DE102016014184A1 - Secure payment method by pairing a micro PC with a smartphone - Google Patents

Secure payment method by pairing a micro PC with a smartphone Download PDF

Info

Publication number
DE102016014184A1
DE102016014184A1 DE102016014184.0A DE102016014184A DE102016014184A1 DE 102016014184 A1 DE102016014184 A1 DE 102016014184A1 DE 102016014184 A DE102016014184 A DE 102016014184A DE 102016014184 A1 DE102016014184 A1 DE 102016014184A1
Authority
DE
Germany
Prior art keywords
terminal
mobile phone
nfc
location
data transmission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102016014184.0A
Other languages
German (de)
Inventor
Auf Nichtnennung Antrag
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cubical GmbH
Original Assignee
Cubical GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cubical GmbH filed Critical Cubical GmbH
Priority to DE102016014184.0A priority Critical patent/DE102016014184A1/en
Publication of DE102016014184A1 publication Critical patent/DE102016014184A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B5/00Near-field transmission systems, e.g. inductive or capacitive transmission systems
    • H04B5/70Near-field transmission systems, e.g. inductive or capacitive transmission systems specially adapted for specific purposes
    • H04B5/72Near-field transmission systems, e.g. inductive or capacitive transmission systems specially adapted for specific purposes for local intradevice communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephone Function (AREA)

Abstract

Das Gehäuse eines Terminals wird dergestalt modifiziert, dass es die Authorisierung von Bezahlvorgängen sowie die Erzeugung von papierlosen Tickets mittels Orts- und Lagebestimmung des NFC-Partnergerätes ermöglicht. Für den Bezahlvorgang genügt eine einmalige Paarung des Mobiltelefons mit dem Micro-PC bzw. Terminal an der dafür vorgesehenen Stelle des Gehäuses.The housing of a terminal is modified in such a way that it enables the authorization of payment transactions and the generation of paperless tickets by means of location and orientation of the NFC partner device. For the payment process, a single pairing of the mobile phone with the micro PC or terminal at the designated location of the housing is sufficient.

Description

Die Erfindung betrifft ein im Sinne der vorliegenden Erfindung modifiziertes Terminal-Gehäuse bzw. Micro-PC (im folgenden als Terminal bezeichnet) welche sich durch kontaktlose aber orts- und lagegenaue Paarung mit einem Mobiltelefon an mindestens einer Stelle, zu einer sicheren Kommunikation gemäß NCF-Standard (Near Field Communication) zusammenfügen. Ziel dieser Paarung ist die Authorisierung von Bezahl- und Ticketing-Vorgängen auf einem deutlich höheren Sicherheitsniveau als es bisher mit integrierten kontaktlosen Nahfeld-Kommunikationssystemen möglich ist.The invention relates to a modified in the context of the present invention terminal housing or micro-PC (hereinafter referred to as terminal) which is characterized by contactless but location-and positionally accurate pairing with a mobile phone at least one place to secure communication according to NCF Merge standard (Near Field Communication). The goal of this pairing is to authorize payment and ticketing operations at a much higher level of security than previously possible with integrated near-field contactless communication systems.

Verschiedene Hersteller von Mobiltelefonen bieten heute in ihren Geräten bereits werkseitig NFC-Bezahlfunktionen an. Allerdings besteht bei all diesen Geräten das Risiko, das ein unerwünschter Bezahlvorgang durch die unbemerkte Annäherung eines entsprechenden Terminals an das Gerät (zum Beispiel in der U-Bahn oder in einem Strassen-Cafe) ausgelöst werden kann. Tatsächlich wurden bereits einige Sicherheitslücken in NFC entdeckt, vor allem in der derzeit am häufigsten genutzten Anwendung Google Wallet. Zwei Lücken betrafen dabei die PIN-Eingabe. Eine Android-App ermöglichte zum Beispiel das Auslesen der PIN, wenn das Smartphone entsperrt (gerootet) war. Die App fand durch einfaches Austesten der 10.000 möglichen Kombinationen die PIN heraus und zeigte sie an. Dabei sollte die PIN das Secure Element schützen, auf dem die für die Bezahlung nötigen Informationen gespeichert sind.Different manufacturers of mobile phones already offer NFC payment functions in their devices at the factory. However, there is a risk with all these devices that an unwanted payment process can be triggered by the unnoticed approach of a corresponding terminal to the device (for example, in the subway or in a street cafe). In fact, some vulnerabilities have been discovered in NFC, especially in the currently most used Google Wallet application. Two gaps involved PIN entry. For example, an Android app enabled the PIN to be read when the smartphone was unlocked (rooted). The app found and displayed the PIN by simply testing the 10,000 possible combinations. The PIN should protect the secure element that stores the information needed for payment.

Eine weitere Sicherheitslücke ermöglichte es sogar, die PIN zu überschreiben. Dazu mussten die Nutzer-Daten über die Android-Einstellungen von Wallet gelöscht werden. Startete man die App daraufhin neu, begann die Einrichtung des Smartphones von vorne und es ließ sich einfach ein neuer PIN eingeben. Denn die Verknüpfung mit dem bislang genutzten Google-Konto erfolgte automatisch, ohne dass ein Passwort abgefragt wurde. Außerdem gibt es eine Umgehungsmöglichkeit: Wenn der Bildschirm des Mobiltelefons nicht eingeschaltet ist, bleibt auch die NFC-Antenne inaktiv. Somit können keine Daten gelesen werden, auch wenn jemand dem Gerät zu nahe kommt. Selbst wenn die Antenne aktiv ist, lassen sich sensible Daten nur dann vom Secure Element zu einem Lesegerät übertragen, wenn zuvor die Google Wallet PIN eingegeben wurde. Dieser Angriffsweg wurde auf der EuSecWest Conference 2012 in der Praxis demonstriert. Die Hacker erhielten durch eine Schwachstelle im Speicher Zugriff auf ein recht neues Gerät, nämlich ein Samsung Galaxy 3 mit Android 4.0.4.Another vulnerability even made it possible to override the PIN. To do this, the user data had to be deleted via Wallet's Android settings. If you restarted the app then, the setup of the smartphone started from the front and it was easy to enter a new PIN. Because the link to the previously used Google account was done automatically, without a password was queried. There is also a workaround: If the screen of the mobile phone is not turned on, the NFC antenna also remains inactive. Thus, no data can be read, even if someone comes too close to the device. Even if the antenna is active, sensitive data can only be transferred from the Secure Element to a reader if the Google Wallet PIN has been entered previously. This attack path was demonstrated in practice at the 2012 EuSecWest Conference. The hackers were given access to a fairly new device due to a vulnerability in the memory, namely a Samsung Galaxy 3 with Android 4.0.4.

Anschließend konnten sie beliebige Programme darauf laufen lassen und erhielten über eine zweite Schwachstelle im Sandbox-Modul per Privilegien-Erweiterung die vollständige Kontrolle über das Gerät. Die Angreifer lasen Nutzer- und Kontaktdaten aus oder riefen teure Hotlines an. Da es sich hier vor allem um ein Problem von Android handelt, und nicht von NFC oder der Hardware, lassen sich entsprechende Angriffe auch über präparierte Webseiten oder E-Mail-Anhänge initiieren.Then they could run any programs on it and got over a second vulnerability in the sandbox module via privilege extension complete control of the device. The attackers read out user and contact information or called expensive hotlines. Since this is primarily a problem of Android, and not of NFC or the hardware, such attacks can also be initiated via prepared websites or e-mail attachments.

Auf der Sicherheitskonferenz Black Hat USA 2012 präsentierte der bekannte Smartphone-Hacker Charlie Miller weitere Sicherheitslücken in NFC. Sie betreffen die Übertragungs- und Auslesefunktionen für NFC-Markierungen (Tags) von Android-Geräten und dem Nokia N9. Diese lassen sich so ausnutzen, dass die Geräte bestimmte Webseiten aufrufen oder Dateien herunterladen. Dies liegt daran, dass die Funktionen zum Auslesen von NFC Tags, aber auch QR Codes automatisch Aktionen auslösen, ohne den Besitzer um Erlaubnis zu fragen. Zudem ließe sich das Problem einfach durch die Nutzung von Digitalen Signaturen oder ähnliche Sicherheitsmaßnahmen in QR Codes oder NFC Tags beheben.At the security conference Black Hat USA 2012, the well-known smartphone hacker Charlie Miller presented further security holes in NFC. They concern the transfer and readout features for NFC tags from Android devices and the Nokia N9. These can be exploited so that the devices access certain websites or download files. This is because the functions for reading NFC tags as well as QR codes automatically trigger actions without asking the owner for permission. In addition, the problem could be solved simply by using digital signatures or similar security measures in QR codes or NFC tags.

Dass ein Hacker sich nicht unbedingt in unmittelbarer Nähe des attackierten Smartphones befinden muss, hat Michael Roland auf der IFIP TC 11 International Information Security and Privacy Conference im Juni 2012 gezeigt. Durch Angriffe aus der Ferne auf das permanent mit globalen Netzwerken verbundene Smartphone ist es unerheblich, wo sich der Angreifer befindet. Er muss dazu nur eine entsprechende Fernzugriffssoftware auf das Gerät aufspielen. Anschließend kann er sogar direkt die Bezahlfunktionen der virtuellen Geldbörse kontrollieren.That a hacker does not necessarily have to be in the immediate vicinity of the attacked smartphone, Michael Roland showed at the IFIP TC 11 International Information Security and Privacy Conference in June 2012. Remote attacks on the smartphone permanently connected to global networks make it irrelevant where the attacker is located. He only has to install a corresponding remote access software on the device. Then he can even directly control the payment functions of the virtual wallet.

Daher ist die Benutzung eines NFC-Mobiltelefons für den Kunden mit hohen Risiken verbunden. Abhilfe schafft eine Verhüllung des Gerätes mit Alufolie bzw. der Verschluss in einer Metalldose. Allerdings ist dann das Gerät für den eigentlichen Zweck - das Telefonieren - zumindest was eingehende Anrufe anbelangt - nicht mehr zu nutzen.Therefore, the use of an NFC mobile phone is associated with high risks for the customer. Remedy creates a wrapping of the device with aluminum foil or the closure in a metal can. However, then the device for the actual purpose - the phone calls - at least as far as incoming calls are concerned - no longer to use.

Die vorliegende Erfindung soll helfen die vorgenannten Probleme lösen und ein sicheres und gleichzeitig komfortables Verfahren zum Bezahlen „im Vorbeigehen“ ermöglichen.The present invention is intended to help solve the aforementioned problems and to provide a safe and at the same time comfortable method of paying "in passing".

Das erfindungsgegenständliche System besteht aus einem NFC-fähigen Mobiltelefon und einem korrespondierenden gesicherten Bezahl-Terminal. Das Gehäuse des Terminals enthält einen Schlitz bzw. einen Spalt in den das Mobiltelefon hereingesteckt oder gehalten wird. Durch ein Antennen-Array ist es nun möglich die genaue Position des Mobiltelefons zu bestimmen. Damit ist klar, dass der Besitzer tatsächlich einen Bezahlvorgang durchführen möchte.The inventive system consists of an NFC-enabled mobile phone and a corresponding secure payment terminal. The housing of the terminal contains a slot or a gap into which the mobile phone is inserted or held. Through an antenna array, it is now possible to determine the exact position of the mobile phone. So it is clear that the owner actually wants to carry out a payment process.

Für Bezahlfunktionen oder die Erzeugung eines papierlosen Tickets wird das Mobiltelefon des Kunden jeweils in den Spalt des Terminals gelegt und durch die unmittelbare Paarung der beiden NFC-Komponenten der Vorgang vollzogen. Die Paarung kann mit Hilfe von aktiven oder passiven Transmittern erfolgen.For payment functions or the generation of a paperless ticket, the mobile phone of the customer is placed in each case in the gap of the terminal and completed by the direct pairing of the two NFC components of the process. The pairing can be done by means of active or passive transmitters.

Das erfindungsgegenständliche Terminal vereint damit die geringen Betriebskosten eines „virtuellen“ PC mit einem komfortablen und sicheren Identifikationsvorgang sowie einer papierlosen Bezahl- und Ticketing-Funktion. Es ist damit hervorragend geeignet für Verkaufsschalter von Verkehrsbetrieben, Reisebüros, Fluglinien, Eisenbahn-Gesellschaften aber auch Theatern, Konzerthäusern und Kinos.The inventive terminal thus combines the low operating costs of a "virtual" PC with a comfortable and secure identification process and a paperless payment and ticketing function. It is thus ideally suited for sales counters of public transport companies, travel agencies, airlines, railway companies as well as theaters, concert halls and cinemas.

Eine Besonderheit gegenüber heute erhältlichen NFC-Endgeräten stellt das triangulationsfähige Gehäuse des Terminals dar, welches über die Messung der Signallaufzeit eine Zentimetergenaue Lage- und Ortsbestimmung des Mobiltelefons vornehmen kann und damit die Sicherheit gegen unerlaubtes „Mithören“ gewährleistet.A special feature compared to NFC terminals available today is the triangulation-capable housing of the terminal, which can make a centimeter accurate location and location of the mobile phone on the measurement of the signal propagation time and thus ensures the security against unauthorized "eavesdropping".

In Summe steht mit dem erfindungsgegenständlichen Terminal ein Endgerät zur Verfügung welches die geringen Hardware- und Betriebskosten eines Thin Client mit modernen Identifikations-Bezahl- und Ticketing-Funktionen verbindet.In sum, a terminal is available with the terminal according to the invention which combines the low hardware and operating costs of a thin client with modern identification payment and ticketing functions.

Figurenlistelist of figures

Die Erfindung wird nachfolgend anhand der 1 bis 3 näher beschrieben. Es zeigen:

  • 1 das erfindungsgemäße Gehäuse eines Terminals zur sicheren Nutzer-Identifizierung einer NFC-Komponente, beispielsweise einem Smartphone, durch Gestaltung eines Spaltes oder eines Durchgangs innerhalb des Gehäuses.
  • 2 das erfindungsgemäße Antennen-Array eines Terminals zur sicheren NFC-Nutzer-Identifizierung über ein Triangulations-Verfahren der Signallaufzeiten
  • 3 das erfindungsgemäße Terminal zur sicheren Übertragung eines Bezahlvorgangs über ein Weitverkehrsnetz zwischen Terminal und Rechenzentrum, welcher zuvor durch Lage- und Ortsbestimmung eines mobilen Endgerätes im Verhältnis zu dem erfindungsgegenständlichen Terminal auf Basis des NCF-Standards authorisiert wurde
The invention will be described below with reference to 1 to 3 described in more detail. Show it:
  • 1 the housing according to the invention of a terminal for secure user identification of an NFC component, such as a smartphone, by designing a gap or a passage within the housing.
  • 2 the inventive antenna array of a terminal for secure NFC user identification via a triangulation method of the signal propagation times
  • 3 the terminal according to the invention for securely transmitting a payment transaction via a wide area network between the terminal and the data center, which was previously authorized by location and location of a mobile terminal relative to the inventive terminal based on the NCF standard

In 1 findet sich ein Ausführungsbeispiel des erfindungsgemäßen Gehäuses eines Terminals (A) mit einem NFC-fähigen Datenübertragungssystem (B) zur Identifizierung des Nutzers durch orts- und lagedefinierte Paarung mit einem Mobiltelefon (C). Die beiden NFC-Partner versenden Datenpakete auf einer Frequenz von 13,56 MHz.In 1 there is an embodiment of the housing according to the invention of a terminal (A) with an NFC-enabled data transmission system (B) for identifying the user by location and location-defined pairing with a mobile phone (C). The two NFC partners send data packets on a frequency of 13.56 MHz.

In 2 findet sich ein Ausführungsbeispiel des erfindungsgemäßen Gehäuses eines Terminals (A) mit einem NFC-fähigen Datenübertragungssystem für Bezahlfunktionen (B) durch Paarung einem Terminal (C) und Messung der Signallaufzeiten. Die beiden NFC-Partner versenden Datenpakete auf einer Frequenz von 13,56 MHz.In 2 there is an embodiment of the housing according to the invention of a terminal (A) with an NFC-enabled data transmission system for payment functions (B) by pairing a terminal (C) and measuring the signal propagation times. The two NFC partners send data packets on a frequency of 13.56 MHz.

In 3 findet sich ein Ausführungsbeispiel des erfindungsgemäßen Terminal (A) mit einem NFC-fähigen Datenübertragungssystem (B), welche eine lage- und ortdefinierte Position des NFC-Partnergerätes (C) erfordert.In 3 there is an embodiment of the terminal (A) according to the invention with an NFC-enabled data transmission system (B), which requires a position and location-defined position of the NFC partner device (C).

Claims (4)

System zur Datenübermittlung in einem Weitverkehrsnetz zwischen einem Mobiltelefon-Gehäuse und einem Terminal dadurch gekennzeichnet, dass ein sicherer Datenaustausch zwischen Terminal und Mobiltelefon erst nach Identifizierung des Nutzers durch eine Orts- und/oder Lagebestimmung eines NFC-fähigen, mobilen und personenindividuellen Endgerätes mit dem erfindungsgegenständlichen Terminal erfolgen kannSystem for data transmission in a wide area network between a mobile phone housing and a terminal characterized in that a secure data exchange between terminal and mobile phone only after identification of the user by a location and / or location determination of an NFC-enabled, mobile and personal terminal with the subject invention Terminal can be done System zur Datenübermittlung in einem Weitverkehrsnetz zwischen einem Mobiltelefon-Gehäuse und einem Terminal dadurch gekennzeichnet, dass die Orts- und/oder Lagebestimmung durch eine Messung der Signallaufzeiten zwischen den beiden Partnergeräten vorgenommen wirdSystem for data transmission in a wide area network between a mobile phone housing and a terminal characterized in that the location and / or location determination is carried out by measuring the signal transit times between the two partner devices System zur Datenübermittlung in einem Weitverkehrsnetz zwischen einem Mobiltelefon und einem Terminal dadurch gekennzeichnet, dass die Orts- und/oder Lagebestimmung durch eine Triangulation des Partnergerätes vorgenommen wird.System for data transmission in a wide area network between a mobile phone and a terminal, characterized in that the location and / or location determination is performed by a triangulation of the partner device. Terminal zur Datenübermittlung in einem Weitverkehrsnetz zwischen einem Mobiltelefon und einem Terminal dadurch gekennzeichnet, dass die in das erfindungsgegenständliche Terminal integrierte NFC-Datenübertragungsfunktion zwischen gleichwertigen aktiven Transmittern erfolgtTerminal for data transmission in a wide area network between a mobile phone and a terminal, characterized in that the NFC data transfer function integrated into the terminal according to the invention takes place between equivalent active transmitters
DE102016014184.0A 2016-11-28 2016-11-28 Secure payment method by pairing a micro PC with a smartphone Withdrawn DE102016014184A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102016014184.0A DE102016014184A1 (en) 2016-11-28 2016-11-28 Secure payment method by pairing a micro PC with a smartphone

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016014184.0A DE102016014184A1 (en) 2016-11-28 2016-11-28 Secure payment method by pairing a micro PC with a smartphone

Publications (1)

Publication Number Publication Date
DE102016014184A1 true DE102016014184A1 (en) 2018-06-14

Family

ID=62201163

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016014184.0A Withdrawn DE102016014184A1 (en) 2016-11-28 2016-11-28 Secure payment method by pairing a micro PC with a smartphone

Country Status (1)

Country Link
DE (1) DE102016014184A1 (en)

Similar Documents

Publication Publication Date Title
DE102013106295A1 (en) Embedded secure element for authentication, storage and transaction in a mobile terminal
CN106850209A (en) A kind of identity identifying method and device
DE102008023914A1 (en) Method for authenticating an RFID tag
CN106778109A (en) A kind of certification authority evaluation method and device based on intelligent contract
DE102009040477A1 (en) Authentication in the mobile network by authentication cell
CN104573547A (en) Information interaction safety protection system and operation realization method thereof
DE102011100144A1 (en) Secure wireless payment system and method of use
EP1729253A1 (en) Method and system for secure data transfer over an NFC-connection
DE102013202001A1 (en) A method of providing a mobile terminal with an authentication certificate
WO2019086416A1 (en) System and method for controlling the access of persons
EP3440609A2 (en) Method for initiating an authentication process, in particular suitable for authenticating a person during a cashless payment transaction, and data processing terminal for use in said type of method
DE102011075257A1 (en) Answering inquiries by means of the communication terminal of a user
DE112018006031B4 (en) AUTHENTICATE A PAYMENT CARD
EP2512090B1 (en) Method for authenticating a subscriber
CN108183906B (en) Time bank management method, server, terminal, storage medium and electronic device
DE102016202262A1 (en) A method and system for authenticating a mobile telecommunication terminal to a service computer system and mobile telecommunication terminal
DE102016014184A1 (en) Secure payment method by pairing a micro PC with a smartphone
EP2434719B1 (en) Server and method for providing user information
DE102013102092A1 (en) Method and device for authenticating people
DE102012021479A1 (en) Method for operating an electronic authentication unit
EP2764671B1 (en) Marking of unsafe data by an nfc module
EP3035270A1 (en) Card-based offline token generation
DE102014001843B3 (en) microprocessor system
EP2768199B1 (en) Method for transferring authorization information through a telecommunications network or an authorization associated with a telecommunication terminal. telecommunications terminal, system. computer program and a computer program product
Valaboju A Comprehensive Overview of WLAN Security Attacks

Legal Events

Date Code Title Description
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee