DE10339173A1 - Mobile telecommunications device for fixing and issuing an authenticating code has a subscriber identity module for telecommunications functions - Google Patents

Mobile telecommunications device for fixing and issuing an authenticating code has a subscriber identity module for telecommunications functions Download PDF

Info

Publication number
DE10339173A1
DE10339173A1 DE10339173A DE10339173A DE10339173A1 DE 10339173 A1 DE10339173 A1 DE 10339173A1 DE 10339173 A DE10339173 A DE 10339173A DE 10339173 A DE10339173 A DE 10339173A DE 10339173 A1 DE10339173 A1 DE 10339173A1
Authority
DE
Germany
Prior art keywords
subscriber identity
identity module
mobile telecommunication
authentication
code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10339173A
Other languages
German (de)
Inventor
Monika Girnghuber
Michael Schnellinger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE10339173A priority Critical patent/DE10339173A1/en
Publication of DE10339173A1 publication Critical patent/DE10339173A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Abstract

A subscriber identity module (SIM) (12) for a mobile telecommunications device (MTD) (10) runs functions for fixing an authenticating code (AC). The SIM has a code-generating program (CGP) (48) for fixing an AC to run in a program-operating environment (POE) (46) of the MTD. If the CGP runs in the POE of the MTD, it is set up to fix and issue ACs for purposes outside specified telecom functions. An independent claim is also included for a subscriber identity module for telecommunications functions used in a mobile telecommunications device.

Description

Die Erfindung betrifft allgemein das Gebiet der Authentisierung, zum Beispiel zur Zugriffs- oder Zugangssicherung oder im Zusammenhang mit der elektronischen Signatur von Dokumenten. Spezieller betrifft die Erfindung die Verwendung eines Mobiltelekommunikationsgeräts zum Bestimmen und Ausgeben von Authentisierungscodes. Ein derartiges Mobiltelekommunikationsgerät kann beispielsweise ein Mobiltelefon oder ein persönlicher digitaler Assistent (PDA = Personal Digital Assistant) mit Mobilkommunikationsfunktionen sein.The The invention relates generally to the field of authentication, to Example for access or access protection or related with the electronic signature of documents. More specifically the invention the use of a mobile telecommunication device for determining and issuing authentication codes. Such a mobile telecommunications device, for example, a Cellphone or a personal digital assistant (PDA = Personal Digital Assistant) with mobile communication features be.

Die Firma RSA Security, Inc., Bedford, Massachusetts, USA, vertreibt gegenwärtig unter der Marke "SecurID" ein Authentisierungssystem mit Authentisierungscodes, die im Minutentakt wechseln. Die Authentisierungscodes werden von sogenannten Tokens erzeugt und an einen Benutzer – in manchen Ausgestaltungen auch direkt an einen die Authentisierung anfordernden Computer – ausgegeben. Als Tokens werden handliche Geräte sowie SmartCards und Softwareprogramme angeboten. Letztere sind für übliche Betriebssysteme von persönlichen Computern und PDAs sowie für die unter den Marken "Nokia 9210 Communicator" und "Ericsson R380s" bekannten Mobiltelekommunikationsgeräte erhältlich.The Company RSA Security, Inc., Bedford, Massachusetts, USA currently under the brand "SecurID" an authentication system with authentication codes that change every minute. The authentication codes are generated by so-called tokens and sent to a user - in some embodiments also directly to a computer requesting authentication. Tokens become handy devices SmartCards and software programs. The latter are for common operating systems from personal Computers and PDAs as well the under the brands "Nokia 9210 Communicator "and" Ericsson R380s "known mobile telecommunication devices available.

Die gerade geschilderte Lösung erfüllt hohe Sicherheitsanforderungen, da die Authentisierungscodes schnell wechseln und somit ein möglicher Angreifer aus der Ausspähung eines Authentisierungscodes kaum Nutzen ziehen könnte. Ein Problem ergibt sich jedoch dadurch, daß dem Benutzer nur eine eingeschränkte Auswahl an Tokens angeboten wird. Insbesondere sind nur einzelne Typen von Mobiltelekommunikationsgeräten als Tokens verwendbar. Ein Benutzer, der kein solches Mobiltelekommunikationsgerät besitzt, muß ein separates Token – z.B. in Form eines Schlüsselanhängers – mit sich führen.The just described solution Fulfills high security requirements, since the authentication codes are fast change and thus a possible Attackers from the spying of an authentication code could hardly benefit. A problem arises but in that the Users only a limited Selection of tokens is offered. In particular, only individual Types of mobile telecommunication devices usable as tokens. A user who does not have such a mobile telecommunication device, has to be separate token - e.g. in the form of a key fob - with you to lead.

Die Erfindung hat die Aufgabe, die genannten Probleme ganz oder teilweise zu lösen. Insbesondere soll durch die Erfindung eine für den Benutzer komfortable Möglichkeit zum Bestimmen und Ausgeben von Authentisierungscodes geschaffen werden, die für eine Vielzahl unterschiedlicher Mobiltelekommunikationsgeräte geeignet ist. In bevorzugten Ausgestaltungen soll die Erfindung ferner besonders hohe Sicherheitsanforderungen erfüllen.The Invention has the task of the problems mentioned in whole or in part to solve. In particular, the invention provides a comfortable for the user possibility for determining and issuing authentication codes be that for a variety of different mobile telecommunications devices suitable is. In preferred embodiments, the invention should also be particularly high Meet safety requirements.

Erfindungsgemäß wird diese Aufgabe ganz oder zum Teil gelöst durch ein Mobiltelekommunikationsgerät gemäß Anspruch 1 und ein Teilnehmeridentitätsmodul gemäß Anspruch 3. Die abhängigen Ansprüche betreffen bevorzugte Ausgestaltungen der Erfindung.According to the invention this Task solved in whole or in part by a mobile telecommunication device according to claim 1 and a subscriber identity module according to claim 3. The dependent claims concern preferred embodiments of the invention.

Die Erfindung geht von der Grundidee aus, die Funktionalität zum Bestimmen der Authentisierungscodes zumindest zum Teil in dem Teilnehmeridentitätsmodul zu implementieren.The Invention is based on the basic idea, the functionality for determining the authentication codes at least partially in the subscriber identity module to implement.

Durch die Erfindung können Authentisierungscodes mittels jedes Mobiltelekommunikationsgeräts bestimmt und ausgegeben werden, sofern dieses nur zur Zusammenarbeit mit dem Teilnehmeridentitätsmodul eingerichtet ist. Der Benutzer kann damit die erforderlichen Authentisierungscodes über das bereits vorhandene Mobiltelekommunikationsgerät erhalten, ohne daß ein zusätzliches Gerät als Token vorhanden sein müßte. Wenn bei einem Wechsel des Mobiltelekommunikationsgeräts das Teilnehmeridentitätsmodul übernommen wird, steht dem Benutzer die Funktionalität zum Bestimmen der Authentisierungscodes sogleich wieder zur Verfügung, ohne daß eine Neuinstallation oder eine irgendwie geartete Konfigurierung erforderlich wäre.By the invention can Authentication codes determined by means of each mobile telecommunications device and issued, if this is only for cooperation with the subscriber identity module is set up. The user can thus use the required authentication codes over the already existing mobile telecommunications device, without an additional Device as Token should be present. If taken over at a change of the mobile telecommunication device, the subscriber identity module is, the user has the functionality for determining the authentication codes immediately available again, without a reinstallation or some kind of configuration would be required.

Die erfindungsgemäß erzeugten Authentisierungscodes sind für Zwecke außerhalb der vom Teilnehmeridentitätsmodul primär unterstützten Telekommunikationsfunktionen vorgesehen. So soll z.B. eine Authentisierung, die das Teilnehmeridentitätsmodul beim üblichen Einbuchen in ein Telekommunikationsnetzwerk durchführt, nicht als erfindungsgemäße Erzeugung eines Authentisierungscodes angesehen werden. In den Bereich der Erfindung soll dagegen z.B. die Erzeugung eines Authentisierungscodes zum Zugriff auf eine externe Datenbank über das Internet oder ein Intranet fallen, auch wenn dieser Zugriff möglicherweise nicht leitungsgebunden, sondern über das Mobiltelekommunikationsgerät erfolgt.The produced according to the invention Authentication codes are for Purposes outside that of the subscriber identity module primary supported Telecommunications functions provided. For example, an authentication, the the subscriber identity module at the usual Log in to a telecommunication network, not as a production according to the invention an authentication code. In the area of By contrast, the invention is intended to the generation of an authentication code to access an external database via the Internet or an intranet fall, even if this access may not be wired, but about the Mobile telecommunications device he follows.

Erfindungsgemäß ist die Funktionalität zum Bestimmen der Authentisierungscodes zumindest zum Teil im Teilnehmeridentitätsmodul implementiert. Dies umfaßt insbesondere auch Ausgestaltungen, bei denen das Teilnehmeridentitätsmodul vorgegebene Routinen eines Betriebssystems des Mobiltelekommunikationsgeräts nutzt. Auch zum Ausgeben der Authentisierungscodes – z.B. auf einer Anzeige oder über eine elektronische oder softwareimplementierte Schnittstelle – wird das Teilnehmeridentitätsmodul in der Regel auf Funktionen des Mobiltelekommunikationsgeräts zurückgreifen.According to the invention functionality for determining the authentication codes at least partially in the subscriber identity module implemented. This includes in particular, embodiments in which the subscriber identity module uses predetermined routines of an operating system of the mobile telecommunication device. Also for issuing the authentication codes - e.g. on an ad or over one electronic or software-implemented interface - will Subscriber identity module usually rely on functions of the mobile telecommunications device.

Vorzugsweise wird zumindest die Funktion des Bestimmens der Authentisierungscodes von einem Codeerzeugungsprogramm ausgeführt, das in dem Teilnehmeridentitätsmodul gespeichert ist. Das Codeerzeugungsprogramm läuft in bevorzugten Ausführungsformen in einer Programmausführungsumgebung des Mobiltelekommunikationsgeräts ab. Insbesondere kann es sich hierbei um eine genormte Programmausführungsumgebung handeln, die die Ausführung ein und desselben Codeerzeugungsprogramms in einer Vielzahl unterschiedlicher – aber jeweils der Norm entsprechender – Mobiltelekommunikationsgeräte ermöglicht. Durch diese Maßnahme kann eine einzige Ausgestaltung von Teilnehmeridentitätsmodulen für eine Vielzahl von Mobiltelekommunikationsgeräten eingesetzt werden, ohne daß Portierungsaufwand anfallen würde.Preferably, at least the function of determining the authentication codes is performed by a code generation program stored in the subscriber identity module. The code generation program in preferred embodiments runs in a program execution environment of the mobile telecommunications device. in the In particular, this may be a standardized program execution environment that allows the execution of one and the same code generation program in a variety of different, but standard, mobile telecommunication devices. By this measure, a single embodiment of subscriber identity modules for a variety of mobile telecommunications devices can be used without porting effort would be incurred.

Bei einem Mobiltelekommunikationsgerät gemäß der GSM-Norm sind in bevorzugten Ausgestaltungen das Teilnehmeridentitätsmodul ein SIM (Subscriber Identity Module) und die Programmausführungsumgebung ein SAT (SIM Application Toolkit) gemäß den einschlägigen GSM-Spezifikationen, die vom European Telecommunications Standards Institute (ETSI) erhältlich sind. Entsprechend können bei einem Mobiltelekommunikationsgerät gemäß der UMTS-Norm das Teilnehmeridentitätsmodul als USIM (Universal Subscriber Identity Module) und die Programmausführungsumgebung als USAT (USIM Application Toolkit) ausgestaltet sein.at a mobile telecommunication device according to the GSM standard In preferred embodiments, the subscriber identity module a SIM (Subscriber Identity Module) and the program execution environment a SAT (SIM Application Toolkit) in accordance with the relevant GSM specifications, available from the European Telecommunications Standards Institute (ETSI). Correspondingly in a mobile telecommunication device according to the UMTS standard, the subscriber identity module as USIM (Universal Subscriber Identity Module) and the program execution environment configured as USAT (USIM Application Toolkit).

Um hohe Sicherheitsanforderungen zu erfüllen, ist vorzugsweise jeder Authentisierungscode nur zur Verwendung während einer vorbestimmten Zeitspanne und/oder nur für eine beschränkte Verwendungsanzahl vorgesehen. Die Ausspähung eines Authentisierungscodes hat dann für einen Angreifer keinen oder so gut wie keinen Nutzen. Um die Sicherheit des Systems auch bei einem Diebstahl oder einer unbefugten Verwendung des Mobiltelekommunikationsgeräts zu gewährleisten, wird in bevorzugten Ausführungsformen ein Authentisierungscode nur nach Eingabe eines geheimen Kennworts oder nach einer anderen – z.B. biometrischen – Berechtigungsüberprüfung bestimmt und/oder ausgegeben.Around to meet high safety requirements is preferably everyone Authentication code for use only for a predetermined period of time and / or only for a limited one Usage number provided. The spying of an authentication code then has for an attacker no or almost no benefit. For the safety of System even in case of theft or unauthorized use of the mobile telecommunication device to ensure, is in preferred embodiments An authentication code only after entering a secret password or after another - e.g. biometric - authorization verification and / or issued.

Weitere Merkmale, Vorteile und Aufgaben der Erfindung gehen aus der folgenden genauen Beschreibung eines Ausführungsbeispiels der Erfindung und mehrerer Ausführungsalternativen hervor. Es wird auf die schematische Zeichnung verwiesen, in der 1 ein Blockdiagramm wesentlicher Funktionseinheiten eines Systems nach dem vorliegend beschriebenen Ausführungsbeispiel zeigt.Other features, advantages and objects of the invention will be apparent from the following detailed description of an embodiment of the invention and several alternative embodiments thereof. Reference is made to the schematic drawing in which 1 a block diagram of essential functional units of a system according to the presently described embodiment shows.

In 1 ist ein Mobiltelekommunikationsgerät 10 gezeigt, das beispielsweise als GSM-Mobiltelefon oder als UMTS-Mobilgerät ausgestaltet ist. Ein Teilnehmeridentitätsmodul 12, das allgemein als SIM (Subscriber Identity Module) oder USIM (Universal Subscriber Identity Module) bezeichnet wird, ist in das Mobiltelekommunikationsgerät 10 eingesteckt. Das Mobiltelekommunikationsgerät 10 vermag sich über eine Luftschnittstelle 14 in ein Telekommunikationsnetz 16 einzubuchen. Das Telekommunikationsnetz 16 steht über einen Gateway 18 mit einem Datennetz 20, z.B. dem Internet oder einem Intranet, in Verbindung. 1 zeigt beispielhaft zwei an das Datennetz 20 angeschlossene Rechner, nämlich einen Server 22 und einen Benutzerrechner (Client) 24.In 1 is a mobile telecommunication device 10 shown, which is designed for example as a GSM mobile phone or as a UMTS mobile device. A subscriber identity module 12 commonly referred to as SIM (Subscriber Identity Module) or USIM (Universal Subscriber Identity Module) is in the mobile telecommunication device 10 plugged in. The mobile telecommunication device 10 can be over an air interface 14 in a telecommunications network 16 einzubuchen. The telecommunications network 16 is via a gateway 18 with a data network 20 , eg the internet or an intranet. 1 shows by way of example two to the data network 20 connected computers, namely a server 22 and a user computer (client) 24 ,

Das Mobiltelekommunikationsgerät 10 weist in an sich bekannter Weise einen Hochfrequenzteil 26 auf, der Funkwellen über eine Antenne 28 sendet und empfängt. Ein digitaler Signalprozessor (DSP) 30 dient zur Verarbeitung des Sende- bzw. Empfangssignals. Ferner verarbeitet der digitale Signalprozessor 30 Niederfrequenzsignale, die über einen Niederfrequenzteil 32 an einen Lautsprecher 34 geleitet werden bzw. von einem Mikrofon 36 über den Niederfrequenzteil 32 an den digitalen Signalprozessor 30 ausgegeben werden.The mobile telecommunication device 10 has a high frequency part in a conventional manner 26 on, the radio waves over an antenna 28 sends and receives. A digital signal processor (DSP) 30 serves to process the send or receive signal. Furthermore, the digital signal processor processes 30 Low-frequency signals that are transmitted through a low-frequency part 32 to a speaker 34 be routed or from a microphone 36 over the low frequency part 32 to the digital signal processor 30 be issued.

Eine Prozessoreinheit 38 ist über eine geeignete Schnittstelle (in 1 nicht gezeigt) mit dem Teilnehmeridentitätsmodul 12 sowie mit dem digitalen Signalprozessor 30, einer Anzeige 40, einer Tastatur 42 und einem Speicher 44 verbunden. Die Anzeige 40 ist hier als grafikfähiges LCD-Display ausgestaltet. In an sich bekannter Weise weist der Speicher 44 einen ROM-Bereich, einen EEPROM-Bereich und einen RAM-Bereich auf.A processor unit 38 is via a suitable interface (in 1 not shown) with the subscriber identity module 12 as well as with the digital signal processor 30 , an ad 40 , a keyboard 42 and a memory 44 connected. The ad 40 is designed here as a graphics-capable LCD display. In known manner, the memory 44 a ROM area, an EEPROM area and a RAM area.

Der Speicher 44 enthält ein umfangreiches Betriebssystem, das alle Funktionen des Mobiltelekommunikationsgeräts 10 steuert. Als Teil dieses Betriebssystems ist eine Programmausführungsumgebung 46 vorgesehen, die es ermöglicht, im Teilnehmeridentitätsmodul 12 gespeicherte Programme ablaufen zu lassen. Diese Programme können bestimmte Funktionen des Mobiltelekommunikationsgeräts 10 nutzen, z.B. Informationen über die Anzeige 40 ausgeben oder Daten über das Telekommunikationsnetz 16 austauschen. Die Programmausführungsumgebung 46 als solche ist für GSM-Mobiltelefone unter der Bezeichnung SAT (SIM Application Toolkit) bzw. für UMTS-Mobilgeräte unter der Bezeichnung USAT (USIM Application Toolkit) bekannt. In Ausführungsalternativen kann die Programmausführungsumgebung 46 auch gemäß anderen Normen ausgestaltet sein.The memory 44 contains a comprehensive operating system that covers all the features of the mobile telecommunication device 10 controls. As part of this operating system is a program execution environment 46 provided, which makes it possible in the subscriber identity module 12 to run stored programs. These programs can perform certain functions of the mobile telecommunication device 10 use, eg information about the ad 40 spend or data over the telecommunications network 16 change. The program execution environment 46 as such is known for GSM mobile phones under the name SAT (SIM Application Toolkit) or for UMTS mobile devices under the name USAT (USIM Application Toolkit). In execution alternatives, the program execution environment may be 46 be designed according to other standards.

Das Teilnehmeridentitätsmodul 12 unterstützt in an sich bekannter Weise diverse Telekommunikationsfunktionen des Mobiltelekommunikationsgeräts 10, z.B. die Einbuchung in das Telekommunikationsnetz 16. Ferner weist das Teilnehmeridentitätsmodul 12 ein Codeerzeugungsprogramm 48 auf, das Authentisierungscodes nach einem vorbestimmten Algorithmus zu erzeugen vermag. Das Codeerzeugungsprogramm 48 ist zur Ausführung in der Programmausführungsumgebung 46 vorgesehen.The subscriber identity module 12 supports various telecommunication functions of the mobile telecommunication device in a manner known per se 10 , eg the entry into the telecommunication network 16 , Furthermore, the subscriber identity module 12 a code generation program 48 which is capable of generating authentication codes according to a predetermined algorithm. The code generation program 48 is for execution in the program execution environment 46 intended.

Als Anwendungsbeispiel zeigt 1 eine Situation, bei der ein Benutzer über einen auf dem Benutzerrechner 24 laufenden Internet-Browser (in 1 durch ein Browserfenster 50 veranschaulicht) auf geschützte Informationen des Servers 22 zugreifen möchte. Bevor der Server 22 einen Zugriff auf die Informationen gestattet, verlangt er einen Berechtigungsnachweis des Benutzers durch Eingabe eines gültigen Authentisierungscodes.As an application example shows 1 a Si tuation at which a user over one on the user's computer 24 running internet browser (in 1 through a browser window 50 illustrated) on protected information of the server 22 want to access. Before the server 22 allows access to the information, he requires a credential of the user by entering a valid authentication code.

Der Benutzer fordert den Authentisierungscode von seinem Mobiltelekommunikationsgerät 10 – genauer gesagt, von dem in der Programmausführungsumgebung 46 ablaufenden Codeerzeugungsprogramm 48 – an. Das Codeerzeugungsprogramm 48 bestimmt einen gültigen Authentisierungscode nach einem an sich bekannten Verfahren und ruft eine geeignete Funktion der Programmausführungsumgebung 46 auf, um den berechneten Code dem Benutzer auf der Anzeige 40 darzustellen. Der Benutzer kann nun den Code von der Anzeige 40 ablesen und über die Tastatur des Benutzerrechners 24 eingeben. Der Server 22 überprüft den eingegebenen Authentisierungscode und gibt, falls die Authentisierung erfolgreich war, den Zugriff auf die vom Benutzer gewünschten Informationen frei.The user requests the authentication code from his mobile telecommunication device 10 More specifically, in the program execution environment 46 expiring code generation program 48 - at. The code generation program 48 determines a valid authentication code according to a method known per se and calls an appropriate function of the program execution environment 46 on to the calculated code the user on the display 40 display. The user can now see the code from the ad 40 read and via the keyboard of the user computer 24 enter. The server 22 checks the entered authentication code and, if the authentication was successful, releases access to the information requested by the user.

Je nach den gewünschten Sicherheitsanforderungen kann das vom Mobiltelekommunikationsgerät 10 ausgeführte Codeerzeugungsprogramm 48 die Eingabe eines Kennworts über die Tastatur 42 verlangen, bevor der Authentisierungscode berechnet oder angezeigt wird. Bei geeigneter Hardwareausstattung des Mobiltelekommunikationsgeräts 10 kann auch eine biometrische Berechtigungsüberprüfung – z.B. durch Auswertung eines Fingerabdrucks des Benutzers oder einer vom Mikrofon 36 aufgenommenen Sprechprobe oder eines von einer Kamera des Mobiltelekommunikationsgeräts 10 aufgenommenen Bildes – erfolgen. Für weniger strenge Anforderungen kann dagegen schon die normale PIN-Abfrage des Mobiltelekommunikationsgeräts 10 beim Einschalten ausreichend sein.Depending on the desired security requirements, this can be done by the mobile telecommunication device 10 executed code generation program 48 entering a password using the keyboard 42 request before the authentication code is calculated or displayed. With suitable hardware equipment of the mobile telecommunication device 10 may also be a biometric authorization check - eg by evaluating a fingerprint of the user or one of the microphone 36 recorded voice sample or one of a camera of the mobile telecommunication device 10 taken picture - done. By contrast, the normal PIN request of the mobile telecommunication device can already be used for less stringent requirements 10 be sufficient when switching on.

In manchen Ausgestaltungen ist vorgesehen, daß die vom Mobiltelekommunikationsgerät 10 berechneten Authentisierungscodes nur eine kurze zeitliche Gültigkeitsdauer, z.B. 60 Sekunden, aufweisen. Das Codeerzeugungsprogramm 48 kann beispielsweise einen im Teilnehmeridentitätsmodul 12 vorhandenen Zeitgeber verwenden, um periodisch je einen neuen Authentisierungscode zu berechnen. Fordert der Benutzer einen Authentisierungscode an, so wird der jeweils aktuelle Code ausgelesen und angezeigt. Alternativ kann die Codeberechnung auch erst in Reaktion auf eine Anforderung durch den Benutzer erfolgen, wobei z.B. die aktuelle Uhrzeit in den Berechnungsvorgang einfließen kann.In some embodiments, it is provided that the from the mobile telecommunication device 10 calculated authentication codes have only a short period of validity, eg 60 seconds. The code generation program 48 For example, in the subscriber identity module 12 Use existing timer to periodically calculate a new authentication code. If the user requests an authentication code, the current code is read out and displayed. Alternatively, the code calculation can also be made only in response to a request by the user, for example, the current time can be included in the calculation process.

Der Server 22 verwendet einen dem Codeerzeugungsprogramm 48 entsprechenden Algorithmus zur Berechnung bzw. Überprüfung des Authentisierungscodes. Es versteht sich, daß das Mobiltelekommunikationsgerät 10 und der Server 22 durch geeignete Maßnahmen miteinander synchronisiert werden müssen. Dies kann z.B. durch eine direkte Kommunikation zwischen dem Mobiltelekommunikationsgerät 10 und dem Server 22 über das Telekommunikationsnetz 16, den Gateway 18 und das Datennetz 20 erfolgen. Alternativ kann auch vorgesehen sein, daß das Mobiltelekommunikationsgerät 10 und der Server 22 interne Uhren in regelmäßigen Abständen mit einem zuverlässigen Zeitnormal abgleichen.The server 22 uses a code generation program 48 corresponding algorithm for calculating or checking the authentication code. It is understood that the mobile telecommunication device 10 and the server 22 must be synchronized with each other by appropriate measures. This can be done, for example, by direct communication between the mobile telecommunication device 10 and the server 22 over the telecommunications network 16 , the gateway 18 and the data network 20 respectively. Alternatively, it can also be provided that the mobile telecommunication device 10 and the server 22 synchronize internal clocks at regular intervals with a reliable time standard.

Neben oder statt Authentisierungscodes mit vorgegebenen Gültigkeitszeiten können in alternativen Ausgestaltungen auch Authentisierungscodes vorgesehen sein, die nur einmal oder nur wenige Male gültig sind. In diesem Fall berechnet das Mobiltelekommunikationsgerät 10 bei jeder Anforderung einen neuen Authentisierungscode, der z.B. vom vorhergehenden Authentisierungscode oder von einer Sequenznummer abhängen kann. Auch hier kann eine Synchronisation zwischen dem Mobiltelekommunikationsgerät 10 und dem Server 22 erfolgen. Der Server 22 kann aber auch so konfiguriert sein, daß er alle noch nicht verwendeten Authentisierungscodes akzeptiert, oder daß er nur denjenigen Authentisierungscode akzeptiert, der in der Codesequenz unmittelbar dem letzten verwendeten Code folgt, oder daß er eine vorgegebene Anzahl von Folgecodes seit dem letzten verwendeten Code akzeptiert.In addition to or instead of authentication codes with predetermined validity times, in alternative embodiments, authentication codes can also be provided which are valid only once or only a few times. In this case, the mobile telecommunication device calculates 10 For each request, a new authentication code, which may depend, for example, on the previous authentication code or on a sequence number. Again, a synchronization between the mobile telecommunication device 10 and the server 22 respectively. The server 22 however, it may also be configured to accept all the authentication codes not yet used, or to accept only the authentication code immediately following the last used code in the code sequence, or to accept a predetermined number of sequence codes since the last code used.

In 1 ist der Einfachheit halber ein einziger Server 22 gezeigt, der sowohl zur Überprüfung des Authentisierungscodes als auch zur Bereitstellung der vom Benutzer angeforderten Informationen dient. In vielen Anwendungsfällen sind diese Funktionen auf mehrere unterschiedliche Rechner verteilt. Insbesondere kann ein besonders gesicherter Authentisierungsserver vorgesehen sein, der von einer Vielzahl von Informationsservern immer dann angesprochen wird, wenn letztere die Authentisierung eines Benutzers benötigen. In diesem Fall werden die sicherheitskritischen Authentisierungsfunktionen nur von dem zentralen Authentisierungsserver ausgeführt.In 1 is a single server for the sake of simplicity 22 shown, which serves both to verify the authentication code and to provide the user requested information. In many applications, these functions are distributed to several different computers. In particular, a particularly secure authentication server can be provided, which is addressed by a multiplicity of information servers whenever the latter require the authentication of a user. In this case, the security-critical authentication functions are only executed by the central authentication server.

Bei dem Beispiel von 1 erfolgt die Authentisierung zum Zwecke des Zugriffs auf Informationen über das Datennetz 20. Es versteht sich jedoch, daß die erfindungsgemäßen Authentisierungsfunktionen für beliebige andere Zwecke dienen können, z.B. für die physische Zugangskontrolle zu geschützten Bereichen oder im Zusammenhang mit der elektronischen Signatur von Dokumenten.In the example of 1 the authentication takes place for the purpose of accessing information via the data network 20 , However, it is understood that the authentication functions according to the invention can serve for any other purposes, eg for the physical access control to protected areas or in connection with the electronic signature of documents.

Bei allen genannten Anwendungen ist es nicht zwingend erforderlich, daß der Authentisierungscode in einen stationären Benutzerrechner 24 einge geben wird. Vielmehr kann auch das Mobiltelekommunikationsgerät 10 die Rolle des Benutzerrechners 24 übernehmen und somit nicht nur als Codeerzeugungs-, sondern auch als Bedienungseinheit für die Authentisierung dienen. In manchen Anwendungen mag es hierbei wünschenswert sein, daß der Benutzer den auf der Anzeige 40 dargestellten Authentisierungscode manuell über die Tastatur 42 eingibt. Für andere Anwendungsgebiete wird dagegen der Authentisierungscode von dem Mobiltelekommunikationsgerät 10 über eine Software-Schnittstelle an den Server 22 – bzw. an einen zentralen Authentisierungsserver – ausgegeben. Insbesondere im Zusammenhang mit Zugangskontrollsystemen sind ferner Ausgestaltungen vorgesehen, bei denen der Authentisierungscode vom Mobiltelekommunikationsgerät 10 über eine drahtlose oder drahtgebundene Schnittstelle an einen geeigneten Empfänger ausgegeben wird.In all the applications mentioned, it is not absolutely necessary that the authentication code in a stationary user computer 24 one will be given. Rather, also the mobile telecommunication device 10 the role of the user's computer 24 take over and thus serve not only as a code generation, but also as a control unit for authentication. In some applications, it may be desirable for the user to see that on the display 40 manually displayed authentication code via the keyboard 42 enters. For other applications, however, the authentication code of the mobile telecommunication device 10 via a software interface to the server 22 - or to a central authentication server - issued. In particular, in connection with access control systems further embodiments are provided, in which the authentication code from the mobile telecommunications device 10 is output to a suitable receiver via a wireless or wired interface.

Claims (9)

Mobiltelekommunikationsgerät (10) mit einem Teilnehmeridentitätsmodul (12) für Telekommunikationsfunktionen, wobei das Mobiltelekommunikationsgerät (10) dazu eingerichtet ist, Authentisierungscodes für Zwecke außerhalb der genannten Telekommunikationsfunktionen zu bestimmen und auszugeben, dadurch gekennzeichnet, daß die Funktionalität zum Bestimmen der Authentisierungscodes zumindest zum Teil in dem Teilnehmeridentitätsmodul (12) des Mobiltelekommunikationsgeräts (10) implementiert ist.Mobile telecommunication device ( 10 ) with a subscriber identity module ( 12 ) for telecommunications functions, wherein the mobile telecommunication device ( 10 ) is arranged to determine and output authentication codes for purposes outside of said telecommunication functions, characterized in that the functionality for determining the authentication codes is at least partially defined in the subscriber identity module ( 12 ) of the mobile telecommunication device ( 10 ) is implemented. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet, daß das Teilnehmeridentitätsmodul (12) ein Codeerzeugungsprogramm (48) zum Bestimmen der Authentisierungscodes aufweist, das in einer Programmausführungsumgebung (46) des Mobiltelekommunikationsgeräts (10) ausführbar ist.Device according to Claim 1, characterized in that the subscriber identity module ( 12 ) a code generation program ( 48 ) for determining the authentication codes used in a program execution environment ( 46 ) of the mobile telecommunication device ( 10 ) is executable. Teilnehmeridentitätsmodul (12) für Telekommunikationsfunktionen zur Verwendung in einem Mobiltelekommunikationsgerät (10), dadurch gekennzeichnet, daß das Teilnehmeridentitätsmodul (12) ein Codeerzeugungsprogramm (48) aufweist, das, wenn es in einer Programmausführungsumgebung (46) des Mobiltelekommunikationsgeräts (10) ausgeführt wird, dazu eingerichtet sind, Authentisierungscodes für Zwecke außerhalb der genannten Telekommunikationsfunktionen zu bestimmen und auszugeben.Subscriber identity module ( 12 ) for telecommunication functions for use in a mobile telecommunication device ( 10 ), characterized in that the subscriber identity module ( 12 ) a code generation program ( 48 ), which when executed in a program execution environment ( 46 ) of the mobile telecommunication device ( 10 ) is configured to determine and output authentication codes for purposes outside of said telecommunications functions. Vorrichtung nach Anspruch 2 oder Anspruch 3, dadurch gekennzeichnet, daß die Programmausführungsumgebung (46) eine genormte Programmausführungsumgebung (46) ist, die die Ausführung des Codeerzeugungsprogramms (48) in einer Vielzahl unterschiedlicher Mobiltelekommunikationsgeräte (10) ermöglicht.Device according to Claim 2 or Claim 3, characterized in that the program execution environment ( 46 ) a standardized program execution environment ( 46 ), the execution of the code generation program ( 48 ) in a variety of different mobile telecommunication devices ( 10 ). Vorrichtung nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß das Teilnehmeridentitätsmodul (12) ein SIM (Subscriber Identity Module) oder ein USIM (Universal Subscriber Identity Module) für ein GSM- bzw. UMTS-Mobiltelekommunikationsgerät (10) ist.Device according to one of Claims 1 to 4, characterized in that the subscriber identity module ( 12 ) a Subscriber Identity Module (SIM) or a Universal Subscriber Identity Module (USIM) for a GSM or UMTS mobile telecommunication device ( 10 ). Vorrichtung nach Anspruch 5, dadurch gekennzeichnet, daß die Programmausführungsumgebung (46) ein SAT (SIM Application Toolkit) bzw. USAT (USIM Application Toolkit) ist.Apparatus according to claim 5, characterized in that the program execution environment ( 46 ) is a SAT (SIM Application Toolkit) or USAT (USIM Application Toolkit). Vorrichtung nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, daß jeder Authentisierungscode zur Verwendung während einer vorbestimmten Zeitspanne vorgesehen ist.Device according to one of claims 1 to 6, characterized that everybody Authentication code for use during a predetermined period of time is provided. Vorrichtung nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, daß jeder Authentisierungscode nur für eine beschränkte Verwendungsanzahl vorgesehen ist.Device according to one of claims 1 to 7, characterized that everybody Authentication code only for a limited one Use number is provided. Vorrichtung nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, daß die Bestimmung und/oder Ausgabe der Authentisierungscodes durch ein Kennwort oder eine biometrische Berechtigungsüberprüfung gesichert ist.Device according to one of claims 1 to 8, characterized that the Determination and / or output of the authentication codes by Password or a biometric authorization check is secured.
DE10339173A 2003-08-26 2003-08-26 Mobile telecommunications device for fixing and issuing an authenticating code has a subscriber identity module for telecommunications functions Withdrawn DE10339173A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE10339173A DE10339173A1 (en) 2003-08-26 2003-08-26 Mobile telecommunications device for fixing and issuing an authenticating code has a subscriber identity module for telecommunications functions

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10339173A DE10339173A1 (en) 2003-08-26 2003-08-26 Mobile telecommunications device for fixing and issuing an authenticating code has a subscriber identity module for telecommunications functions

Publications (1)

Publication Number Publication Date
DE10339173A1 true DE10339173A1 (en) 2005-03-24

Family

ID=34202036

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10339173A Withdrawn DE10339173A1 (en) 2003-08-26 2003-08-26 Mobile telecommunications device for fixing and issuing an authenticating code has a subscriber identity module for telecommunications functions

Country Status (1)

Country Link
DE (1) DE10339173A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007006116A1 (en) * 2007-02-02 2008-08-14 Vodafone Holding Gmbh Data exchanging method for mobile network, involves encoding data by using activation code in data processing system, sending encoded data subscriber identity module card, and decoding data by subscriber identity module card using code
WO2010067211A1 (en) * 2008-12-12 2010-06-17 Sony Ericsson Mobile Communications Portable electronic devices, systems, methods and computer program products for accessing remote secure elements

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999062275A2 (en) * 1998-05-26 1999-12-02 Detemobil Deutsche Telekom Mobilnet Gmbh Method for controlling a subscriber identity module (sim) in mobile radio telephone systems
DE19828735A1 (en) * 1998-06-29 1999-12-30 Giesecke & Devrient Gmbh Mobile radio system e.g. mobile telephone system
DE19850308A1 (en) * 1998-10-30 2000-05-11 Deutsche Telekom Mobil Process for protecting chip cards from misuse in third-party devices
DE19911221A1 (en) * 1999-03-12 2000-09-21 Deutsche Telekom Mobil Method for distributing keys to participants in communication networks
DE19937529A1 (en) * 1999-08-09 2001-03-01 Giesecke & Devrient Gmbh Portable media and method for use in a variety of applications
WO2001031877A2 (en) * 1999-10-22 2001-05-03 Telefonaktiebolaget Lm Ericsson (Publ) Mobile phone incorporating security firmware
US20020059614A1 (en) * 1999-08-27 2002-05-16 Matti Lipsanen System and method for distributing digital content in a common carrier environment
US20020187808A1 (en) * 2001-06-12 2002-12-12 Jari Vallstrom Method and arrangement for encrypting data transfer at an interface in mobile equipment in radio network, and mobile equipment in radio network
WO2003010721A2 (en) * 2001-07-25 2003-02-06 Credit Lyonnais Method and system for formal guarantee of a payment, using a portable telephone
US20030040299A1 (en) * 2001-06-27 2003-02-27 Josef Laumen Method, apparatus and software program for processing and/or evaluating MMS-related messages
DE69904570T2 (en) * 1998-02-25 2003-05-15 Ericsson Telefon Ab L M METHOD, ARRANGEMENT AND DEVICE FOR AUTHENTICATION BY A COMMUNICATION NETWORK
WO2003077163A2 (en) * 2002-03-14 2003-09-18 Celavie Method of managing data stored on a chip card that can be read by mobile telephone
WO2003088053A2 (en) * 2002-04-15 2003-10-23 Giesecke & Devrient Gmbh Method for securing a program

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69904570T2 (en) * 1998-02-25 2003-05-15 Ericsson Telefon Ab L M METHOD, ARRANGEMENT AND DEVICE FOR AUTHENTICATION BY A COMMUNICATION NETWORK
WO1999062275A2 (en) * 1998-05-26 1999-12-02 Detemobil Deutsche Telekom Mobilnet Gmbh Method for controlling a subscriber identity module (sim) in mobile radio telephone systems
DE19828735A1 (en) * 1998-06-29 1999-12-30 Giesecke & Devrient Gmbh Mobile radio system e.g. mobile telephone system
DE19850308A1 (en) * 1998-10-30 2000-05-11 Deutsche Telekom Mobil Process for protecting chip cards from misuse in third-party devices
DE19911221A1 (en) * 1999-03-12 2000-09-21 Deutsche Telekom Mobil Method for distributing keys to participants in communication networks
DE19937529A1 (en) * 1999-08-09 2001-03-01 Giesecke & Devrient Gmbh Portable media and method for use in a variety of applications
US20020059614A1 (en) * 1999-08-27 2002-05-16 Matti Lipsanen System and method for distributing digital content in a common carrier environment
WO2001031877A2 (en) * 1999-10-22 2001-05-03 Telefonaktiebolaget Lm Ericsson (Publ) Mobile phone incorporating security firmware
US20020187808A1 (en) * 2001-06-12 2002-12-12 Jari Vallstrom Method and arrangement for encrypting data transfer at an interface in mobile equipment in radio network, and mobile equipment in radio network
US20030040299A1 (en) * 2001-06-27 2003-02-27 Josef Laumen Method, apparatus and software program for processing and/or evaluating MMS-related messages
WO2003010721A2 (en) * 2001-07-25 2003-02-06 Credit Lyonnais Method and system for formal guarantee of a payment, using a portable telephone
WO2003077163A2 (en) * 2002-03-14 2003-09-18 Celavie Method of managing data stored on a chip card that can be read by mobile telephone
WO2003088053A2 (en) * 2002-04-15 2003-10-23 Giesecke & Devrient Gmbh Method for securing a program

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007006116A1 (en) * 2007-02-02 2008-08-14 Vodafone Holding Gmbh Data exchanging method for mobile network, involves encoding data by using activation code in data processing system, sending encoded data subscriber identity module card, and decoding data by subscriber identity module card using code
WO2010067211A1 (en) * 2008-12-12 2010-06-17 Sony Ericsson Mobile Communications Portable electronic devices, systems, methods and computer program products for accessing remote secure elements

Similar Documents

Publication Publication Date Title
CN109120597B (en) Identity verification and login method and device and computer equipment
DE60318470T2 (en) METHOD FOR GRANTING ACCESS TO A DEVICE THROUGH A LINKING OF A FIRST CHARACTERISTIC OF A FIRST DEVICE AND A SECOND CHARACTERISTIC OF A SECOND DEVICE
EP2859705B1 (en) Authorising a user by means of a portable communications terminal
DE19722424C1 (en) Secure access method
EP2443853B1 (en) Method for registration of a mobile device in a mobile network
DE19651518A1 (en) Communication method and apparatus
EP2338255A2 (en) Method, computer program product and system for authenticating a user of a telecommunications network
DE102006042358A1 (en) Method and service center for updating authorization data in an access arrangement
DE102009030019B3 (en) System and method for reliable authentication of a device
DE112013002539B4 (en) Validation of mobile units
DE60109067T2 (en) METHOD, SYSTEM, AND DEVICE FOR IDENTIFYING A TRANSMITTER IN A NETWORK
CN113946811A (en) Authentication method and device
DE102010047257A1 (en) Mobile radio-based transaction system for use in e.g. airport for transaction of money, has server provided to develop cashless money transfer by participants, where location alignment is carried out between locations of participants
DE102019100334A1 (en) Method for securely providing a personalized electronic identity on a terminal
EP2199944A2 (en) Method for authenticating a person for an electronic data processing assembly with an electronic key
DE10339173A1 (en) Mobile telecommunications device for fixing and issuing an authenticating code has a subscriber identity module for telecommunications functions
EP2381712B1 (en) Secure Reading Data from a Mobile Device with fixed TPM
DE102005003208B4 (en) Authentication of a user
DE102017116780A1 (en) Biometric identification verification with location feasibility determination
DE10138381B4 (en) Computer system and method for data access control
KR20140072987A (en) Method for conducting a public opinion poll using mobile phone
CN107948126A (en) A kind of report inspection method and equipment
DE102014104755A1 (en) A method of authenticating a user of a mobile device
DE102010050195A1 (en) Reader as electronic ID
EP2372599B1 (en) Electronic device, data processing system and method for reading data from an electronic device

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8110 Request for examination paragraph 44
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee