemäße Chipkarten- Zugriffseinrichtung muss hierbei lediglich eine geeignete Schnittstelle zu diesem Kleinrechner bereitstellen.
Darüber hinaus lässt sich die erfindungsgemäße Chipkarten¬ zugriffseinrichtung auch in ein Mobilgerät wie ein schnurlo- ses Telefon oder ein Taschencomputer integrieren. Dies ist insbesondere vorteilhaft, als dass der Benutzer nicht erneut ein weiteres Gerät dauerhaft mit sich tragen muss. Vorzugs¬ weise ist die Chipkarte - insbesondere bei Integrierung in ein Telefon oder Taschencomputer, aber auch bei einem eigenständigen Gerät - über einen Schlitz der Chipkartenzugriffseinrichtung und/oder ohne Lage-Veränderung von beweglichen Komponenten der Chipkartenzugriffseinrichtung (CZ) in bzw. aus der Chipkartenzugriffseinrichtung (CZ) einsteckbar bzw. entfernbar. Ein Öffnen einer Abdeckung, beispielsweise eines Batterie-Fachs oder ein Entfernen einer Komponente, wie einer Batterie, soll für diesen Vorgang nicht nötig sein, so dass ein Wechsel der Chipkarte einfach und schnell vollzogen werden kann.
Dies erlaubt es weiterhin, dass die Chipkarte nicht permanent gesteckt bleibt, sondern beispielsweise lediglich während des Aufenthalts auf einem Firmengelände gesteckt wird und während des gesamten Aufenthalts auf dem Firmengelände gesteckt bleibt, wobei die Chipkarte beim Verlassen des Firmengeländes wieder entnommen wird. Dies kann insbesondere bei eigenstän- digen Chipkartenzugriffseinrichtung - Wie in den Figuren 1 und 3 dargestellt - von Vorteil sein, da ein Anwendungsbei¬ spiel so aussehen kann, dass die Chipkartenzugriffseinrich- tungen bei einem Pförtner einer Firma aufbewahrt und mit Strom aufgeladen werden und beim Annähern ans Firmengelände eine der Chipkartenzugriffseinrichtungen an einen Benutzer überreicht wird, wobei dieser mittels der genannten, einfachen Weise seine Chipkarte schnell und einfach in die mobile Chipkartenzugriffseinrichtung einführen kann.

Claims

Patentansprüche
1. Mobile Chipkartenzugriffseinrichtung (CZ), umfassend a. einer Chipkartenkoppeleinrichtung (KE) zur Kontak- tierung einer in die Chipkartenzugriffseinrichtung (CZ) einsteckbaren Chipkarte (C), b. einer Eingabeeinrichtung (EE) zur Eingabe und/oder Erfassung einer Authentifizierungsinformation nach einem Einstecken und Kontaktieren der Chipkarte
(C) , c. einer Gültigkeitsprüfeinrichtung (GP) zum Initiieren einer durch die Chipkartenzugriffseinrichtung (CZ) oder durch die Chipkarte (C) ablaufenden Über- prüfung einer gültigen Authentifizierung mittels
Auswerten der eingegebenen Authentifizierungsinformation mit einer auf der Chipkarte (C) gespeicherten Identifikationsinformation, und d. einer Sendeeinrichtung (SE, AE) zur Übermittlung eines Berechtigungsnachweises mittels Funk aufgrund einer gültigen Authentifizierung zu mindestens einer, den Berechtigungsnachweis prüfenden Einrichtung (PDA, PC, MT, ZPE) im Wirkungsbereich der mobilen Chipkartenzugriffseinrichtung (CZ) .
2. Mobile Chipkartenzugriffseinrichtung (CZ) nach Anspruch 1, dadurch gekennzeichnet, dass durch eine den Berechtigungsnachweis empfangende Einrichtung (PDA, PC, MT, ZPE) infolge der Übermittlung (Bl, B2) des Berechtigungsnachweises eine Prüfung des Berechtigungsnachweises durchgeführt wird und aufgrund eines positiven Prüfergebnisses die Einrichtung (PDA, PC, MT, ZPE) bestimmungsgemäß verwendet werden kann.
3. Mobile Chipkartenzugriffseinrichtung (CZ) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Berechtigungsnachweis an mehrere Einrichtungen (PDA, PC, MT, ZPE) übermittelt wird und/oder in einem zeitlich überlappenden Zeitraum die mehreren Einrichtungen (PDA, PC, MT, ZPE) jeweils einen Berechtigungsnachweis erhalten und bei jeweiliger positiver Prüfung die mehreren Einrichtungen (PDA, PC, MT, ZPE) in diesem Zeitraum jeweils bestimmungsgemäß verwendet werden können .
4. Mobile Chipkartenzugriffseinrichtung (CZ) nach einem der vorhergehenden Ansprüche, gekennzeichnet durch eine batterie- oder akkumulatorbasierte Stromversorgungs¬ einheit .
5. Mobile Chipkartenzugriffseinrichtung (CZ) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Eingabeeinrichtung (EE) zur Eingabe der Authenti- fizierungsinformation eine Tastatur (ZF) , einen Fingerabdruck-Sensor (FS) und/oder einen Touchscreen umfasst.
6. Mobile Chipkartenzugriffseinrichtung (CZ) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass durch die Sendeeinrichtung (SE, AE) die Übermittlung (M, Al, Bl, A2, B2, K) im Radiofrequenzbereich und/oder die Übermittlung (M, Al, Bl, A2, B2, K) nach Bluetooth-, WLAN- und/oder WiMAX-Standard erfolgt.
7. Mobile Chipkartenzugriffseinrichtung (CZ) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Chipkartenzugriffseinrichtung (CZ) - einen weitgehend durchsichtigen Behälter oder
- lediglich Führungsschienen ohne weitere Abdeckung zum Aufnehmen der eingesteckten Chipkarte (C) aufweist.
8. Mobile Chipkartenzugriffseinrichtung (CZ) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Chipkarte (C)
- über einen Schlitz (E) der Chipkartenzugriffseinrichtung (CZ) und/oder
- ohne Lage-Veränderung von beweglichen Komponenten der Chipkartenzugriffseinrichtung (CZ) in bzw. aus der Chipkartenzugriffseinrichtung (CZ) einsteckbar bzw. entfernbar ist.
9. Verfahren zur Authentifizierung mittels Chipkarte (C) gegenüber mindestens einer im Wirkungsbereich einer mobilen Chipkartenzugriffseinrichtung (CZ) befindlichen Einrichtung (PDA, PC, MT, ZPE), wobei
- nach Einstecken der Chipkarte (C) in die mobile Chipkartenzugriffseinrichtung (CZ) und deren Kontaktierung eine über eine Eingabeeinrichtung (EE) der Chipkartenzugriffseinrichtung (CZ) eingegebene Authentifizierung- sinformation erfasst wird,
- durch die mobile Chipkartenzugriffseinrichtung (CZ) oder durch die Chipkarte (C) mittels Auswerten der eingegebe¬ nen Authentifizierungsinformation mit einer auf der Chipkarte (C) gespeicherten Identifikationsinformation eine Authentifizierung auf Gültigkeit überprüft wird, und
- durch eine Sendeeinrichtung (SE, AE) der mobilen Chipkartenzugriffseinrichtung (CZ) aufgrund einer gültigen Authentifizierung ein Berechtigungsnachweis zu der min- destens einen, den Berechtigungsnachweis prüfenden Ein¬ richtung (PDA, PC, MT, ZPE) mittels Funk übermittelt wird.
10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass durch die mindestens eine Einrichtung (PDA, PC, MT, ZPE) wiederholt eine Abfrage-Meldung (Q) ausgesendet wird, um ein Vorhandensein der Chipkartenzugriffseinrichtung (CZ) mit gesteckter Chipkarte (C) im Wirkungsumfeld der Einrichtung (PDA, PC, MT, ZPE) oder ein Verlassen der Chipkartenzugriffseinrichtung (CZ) mit gesteckter Chipkar- te (C) aus Wirkungsumfeld der Einrichtung (PDA, PC, MT, ZPE) zu erfassen.
11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass durch die mindestens eine Einrichtung (PDA, PC, MT, ZPE) infolge einer oder mehrerer Quittungen (K) auf die Abfrage-Meldung (Q) von Chipkartenzugriffseinrichtungen (CZ) mit gesteckter Chipkarte (C) im Wirkungsumfeld der Einrichtung (PDA, PC, MT, ZPE) eine Auswahlinformation zugeordnet zu mindestens einer der quittierenden Chipkartenzugriffseinrichtungen (CZ) an der Einrichtung (PDA, PC, MT, ZPE) zur Auswahl angezeigt wird.
12. Verfahren nach einem der Ansprüche 9 bis 11, dadurch gekennzeichnet, dass durch die Chipkartenzugriffseinrichtung (CZ) bei Entfernen oder Deaktivieren einer gesteckten Chipkarte (C) eine Deaktivierungsmeldung an eine oder mehrere, durch die Chipkartenzugriffseinrichtung (CZ) authentifizierte Ein- richtungen (PDA, PC, MT, ZPE) im Wirkungsumfeld der Chipkartenzugriffseinrichtung (CZ) ausgesendet wird, um der jeweiligen Einrichtung (PDA, PC, MT, ZPE) die Berechtigung für ein bestimmungsgemäßes Verwenden der Einrichtung (PDA, PC, MT, ZPE) zu entziehen.
13. Verfahren nach einem der Ansprüche 9 bis 12, dadurch gekennzeichnet, dass durch die Chipkartenzugriffseinrichtung (CZ) mit gesteckter Chipkarte (C) - wiederholt eine Abfrage-Meldung in das Wirkungsumfeld der Chipkartenzugriffseinrichtung (CZ) ausgesendet wird, um eine, eine Authentifizierung erfordernde Einrichtung (PDA, PC, MT, ZPE) zu erfassen und/oder - nach erfolgter Authentifizierung bei der Einrichtung
(PDA, PC, MT, ZPE) wiederholt ein Berechtigungsnachweis an die Einrichtung (PDA, PC, MT, ZPE) übermittelt wird, um die Authentifizierung für ein bestimmungsgemäßes Verwenden der Einrichtung (PDA, PC, MT, ZPE) aufrecht zu erhalten.
14. Verfahren nach einem der Ansprüche 9 bis 13, dadurch gekennzeichnet, dass durch eine der Einrichtungen (PDA, PC, MT, ZPE) eine Eingabe einer zusätzlichen Identifizierungsinformation an der Einrichtung (PDA, PC, MT, ZPE) erfasst wird.
PCT/EP2006/067016 2005-11-29 2006-10-04 Mobile chipkarteneinrichtung und verfahren zur authentifizierung mittels chipkarte gegenüber mindestens einer einrichtung WO2007062888A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102005056862A DE102005056862A1 (de) 2005-11-29 2005-11-29 Mobile Chipkarteneinrichtung und Verfahren zur Authentifizierung mittels Chipkarte gegenüber mindestens einer Einrichtung
DE102005056862.9 2005-11-29

Publications (1)

Publication Number Publication Date
WO2007062888A1 true WO2007062888A1 (de) 2007-06-07

Family

ID=37564260

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2006/067016 WO2007062888A1 (de) 2005-11-29 2006-10-04 Mobile chipkarteneinrichtung und verfahren zur authentifizierung mittels chipkarte gegenüber mindestens einer einrichtung

Country Status (2)

Country Link
DE (1) DE102005056862A1 (de)
WO (1) WO2007062888A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2579423B8 (de) * 2011-10-05 2023-08-23 Malikie Innovations Limited Drahtloses Aufladen und Kommunizieren mit Stromquellenvorrichtungen und Stromladungsvorrichtungen in einem Kommunikationssystem
GB2501321A (en) * 2012-04-20 2013-10-23 Powa Technologies Ltd Smart-card reader device with means for ensuring card alignment

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0159539A1 (de) * 1984-04-04 1985-10-30 Siemens Aktiengesellschaft Chipkartensystem
WO1999056429A1 (en) * 1998-04-24 1999-11-04 Identix Incorporated Personal identification system and method
DE19860177A1 (de) * 1998-12-24 2000-07-06 Ibm Verfahren und Vorrichtung zur benutzerkontrollierten Freischaltung von Chipkartenfunktionen
FR2805065A1 (fr) * 2000-02-11 2001-08-17 Stella Lecteur de carte a puce de type visionneuse comprenant des moyens d'emission-reception de donnees sans contact
NL1017947C2 (nl) * 2001-04-26 2002-10-29 Scm Microsystems Nederland B V Communicatiesamenstel voor het uitwisselen van gegevens en werkwijzen voor gebruik van een dergelijk communicatiesamenstel.
WO2005020127A2 (en) * 2003-08-11 2005-03-03 Smartmetric, Inc. Intelligent id card holder
US20050221853A1 (en) * 2004-03-31 2005-10-06 Silvester Kelan C User authentication using a mobile phone SIM card

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0159539A1 (de) * 1984-04-04 1985-10-30 Siemens Aktiengesellschaft Chipkartensystem
WO1999056429A1 (en) * 1998-04-24 1999-11-04 Identix Incorporated Personal identification system and method
DE19860177A1 (de) * 1998-12-24 2000-07-06 Ibm Verfahren und Vorrichtung zur benutzerkontrollierten Freischaltung von Chipkartenfunktionen
FR2805065A1 (fr) * 2000-02-11 2001-08-17 Stella Lecteur de carte a puce de type visionneuse comprenant des moyens d'emission-reception de donnees sans contact
NL1017947C2 (nl) * 2001-04-26 2002-10-29 Scm Microsystems Nederland B V Communicatiesamenstel voor het uitwisselen van gegevens en werkwijzen voor gebruik van een dergelijk communicatiesamenstel.
WO2005020127A2 (en) * 2003-08-11 2005-03-03 Smartmetric, Inc. Intelligent id card holder
US20050221853A1 (en) * 2004-03-31 2005-10-06 Silvester Kelan C User authentication using a mobile phone SIM card

Also Published As

Publication number Publication date
DE102005056862A1 (de) 2007-06-06

Similar Documents

Publication Publication Date Title
EP2949094B1 (de) Verfahren zur authentisierung eines nutzers gegenüber einem automat
DE10224209B4 (de) Autorisierungseinrichtung-Sicherheitsmodul-Terminal-System
DE10249801B3 (de) Verfahren zum Ausführen einer gesicherten elektronischen Transaktion unter Verwendung eines tragbaren Datenträgers
DE19860177C2 (de) Verfahren und Vorrichtung zur benutzerkontrollierten Freischaltung von Chipkartenfunktionen
EP3215974B1 (de) Verfahren zum bereitstellen eines zugangscodes auf einem portablen gerät und portables gerät
DE102011116489A1 (de) Mobiles Endgerät, Transaktionsterminal und Verfahren zur Durchführung einer Transaktion an einem Transaktionsterminal mittels eines mobilen Endgeräts
WO2006015573A1 (de) Datenträger zur kontaktlosen übertragung von verschlüsselten datensignalen
DE102013221768A1 (de) Dokument mit einer kontaktlosen Chipkartenschnittstelle und elektronisches System
DE102005005378A1 (de) Vorrichtung zur Eingabe und Übertragung von verschlüsselten Signalen
EP2996299B1 (de) Verfahren und Anordnung zur Autorisierung einer Aktion an einem Selbstbedienungssystem
EP3047670B1 (de) Authentifizierungssystem für ein mobiles datenendgerät
WO2007062888A1 (de) Mobile chipkarteneinrichtung und verfahren zur authentifizierung mittels chipkarte gegenüber mindestens einer einrichtung
DE102012002619B3 (de) Universalkarte zur Vereinfachung des Gebrauchs einer Vielzahl von Karten
WO2017036455A2 (de) Vorrichtung und verfahren zum authentifizieren und autorisieren von personen
EP2774074B1 (de) Dokument, verfahren zur authentifizierung eines benutzers, insbesondere zur freischaltung einer chipkartenfunktion, und computersystem
DE102017123113A1 (de) Vorrichtung zum Speichern von Kennwörtern
DE102010054061B4 (de) Tragbares System aus Datenträger und Eingabemittelträger, Verwendung und Verfahren des Systems
EP3306516A1 (de) Eingabevorrichtung und -verfahren
DE102005059001A1 (de) Tragbares elektronisches Gerät, Verfahren zum Freischalten einer Chipkarte und Computerprogrammprodukt
DE102024109362A1 (de) Platzierung einer mobilen drahtlosen vorrichtung auf einer anzeigetafel mit einer verborgenen antenne
EP2544155A1 (de) Personenidentifizierung
DE10063015B4 (de) Zugangskontrollsystem
DE102012025418A1 (de) Verfahren, portabler Datenträger und Terminaleinrichtung zum Durchführen einer kontaktlosen Transaktion
WO2013064137A1 (de) Verfahren zur eingabe einer persönlichen identifikationsnummer und technisches hilfsmittel dafür
EP4300384A1 (de) Hintergrundsystem für ein personentransportsystem

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 06806952

Country of ref document: EP

Kind code of ref document: A1