CZ2014126A3 - Způsob a sestava pro zabezpečení ovládání bankovního účtu - Google Patents

Způsob a sestava pro zabezpečení ovládání bankovního účtu Download PDF

Info

Publication number
CZ2014126A3
CZ2014126A3 CZ2014-126A CZ2014126A CZ2014126A3 CZ 2014126 A3 CZ2014126 A3 CZ 2014126A3 CZ 2014126 A CZ2014126 A CZ 2014126A CZ 2014126 A3 CZ2014126 A3 CZ 2014126A3
Authority
CZ
Czechia
Prior art keywords
key
security device
portable electronic
auxiliary security
electronic device
Prior art date
Application number
CZ2014-126A
Other languages
English (en)
Inventor
Tomáš Rosa
Petr Dvořák
Original Assignee
AVAST Software s.r.o.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AVAST Software s.r.o. filed Critical AVAST Software s.r.o.
Priority to CZ2014-126A priority Critical patent/CZ2014126A3/cs
Priority to US15/122,870 priority patent/US11003744B2/en
Priority to PCT/CZ2015/000016 priority patent/WO2015131860A1/en
Publication of CZ2014126A3 publication Critical patent/CZ2014126A3/cs

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • G06F21/123Restricting unauthorised execution of programs by using dedicated hardware, e.g. dongles, smart cards, cryptographic processors, global positioning systems [GPS] devices
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3221Access to banking information through M-devices
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3226Use of secure elements separate from M-devices
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/72Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
    • H04M1/724User interfaces specially adapted for cordless or mobile telephones
    • H04M1/72403User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
    • H04M1/72409User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by interfacing with external accessories
    • H04M1/72412User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by interfacing with external accessories using two-way short-range wireless interfaces

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Computing Systems (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Finance (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)

Abstract

Způsob zabezpečení bankovního účtu z přenosného elektronického zařízení, které zahrnuje zařízení pro připojení k internetu a Bluetooth, pomocí pomocného zabezpečovacího zařízení zahrnujícího Bluetooth zahrnuje tyto kroky: i) přenosné elektronické zařízení se uzpůsobí pro internetové ovládání bankovního účtu, ii) pomocnému zabezpečovacímu zařízení se přiřadí jeho adresa a klíč zahrnující privátní a veřejnou část a tyto se uloží na pomocném zabezpečovacím zařízení a v systému bankovní instituce se uloží jeho adresa a veřejná část klíče, iii) pomocné zabezpečovací zařízení se přiřadí k uvedenému přenosnému elektronickému zařízení pro připravení jejich součinnosti při výpočtu klíče pro přihlášení do bankovního účtu, iv) přenosné elektronické zařízení vyhledává pomocí Bluetooth přiřazené pomocné zabezpečovací zařízení a v) při nalezení signálu Bluetooth z přiřazeného pomocného zabezpečovacího zařízení se klíč pro ovládání bankovního účtu vypočítává na základě kombinace klíče uloženého v přenosném elektronickém zařízení a klíče uloženého v přiřazeném pomocném zabezpečovacím zařízení.

Description

Způsob a sestava pro zabezpečení ovládání bankovního účtu
Oblast techniky
Vynález se týká způsobu zabezpečení proti neoprávněnému ovládáni bankovního účtu z přenosného elektronického zařízení, které zahrnuje zařízení pro připojení k internetové síti a zařízení pro bezdrátovou elektronickou komunikaci protokolem Bluetooth, pomocí pomocného zabezpečovacího zařízeni zahrnujícího zařízení pro bezdrátovou elektronickou komunikaci protokolem Bluetooth, pncemz tento způsob zahrnuje krok uzpůsobení přenosného elektronického zařízení pro internetové ovládání bankovního účtu. Vynález se rovněž týká přenosného elektronického zařízení a pomocného zabezpečovacího zařízení obsahujících software pro provádění tohoto způsobu a rovněž sestavy přenosného elektronického zařízení a pomocného zabezpečovacího zařízení, přičemž přenosné elektronické zařízení zahrnuje paměť, procesor, s ním propojené zařízení pro připojení k internetové síti a zařízení pro bezdrátovou elektronickou komunikaci protokolem
Bluetooth.
Dosavadní stav techniky
Z dosavadního stavu techniky jsou známy různé způsoby zabezpečení proti neoprávněnému přístupu ke službám poskytovaným jednotlivým klientům po síti. Například v případě elektronického bankovnictví klienti bank běžně využívají pro ovládání jejich účtu z počítače jištění pomocí kódů zasílaných na jejich mobilní telefon. Takovéto jištění ovšem nemá smysl v případě internetového bankovnictví realizovaného přes mobilní telefon, tzv. mobile banking, smart banking apod. Dale existuje celá řada samostatných zařízení, která je možné použít pro zabezpečeni služeb poskytovaných klientům, ta však pro své fungování vyžadují uživatelskou interakci (stisknutí tlačítka či zadání hesla / PINu a přepsání generovaného kódu, popř. přiložení bezdotykového zařízení, např. NFC karty, k chráněnému systému). Úkolem vynálezu tedy je navrhnout takové řešení, které by jednoduchým způsobem umožnilo ověřování oprávněnosti požadavku vyslaného přes internet z mobilního telefonu, zejména u bankovních a podobných, z bezpečnostního hlediska choulostivých operací, a to bez nutnosti součinnosti klienta, čili s výrazným zvýšením pohodlí.
-2Podstata vynálezu
Tento úkol je vyřešen způsobem zabezpečení proti neoprávněnému ovládání bankovního účtu z přenosného elektronického zařízení, které zahrnuje zařízeni pro připojení k internetové síti a zařízení pro bezdrátovou elektronickou komunikaci protokolem Bluetooth, pomocí pomocného zabezpečovacího zařízení zahrnujícího zařízení pro bezdrátovou elektronickou komunikaci protokolem Bluetooth, přičemž tento způsob zahrnuje následující krok:
i) přenosné elektronické zařízení se uzpůsobí pro internetové ovládání bankovního účtu.
Podle vynálezu tento způsob dále zahrnuje následující kroky:
ii) pomocnému zabezpečovacímu zařízení se přiřadí jeho sériové číslo, adresa a klíč zahrnující privátní a veřejnou část a tyto se uloží na pomocném zabezpečovacím zařízení a v systému bankovní instituce se uloží sériové číslo, adresa a veřejná část klíče daného pomocného zabezpečovacího zařízení, iii) pomocné zabezpečovací zařízení se přiřadí k uvedenému přenosnému elektronickému zařízení pro připravení jejich součinnosti při výpočtu klíče pro přihlášení do bankovního účtu a / nebo podepisování jednotlivých vybraných typů bankovních operací, iv) přenosné elektronické zařízení vyhledává technologií Bluetooth ve svém okolí uvedené přiřazené pomocné zabezpečovací zařízení,
v) při nalezení signálu Bluetooth z uvedeného přiřazeného pomocného zabezpečovacího zařízení o předem stanovené nebo vyšší intenzitě se klíč pro přihlášení do bankovního účtu a / nebo podepisování jednotlivých vybraných typů bankovních operací vypočítává na základe kombinace klíče uloženého v přenosném elektronickém zařízení a klice uloženého v přiřazeném pomocném zabezpečovacím zařízení.
S výhodou se při nenalezení signálu Bluetooth z uvedeného přiřazeného pomocného zabezpečovacího zařízení zablokuje a / nebo odpojí příhlasem do bankovního účtu z uvedeného přenosného elektronického zařízení.
Rovněž s výhodou se vyhledávání přiřazeného pomocného zabezpečovacího zařízení technologií Bluetooth zahájí při pokusu o přihlášení do bankovního učtu z uvedeného přenosného elektronického zařízení.
- 3 Také je výhodné, když se vyhledávání přiřazeného pomocného zabezpečovacího zařízení technologií Bluetooth opakuje v pravidelných časových, intervalech o délce nejvýše 30 vteřin, a to alespoň po dobu přihlášení do bankovního účtu.
Klíč uložený v přiřazeném pomocném zabezpečovacím zařízení se s výhodou automaticky obměňuje po každém jeho použití.
Dle zvlášť výhodného provedení se v kroku ii) vytvoří symetrický klíč odvozením z veřejného klíče banky a privátního klíče pomocného zabezpečovacího zařízení a tento symetrický klíč se uloží v paměti pomocného zabezpečovacího zařízení a / nebo v kroku iii) se přiřazení pomocného zabezpečovací zařízeni k uvedenému přenosnému elektronickému zařízení uskutečni tím, že přenosné zabezpečovací zařízení vygeneruje transportní klíč a vyšle ho technologu Bluetooth spolu s identifikačním údajem veřejného klíče banky do přenosného zabezpečovacího zařízení, které na základě již uložených dat a přijatých dat vypočte klíč pomocného zabezpečovacího zařízení pro krok v).
Dle vynálezu je stanovený úkol rovněž vyřešen pomocným zabezpečovacím zařízením, které zahrnuje paměť, procesor a zařízení pro bezdrátovou elektronickou komunikaci protokolem Bluetooth, přičemž paměť pomocného zabezpečovací zařízení obsahuje software umožňující provádění výše uvedeného způsobu.
Dle vynálezu je stanovený úkol rovněž vyřešen přenosným elektronickým zařízením, které zahrnuje paměť, procesor, s ním propojené zařízeni pro připojeni k internetové síti a zařízení pro bezdrátovou elektronickou komunikaci protokolem Bluetooth, přičemž paměť přenosného elektronické zařízení obsahuje software umožňující provádění výše uvedeného způsobu.
Zejména je stanovený úkol dle vynálezu vyřešen sestavou přenosného elektronického zařízení a pomocného zabezpečovacího zařízení, přičemž přenosné elektronické zařízení zahrnuje paměť, procesor, s ním propojené zařízení pro připojení k internetové síti a zařízení pro bezdrátovou elektronickou komunikaci protokolem Bluetooth, přičemž pomocné zabezpečovací zařízení zahrnuje pamět, procesor a zařízení pro bezdrátovou elektronickou komunikaci protokolem Bluetooth, přičemž paměť přenosného elektronického zařízení a paměť pomocného zabezpečovací zařízení obsahují software umožňující provádění výše uvedeného způsobu.
-4S výhodou v této sestavě zahrnuje uvedené přiřazené pomocné zabezpečovací zařízení zařízení pro vydávání zvukového signálu a uvedené přenosné elektronické zařízení zahrnuje spínač pro spouštění zvukového signálu z uvedeného přiřazeného pomocného zabezpečovacího zařízení a / nebo uvedené přenosné elektronické zařízení zahrnuje zařízení pro vydávání zvukového signálu a uvedené přiřazené pomocné zabezpečovací zařízení zahrnuje spínač pro spouštěni zvukového signálu z uvedeného přenosného elektronického zařízení.
Popis příkladných provedeni
Příkladným provedením vynálezu je sestava mobilního telefonu, nejlépe smartphonu, který představuje přenosný elektronický přístroj, a malého elektronického předmětu, například přívěšku na klíče, tzv. klíčenky, která představuje pomocné zabezpečovací zařízení. Mobilní telefon zahrnuje procesor, zařízení pro připojení k internetové síti, zařízení pro bezdrátovou elektronickou komunikaci protokolem Bluetooth a rovněž je vybaven softwarem, který umožňuje využívání internetového bankovnictví. Klíčenka zahrnuje procesor, zařízení pro bezdrátovou elektronickou komunikaci protokolem Bluetooth, například Bluetooth 4.0 Low Energy, a je vybavena softwarem pro realizaci komunikace s příslušným mobilním telefonem. Oba přístroje umožňují jednoznačnou vzájemnou identifikaci. Jednu klíčenku je možné použít pro jednu a více aplikací na více zařízeních, jedna aplikace na daném zařízení může být svázána s jednou nebo více klíčenkami.
Příkladné provedení pracuje například následovně. Mobilní telefon i klíčenka jsou opatřeny programovým vybavením, umožňujícím jednoznačnou vzájemnou identifikaci. Majitel mobilního telefonu se na svém mobilním telefonu po síti přihlásí do svého elektronického bankovnictví. Pro tento účel může například zadávat autorizační kód či heslo, jak je to známo z dosavadního stavu techniky. Mobilní telefon současně vyhledává ve svém okolí, například v okruhu 20m signál z jemu příslušející klíčenky. Velikost okruhu může být dána maximálním dosahem daného zařízení pro komunikaci protokolem Bluetooth nebo pevným nastavením na okruh menší než je maximální dosah omezením minimální požadované síly signálu. Pokud mobilní telefon zjistí přítomnost klíčenky v daném okruhu, umožní pokus o přihlášení do elektronického bankovnictví, přičemž klíčenka slouží jako jedna z komponent kryptografického algoritmu operace přihlášení (podílí se na podepisování požadavku o přihlášení). Přihlášení do elektronického bankovnictví pomocí mobilního telefonu je
-5tedy doplňkově jištěno pomocným bezpečnostním zařízením, ale majitel mobilního telefonu nemusí toto zařízení vyhledat, zapnout a opsat z něj kód, ani nemusí mít ve svém telefonu doplňkové zabezpečovací přístroje, například pro rozpoznávání duhovky nebo otisků prstů uživatele. Postačí, když má majitel mobilního telefonu klíčenku v kapse nebo v tašce, kterou má při sobě. Pokud mobilní telefon klíčenku nenalezne v daném okruhu, přístup do bankovnictví zablokuje.
Pokud se přihlášení do elektronického bankovnictví zdaří, mobilní telefon pak i dále sleduje dostupnost klíčenky a při ztrátě konektivity ke klíčence po dobu delší než např. 5 sekund, elektronické bankovnictví zablokuje, resp. odpojí přístup k elektronickému bankovnictví. Ktomu může dojít například v případě, že se majitel mobilního telefonu přihlásil do elektronického bankovnictví ve veřejném prostoru a po přihlášení mu neoprávněný uživatel vytrhl přístroj z rukou a utíká s ním pryč. Klíčenka se rovněž podílí na zabezpečení další aktivity uživatele v elektronickém bankovnictví. Bez dostupnosti klíčenky tak není možné podepisovat a v důsledku ani provádět vybrané transakce (např. novou platbu), protože část podepisování dat požadavku probíhá přímo na klíčence. Podepisování je přitom jednoznačně ověřitelné na straně bankovních systémů - klíčenka je globálně rozpoznatelná, předpersonalizovaná a unikátní od továrního nastavení.
Každá jednotlivá klíčenka je od výroby personalizována. Úvodní personalizace klíčenky bude technicky probíhat skrze personahzačm stanici.
Do celkového schématu bezpečnosti vstupují mimo jiné jako parametry privátní a veřejná část klíč banky, a dále pak privátní a veřejná část klíč každé jednotlivé klíčenky (který je pro každou instanci zařízení unikátní). Do procesu personalizace jednotlivé klíčenky pak přitom nevstupuje privátní část klíce banky - v celém procesu výroby klíčenky se tak za stranu banky pracuje zásadně jen s její veřejnou částí klíče.
Pár veřejná / soukromá část klíče banky je možné předpočítat jednorázově ještě před továrním nastavením samotné klíčenky (popř. mohou být z kapacitních důvodů předpočítány pro danou geografickou polohu, např. pro střední Evropu, na které se předpokládá s přenositelností klíčenky). Práce s privátní částí klíče banky podléhá speciálnímu zacházení z důvodu citlivosti tohoto klíče - privátní část klíče je bance předána bezpečným způsobem.
-6Banka zároveň obdrží tabulku S veřejných částí klíčů všech klíčenek (resp. všech pro danou geografickou polohu, na které má být zajištěna přenositelnost mezi bankami).
Na každé jednotlivé klíčence se během personalizace uloží unikátní symetrický klíč vzniklý odvozením z veřejné části klíče banky a privátní části klice dané klíčenky. Aby bylo možné zajistit to, že banka dokáže ověřit klíčenku vydanou jinou bankou (tj. aby byla zajištěna přenositelnost klíčenek mezi bankami), na klíčenku se negeneruje pouze jeden odvozený symetrický klíč pro jednu banku, ale tabulka T například 64 odvozených symetrických klíčů uložených na prislusne indexy tabulky T pro 64 bank, přičemž indexy a jim příslušející privátní části klíčů bank jsou dané konkrétní bance přiřazeny až následně (klíčenka může být vyrobena a personalizována před tím, než daná banka obdrží svou privátní část klíče). Následně je bance předán příslušný index do tabulky T, který banka použije pro adresaci svého symetrického klíče, -který - jak již bylo uvedeno - byl dopočtený z privátní časti klice klíčenky a veřejné části klíče banky a který odpovídá privátní části klíče dané banky a veřejné části klíče klíčenky.
Banka tak tedy má svou privátní část klíče banky, databázi S všech veřejných klíčů klíčenek a index do tabulky T uložené na klíčence, který používá k adresaci symetrického klíče, vzniklého na bázi privátní části klíče přívěšku a veřejné části klice banky.
Koncovou personalizaci klíčenky (tedy spojení klíčenky s účtem klienta banky) provádí koncový uživatel na svém přenosném elektronickém zařízení pomoci softwarové aplikace, například na svém mobilním telefonu pomoci mobilní aplikace. Instrukce pro postup koncové personalizace jsou s výhodou zobrazeny v rámci uživatelského rozhraní na mobilním telefonu. Koncová personalizace spočívá v tom, že se na přívěšku v tabulce A propojených aplikací pro danou aplikaci vyhradí slot (pozice v tabulce A), který obsahuje další vygenerované symetrické klíče používané pro podepisování požadavků. Během alokace slotu aplikací musí uživatel operaci aktivně potvrdit, například stiskem tlačítka na pomocném zabezpečovacím zařízeni. V případě, že jsou navíc obsazeny všechny dostupné sloty v tabulce A, je uživateli na mobilním telefonu zobrazen seznam pro výběr slotu k přepsaní. Tato operace přepsání pak může vyžadovat například dvojitý stisk tlačítka na pomocném zabezpečovacím zařízení.
Postup koncové personalizace klíčenky může být přitom následující:
1. Mobilní aplikace, která si chce alokovat slot v tabulce A, vygeneruje transportní klíč a zvolí index, který označuje veřejný klíč konkrétní banky v alokační tabulce T.
2. Klíčenka vygeneruje symetrický klíč pro budoucí podepisování certifikační výzvy a dopočte kryptogram uvedeného klíče a doplňkovou bezpečnostní konstantu (jejím úkolem je dodání entropie do algoritmů). Pro uložení těchto klíčů na klicence slouží tabulka A.
3. Mobilní aplikace, která si chce alokovat slot, si uloží svůj slot a jeho signaturu, aby byla schopná rozpoznat stav, že jiná aplikace slot přepsala.
4. Pomocí klíčů uložených v tabulce T dojde pomocí síťového připojení k bezpečnému přenosu klíče pro budoucí podepisování certifikační výzvy uloženého v tabulce A na klíčence s koncovými systémy banky (serverovými systémy).
Od této doby je možné data z tabulky A používat pro podepsání transakcí na přívěšku, protože banka sdílí bezpečně předaný tajný klíč pro podepisování certifikační výzvy s klíčenou.
Po koncové personalizaci je klíčenka nachystaná pro běžné používání.
V případě, že aplikace na přenosném elektronickém zařízení, například na mobilním telefonu, vyžaduje pro nějakou operaci součinnost s klíčenkou, je postup následující:
1. Mobilní aplikace spočítá certifikační výzvu
2. Klíčenka spočítá certifikační odpověď pomocí klíče pro podepisování certifikační výzvy (tabulka A). Mohou přitom existovat dva typy klíče pro podepisování certifikační výzvy:
a. Běžný typ, pro jehož vydání není potřeba manuálně potvrdit operaci na klíčence například stiskem tlačítka, což je vhodné zejména pro operace s nižší senzitivitou.
b. Typ se zvýšenou bezpečností, pro jehož vydání je nutné manuálně potvrdit operaci na klíčence například stiskem tlačítka, což je vhodné zejména u některých velmi citlivých aktivních operací.
3. Klíčenka provede obnovení transportního klíče.
Pro veškerou komunikaci mezi klíčenkou a přenosným elektronickým zařízením je s výhodou používáno výchozí Bluetooth 4.x šifrování. Komunikace mezi mobilní aplikací a klíčenkou je (kromě standardního šifrování Bluetooth) chráněná ještě transportním klíčem nastaveným během alokace použitého slotu. Tento klíc je
-8sdílen mezi mobilní bankovní aplikací a klíčenkou (čili do banky se nepředává). Použité schéma má vlastnost dopředně bezpečnosti (Forward Secrecy), díky ktere případná pozdější kompromitace transportního klíče z ukradeného telefonu nevede k možnosti odšifrovat dříve zachycenou a uloženou rádiovou komunikaci s klíčenkou.
Použité algoritmy asymetrické kryptografie mohou být založeny například na Diffie-Hellman protokolu s využitím eliptických křivek (použitá křivka např. P256). Tento protokol využívá jako privátní klíč celé číslo d a jako veřejný klíč bod [x,y]. Pro potřeby zjištění veřejného klíče je nutné znát pouze souřadnici x (souřadnici y lze dovodit, ’’komprese bodů”). Veškerá asymetrická kryptografie přitom probíhá buď na straně banky (při ověřování), nebo na personalizační stanici (během úvodní personalizace pomocného zabezpečovacího zařízení). Na samotné klíčence probíhá pouze symetrická kryptografie (algoritmus AES).
V dalším příkladném provedení sestava podle vynálezu umožňuje vyhledávání / prozvánění přenosného elektronického zařízení pomocí pomocného zabezpečovacího zařízení, pokud jsou zařízení navzájem v dosahu. Zmáčknutím knoflíku na pomocném zabezpečovacím zařízení se spustí signalizace na přenosném elektronickém zařízení, která usnadní jeho vyhledání. A pokud to přenosné elektronické zařízení umožňuje, může být také použito pro nalezeni pomocného zabezpečovacího zařízení. Typickým příkladem je hledání smartphonu nebo tabletu pomoci klíčenky a hledání klíčenky pomocí smartphonu nebo tabletu.
Ve výše uvedeném popise byla jako výhodný příklad pomocného zabezpečovacího zařízení uvedena klíčenka. Je ale zřejmé, že se může jednat o jakýkoli přenosný předmět, s výhodnou malých rozměrů, který zahrnuje příslušné elektronické součásti, tedy procesor, paměť, akumulátor a zařízeni pro bezdrátovou elektronickou komunikaci technologií Bluetooth. Například se může jednat o hodinky, náramek apod.
Ačkoli bylo popsáno příkladné výhodné provedení vynálezu, odobrníkovi z dané oblasti budou zřejmé různé modifikace a možnost alternativního provedeni některých částí řešení. Proto je rozsah ochrany bez ohledu na představená výhodná provedení dán zněním patentových nároků.

Claims (10)

  1. PATENTOVÉ NÁROKY
    1. Způsob zabezpečení proti neoprávněnému ovládání bankovního účtu z přenosného elektronického zařízení, které zahrnuje zařízení pro připojeni k internetové síti a zařízení pro bezdrátovou elektronickou komunikaci protokolem Bluetooth, pomocí pomocného zabezpečovacího zařízení zahrnujícího zařízeni pro bezdrátovou elektronickou komunikaci protokolem Bluetooth, přičemž tento způsob zahrnuje následující krok:
    i) přenosné elektronické zařízení se uzpůsobí pro internetové ovládám bankovního účtu, vyznačující se tím, že dále zahrnuje následující kroky:
    ii) pomocnému zabezpečovacímu zařízení se přiřadí jeho sériové číslo, adresa a klíč zahrnující privátní a veřejnou část a tyto se uloží na pomocném zabezpečovacím zařízení a v systému bankovní instituce se uloží sériové číslo, adresa a veřejná část klíče daného pomocného zabezpečovacího zařízení, iii) pomocné zabezpečovací zařízení se přiřadí k uvedenému přenosnému elektronickému zařízení pro připravení jejich součinnosti při výpočtu klíče pro ovládání bankovního účtu z přenosného elektronického zařízení, iv) přenosné elektronické zařízení vyhledává technologií Bluetooth ve svém okolí uvedené přiřazené pomocné zabezpečovací zařízení,
    v) při nalezení signálu Bluetooth z uvedeného přiřazeného pomocného zabezpečovacího zařízení o předem stanovené nebo vyšší intenzitě se klíc pro přihlášení do bankovního účtu a / nebo podepisování jednotlivých vybraných typů bankovních operací vypočítává na základě kombinace klíče uloženého v přenosném elektronickém zařízení a klíče uloženého v přiřazeném pomocném zabezpečovacím zařízení.
  2. 2. Způsob podle nároku 1, vyznačující se tím, že při nenalezení signálu Bluetooth z uvedeného přiřazeného pomocného zabezpečovacího zařízení se zablokuje a / nebo odpojí přihlášení do bankovního účtu z uvedeného přenosného elektronického zařízení.
  3. 3. Způsob podle nároku 1 nebo 2, vyznačující se tím, že vyhledávaní přiřazeného pomocného zabezpečovacího zařízení technologií Bluetooth se zahájí při pokusu o přihlášení do bankovního účtu z uvedeného přenosného elektronického zařízení.
  4. 4. Způsob podle kteréhokoli z nároků 1 až 3, vyznačující se tím, že vyhledávání přiřazeného pomocného zabezpečovacího zařízení technologií Bluetooth se opakuje v pravidelných časových intervalech o délce nejvýše 30 vteřin, a to alespoň po dobu přihlášení do bankovního účtu.
  5. 5. Způsob podle kteréhokoli z nároků 1 až 4, vyznačující se tím, že klíč uložený v přiřazeném pomocném zabezpečovacím zařízení se automaticky obměňuje po každém jeho použití.
  6. 6. Způsob podle kteréhokoli z nároků 1 až 5, vyznačující se tím, že v kroku ii) se vytvoří symetrický klíč odvozením z veřejné části klíče banky a privátní časti klice pomocného zabezpečovacího zařízení a tento symetrický klíč se uloží v paměti pomocného zabezpečovacího zařízení a / nebo v kroku iii) se přiřazení pomocného zabezpečovací zařízení k uvedenému přenosnému elektronickému zařízení uskuteční tím, že přenosné zabezpečovací zařízení vygeneruje transportní klíč a vyšle ho technologií Bluetooth spolu s identifikačním údajem veřejné části klíče banky do přenosného zabezpečovacího zařízení, které na základě již uložených dat a přijatých dat vypočte klíč pomocného zabezpečovacího zařízení pro krok v).
  7. 7. Pomocné zabezpečovací zařízení, které zahrnuje paměť, procesor a zařízeni pro bezdrátovou elektronickou komunikaci protokolem Bluetooth, vyznačující se tím, že paměť pomocného zabezpečovací zařízení obsahuje software umožňující provádění způsobu podle kteréhokoli z nároků 1 až 5.
  8. 8. Přenosné elektronické zařízení, které zahrnuje paměť, procesor, s ním propojené zařízení pro připojení k internetové síti a zařízení pro bezdrátovou elektronickou komunikaci protokolem Bluetooth, vyznačující se tím, že paměť přenosného
    - 11 elektronické zařízení obsahuje software umožňující provádění způsobu podle kteréhokoli z nároků 1 až 5.
  9. 9. Sestava přenosného elektronického zařízení a pomocného zabezpečovacího zařízení, přičemž přenosné elektronické zařízení zahrnuje paměť, procesor, s ním propojené zařízení pro připojení k internetové síti a zařízení pro bezdrátovou elektronickou komunikaci protokolem Bluetooth, vyznačující se tím, že pomocné zabezpečovací zařízení zahrnuje paměť, procesor a zařízení pro bezdrátovou elektronickou komunikaci protokolem Bluetooth, přičemž pamět přenosného elektronického zařízeni a paměť pomocného zabezpečovací zařízení obsahují software umožňující provádění způsobu podle kteréhokoli z nároků 1 až 5.
  10. 10. Sestava podle nároku 9, vyznačující se tím, že uvedené přiřazené pomocné zabezpečovací zařízení zahrnuje zařízení pro vydávání zvukového signálu a uvedené přenosné elektronické zařízení zahrnuje spínač pro spouštění zvukového signálu z uvedeného přiřazeného pomocného zabezpečovacího zařízení a / nebo uvedené přenosné elektronické zařízení zahrnuje zařízení pro vydávání zvukového signálu a uvedené přiřazené pomocné zabezpečovací zařízení zahrnuje spínač pro spouštění zvukového signálu z uvedeného přenosného elektronického zařízení.
CZ2014-126A 2014-03-03 2014-03-03 Způsob a sestava pro zabezpečení ovládání bankovního účtu CZ2014126A3 (cs)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CZ2014-126A CZ2014126A3 (cs) 2014-03-03 2014-03-03 Způsob a sestava pro zabezpečení ovládání bankovního účtu
US15/122,870 US11003744B2 (en) 2014-03-03 2015-03-03 Method and system for securing bank account access
PCT/CZ2015/000016 WO2015131860A1 (en) 2014-03-03 2015-03-03 Method and system for securing bank account access

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CZ2014-126A CZ2014126A3 (cs) 2014-03-03 2014-03-03 Způsob a sestava pro zabezpečení ovládání bankovního účtu

Publications (1)

Publication Number Publication Date
CZ2014126A3 true CZ2014126A3 (cs) 2015-09-16

Family

ID=52874890

Family Applications (1)

Application Number Title Priority Date Filing Date
CZ2014-126A CZ2014126A3 (cs) 2014-03-03 2014-03-03 Způsob a sestava pro zabezpečení ovládání bankovního účtu

Country Status (3)

Country Link
US (1) US11003744B2 (cs)
CZ (1) CZ2014126A3 (cs)
WO (1) WO2015131860A1 (cs)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170004400A (ko) * 2015-07-02 2017-01-11 삼성전자주식회사 근거리 통신을 이용한 결제 방법 및 그 전자 장치
US20180262488A1 (en) * 2017-03-13 2018-09-13 I.X Innovation Co., Ltd. Method and system for providing secure communication
KR20220071882A (ko) * 2020-11-24 2022-05-31 현대자동차주식회사 M2m 시스템에서 장치의 부품 정보를 관리하기 위한 방법 및 장치
US20240073679A1 (en) * 2022-08-31 2024-02-29 Pixart Imaging Inc. Data transmission system with high transmission security
US12500779B2 (en) * 2023-02-09 2025-12-16 Mobileye Vision Technologies Ltd. Secure communication between a source to multiple targets

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7493288B2 (en) * 2001-07-10 2009-02-17 Xatra Fund Mx, Llc RF payment via a mobile device
US20170032360A9 (en) * 2002-09-09 2017-02-02 U.S. Encode Corporation Systems and methods for enrolling a token in an online authentication program
US8014570B2 (en) * 2004-11-16 2011-09-06 Activcard, Inc. Method for improving false acceptance rate discriminating for biometric authentication systems
WO2004105359A2 (en) * 2003-05-19 2004-12-02 Einar Rosenberg An apparatus and method for increased security of wireless transactions
US8146141B1 (en) * 2003-12-16 2012-03-27 Citibank Development Center, Inc. Method and system for secure authentication of a user by a host system
WO2005119608A1 (en) * 2004-06-03 2005-12-15 Tyfone, Inc. System and method for securing financial transactions
US7545795B2 (en) * 2004-08-05 2009-06-09 Broadcom Corporation Method for identification using bluetooth wireless key
US20090006846A1 (en) * 2007-06-27 2009-01-01 Apple Inc. Bluetooth device as security access key
US8694787B2 (en) * 2007-08-07 2014-04-08 Christophe Niglio Apparatus and method for securing digital data with a security token
WO2009070430A2 (en) * 2007-11-08 2009-06-04 Suridx, Inc. Apparatus and methods for providing scalable, dynamic, individualized credential services using mobile telephones
SK50042008A3 (sk) * 2008-01-04 2009-09-07 Logomotion, S. R. O. Spôsob a systém autentifikácie najmä pri platbách, identifikátor totožnosti a/alebo súhlasu
BRPI0802251A2 (pt) * 2008-07-07 2011-08-23 Tacito Pereira Nobre sistema, método e dispositivo para autenticação em relacionamentos por meios eletrÈnicos
US8045961B2 (en) * 2009-06-22 2011-10-25 Mourad Ben Ayed Systems for wireless authentication based on bluetooth proximity
US9443071B2 (en) * 2010-06-18 2016-09-13 At&T Intellectual Property I, L.P. Proximity based device security
US8769657B2 (en) * 2012-08-10 2014-07-01 Kaspersky Lab Zao System and method for controlling user's access to protected resources using multi-level authentication
US20140136419A1 (en) * 2012-11-09 2014-05-15 Keith Shoji Kiyohara Limited use tokens granting permission for biometric identity verification
EP2763370B1 (en) * 2013-01-31 2016-12-21 Nxp B.V. Security token and service access system
WO2014166519A1 (en) * 2013-04-08 2014-10-16 Bonsignore Antonio Salvatore Piero Vittorio A qualified electronic signature system, method and mobile processing terminal for qualified electronic signature
EP3284182B1 (en) * 2015-04-14 2020-11-04 Capital One Services, LLC Automated bluetooth pairing
US10862862B2 (en) * 2017-11-30 2020-12-08 AVAST Software s.r.o. Identifying devices on a remote network

Also Published As

Publication number Publication date
US20170070882A1 (en) 2017-03-09
US11003744B2 (en) 2021-05-11
WO2015131860A1 (en) 2015-09-11

Similar Documents

Publication Publication Date Title
US11330429B2 (en) Vehicle digital key sharing service method and system
US10289996B2 (en) Apparatuses and methods for operating a portable electronic device to conduct mobile payment transactions
CN105144670B (zh) 启用无线联网的个人标识系统
CN107077763B (zh) 首次进入通知
JP2022506040A (ja) アクセス制御のためのシステム、方法及び装置
CN108665250B (zh) 一种信息处理方法、装置、硬件钱包以及系统
US9779568B2 (en) Locking control device, locking control system, and locking control method
WO2015188949A1 (en) Methods and devices for conducting payment transactions
CZ2014126A3 (cs) Způsob a sestava pro zabezpečení ovládání bankovního účtu
US20240121112A1 (en) Mutual authentication with pseudo random numbers
US11868169B2 (en) Enabling access to data
US20170236110A1 (en) Methods and apparatus for non-contact radio frequency detection and automatic establishment of corresponding communication channel
US10841795B2 (en) Method and system for protected communication between a mobile unit coupled to a smartphone and a server
KR101746598B1 (ko) 사용자 인증을 위한 장치
KR20150018490A (ko) Nfc 보안 디지털 시스템, 상기 보안 디지털 시스템과 페어를 이루는 페어 시스템, 및 그 제공방법
JP2014135558A (ja) 情報移譲システム、情報移譲方法、情報移譲プログラム
KR102100072B1 (ko) 인증 서비스 제공 방법, 장치 및 시스템
CN116828461A (zh) 终端设备消息的输出方法、装置及存储介质
WO2015052120A1 (en) Method and system for detection and identification of a wearable device
KR20160085074A (ko) 인증 처리 방법, 인증 토큰 단말기 및 사용자 단말
HK1242032A1 (en) First entry notification
KR20150129300A (ko) Nfc 보안 디지털 시스템, 상기 보안 디지털 시스템과 페어를 이루는 페어 시스템, 및 그 제공방법