DE102016014184A1 - Secure payment method by pairing a micro PC with a smartphone - Google Patents
Secure payment method by pairing a micro PC with a smartphone Download PDFInfo
- Publication number
- DE102016014184A1 DE102016014184A1 DE102016014184.0A DE102016014184A DE102016014184A1 DE 102016014184 A1 DE102016014184 A1 DE 102016014184A1 DE 102016014184 A DE102016014184 A DE 102016014184A DE 102016014184 A1 DE102016014184 A1 DE 102016014184A1
- Authority
- DE
- Germany
- Prior art keywords
- terminal
- mobile phone
- nfc
- location
- data transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title abstract description 8
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000012546 transfer Methods 0.000 claims description 2
- 238000013475 authorization Methods 0.000 abstract 1
- 230000006870 function Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 3
- 244000035744 Hura crepitans Species 0.000 description 1
- 229910052782 aluminium Inorganic materials 0.000 description 1
- XAGFODPZIPBFFR-UHFFFAOYSA-N aluminium Chemical compound [Al] XAGFODPZIPBFFR-UHFFFAOYSA-N 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 239000011888 foil Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 229910052751 metal Inorganic materials 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B5/00—Near-field transmission systems, e.g. inductive or capacitive transmission systems
- H04B5/70—Near-field transmission systems, e.g. inductive or capacitive transmission systems specially adapted for specific purposes
- H04B5/72—Near-field transmission systems, e.g. inductive or capacitive transmission systems specially adapted for specific purposes for local intradevice communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephone Function (AREA)
Abstract
Das Gehäuse eines Terminals wird dergestalt modifiziert, dass es die Authorisierung von Bezahlvorgängen sowie die Erzeugung von papierlosen Tickets mittels Orts- und Lagebestimmung des NFC-Partnergerätes ermöglicht. Für den Bezahlvorgang genügt eine einmalige Paarung des Mobiltelefons mit dem Micro-PC bzw. Terminal an der dafür vorgesehenen Stelle des Gehäuses.The housing of a terminal is modified in such a way that it enables the authorization of payment transactions and the generation of paperless tickets by means of location and orientation of the NFC partner device. For the payment process, a single pairing of the mobile phone with the micro PC or terminal at the designated location of the housing is sufficient.
Description
Die Erfindung betrifft ein im Sinne der vorliegenden Erfindung modifiziertes Terminal-Gehäuse bzw. Micro-PC (im folgenden als Terminal bezeichnet) welche sich durch kontaktlose aber orts- und lagegenaue Paarung mit einem Mobiltelefon an mindestens einer Stelle, zu einer sicheren Kommunikation gemäß NCF-Standard (Near Field Communication) zusammenfügen. Ziel dieser Paarung ist die Authorisierung von Bezahl- und Ticketing-Vorgängen auf einem deutlich höheren Sicherheitsniveau als es bisher mit integrierten kontaktlosen Nahfeld-Kommunikationssystemen möglich ist.The invention relates to a modified in the context of the present invention terminal housing or micro-PC (hereinafter referred to as terminal) which is characterized by contactless but location-and positionally accurate pairing with a mobile phone at least one place to secure communication according to NCF Merge standard (Near Field Communication). The goal of this pairing is to authorize payment and ticketing operations at a much higher level of security than previously possible with integrated near-field contactless communication systems.
Verschiedene Hersteller von Mobiltelefonen bieten heute in ihren Geräten bereits werkseitig NFC-Bezahlfunktionen an. Allerdings besteht bei all diesen Geräten das Risiko, das ein unerwünschter Bezahlvorgang durch die unbemerkte Annäherung eines entsprechenden Terminals an das Gerät (zum Beispiel in der U-Bahn oder in einem Strassen-Cafe) ausgelöst werden kann. Tatsächlich wurden bereits einige Sicherheitslücken in NFC entdeckt, vor allem in der derzeit am häufigsten genutzten Anwendung Google Wallet. Zwei Lücken betrafen dabei die PIN-Eingabe. Eine Android-App ermöglichte zum Beispiel das Auslesen der PIN, wenn das Smartphone entsperrt (gerootet) war. Die App fand durch einfaches Austesten der 10.000 möglichen Kombinationen die PIN heraus und zeigte sie an. Dabei sollte die PIN das Secure Element schützen, auf dem die für die Bezahlung nötigen Informationen gespeichert sind.Different manufacturers of mobile phones already offer NFC payment functions in their devices at the factory. However, there is a risk with all these devices that an unwanted payment process can be triggered by the unnoticed approach of a corresponding terminal to the device (for example, in the subway or in a street cafe). In fact, some vulnerabilities have been discovered in NFC, especially in the currently most used Google Wallet application. Two gaps involved PIN entry. For example, an Android app enabled the PIN to be read when the smartphone was unlocked (rooted). The app found and displayed the PIN by simply testing the 10,000 possible combinations. The PIN should protect the secure element that stores the information needed for payment.
Eine weitere Sicherheitslücke ermöglichte es sogar, die PIN zu überschreiben. Dazu mussten die Nutzer-Daten über die Android-Einstellungen von Wallet gelöscht werden. Startete man die App daraufhin neu, begann die Einrichtung des Smartphones von vorne und es ließ sich einfach ein neuer PIN eingeben. Denn die Verknüpfung mit dem bislang genutzten Google-Konto erfolgte automatisch, ohne dass ein Passwort abgefragt wurde. Außerdem gibt es eine Umgehungsmöglichkeit: Wenn der Bildschirm des Mobiltelefons nicht eingeschaltet ist, bleibt auch die NFC-Antenne inaktiv. Somit können keine Daten gelesen werden, auch wenn jemand dem Gerät zu nahe kommt. Selbst wenn die Antenne aktiv ist, lassen sich sensible Daten nur dann vom Secure Element zu einem Lesegerät übertragen, wenn zuvor die Google Wallet PIN eingegeben wurde. Dieser Angriffsweg wurde auf der EuSecWest Conference 2012 in der Praxis demonstriert. Die Hacker erhielten durch eine Schwachstelle im Speicher Zugriff auf ein recht neues Gerät, nämlich ein Samsung Galaxy 3 mit Android 4.0.4.Another vulnerability even made it possible to override the PIN. To do this, the user data had to be deleted via Wallet's Android settings. If you restarted the app then, the setup of the smartphone started from the front and it was easy to enter a new PIN. Because the link to the previously used Google account was done automatically, without a password was queried. There is also a workaround: If the screen of the mobile phone is not turned on, the NFC antenna also remains inactive. Thus, no data can be read, even if someone comes too close to the device. Even if the antenna is active, sensitive data can only be transferred from the Secure Element to a reader if the Google Wallet PIN has been entered previously. This attack path was demonstrated in practice at the 2012 EuSecWest Conference. The hackers were given access to a fairly new device due to a vulnerability in the memory, namely a Samsung Galaxy 3 with Android 4.0.4.
Anschließend konnten sie beliebige Programme darauf laufen lassen und erhielten über eine zweite Schwachstelle im Sandbox-Modul per Privilegien-Erweiterung die vollständige Kontrolle über das Gerät. Die Angreifer lasen Nutzer- und Kontaktdaten aus oder riefen teure Hotlines an. Da es sich hier vor allem um ein Problem von Android handelt, und nicht von NFC oder der Hardware, lassen sich entsprechende Angriffe auch über präparierte Webseiten oder E-Mail-Anhänge initiieren.Then they could run any programs on it and got over a second vulnerability in the sandbox module via privilege extension complete control of the device. The attackers read out user and contact information or called expensive hotlines. Since this is primarily a problem of Android, and not of NFC or the hardware, such attacks can also be initiated via prepared websites or e-mail attachments.
Auf der Sicherheitskonferenz Black Hat USA 2012 präsentierte der bekannte Smartphone-Hacker Charlie Miller weitere Sicherheitslücken in NFC. Sie betreffen die Übertragungs- und Auslesefunktionen für NFC-Markierungen (Tags) von Android-Geräten und dem Nokia N9. Diese lassen sich so ausnutzen, dass die Geräte bestimmte Webseiten aufrufen oder Dateien herunterladen. Dies liegt daran, dass die Funktionen zum Auslesen von NFC Tags, aber auch QR Codes automatisch Aktionen auslösen, ohne den Besitzer um Erlaubnis zu fragen. Zudem ließe sich das Problem einfach durch die Nutzung von Digitalen Signaturen oder ähnliche Sicherheitsmaßnahmen in QR Codes oder NFC Tags beheben.At the security conference Black Hat USA 2012, the well-known smartphone hacker Charlie Miller presented further security holes in NFC. They concern the transfer and readout features for NFC tags from Android devices and the Nokia N9. These can be exploited so that the devices access certain websites or download files. This is because the functions for reading NFC tags as well as QR codes automatically trigger actions without asking the owner for permission. In addition, the problem could be solved simply by using digital signatures or similar security measures in QR codes or NFC tags.
Dass ein Hacker sich nicht unbedingt in unmittelbarer Nähe des attackierten Smartphones befinden muss, hat Michael Roland auf der IFIP TC 11 International Information Security and Privacy Conference im Juni 2012 gezeigt. Durch Angriffe aus der Ferne auf das permanent mit globalen Netzwerken verbundene Smartphone ist es unerheblich, wo sich der Angreifer befindet. Er muss dazu nur eine entsprechende Fernzugriffssoftware auf das Gerät aufspielen. Anschließend kann er sogar direkt die Bezahlfunktionen der virtuellen Geldbörse kontrollieren.That a hacker does not necessarily have to be in the immediate vicinity of the attacked smartphone, Michael Roland showed at the IFIP TC 11 International Information Security and Privacy Conference in June 2012. Remote attacks on the smartphone permanently connected to global networks make it irrelevant where the attacker is located. He only has to install a corresponding remote access software on the device. Then he can even directly control the payment functions of the virtual wallet.
Daher ist die Benutzung eines NFC-Mobiltelefons für den Kunden mit hohen Risiken verbunden. Abhilfe schafft eine Verhüllung des Gerätes mit Alufolie bzw. der Verschluss in einer Metalldose. Allerdings ist dann das Gerät für den eigentlichen Zweck - das Telefonieren - zumindest was eingehende Anrufe anbelangt - nicht mehr zu nutzen.Therefore, the use of an NFC mobile phone is associated with high risks for the customer. Remedy creates a wrapping of the device with aluminum foil or the closure in a metal can. However, then the device for the actual purpose - the phone calls - at least as far as incoming calls are concerned - no longer to use.
Die vorliegende Erfindung soll helfen die vorgenannten Probleme lösen und ein sicheres und gleichzeitig komfortables Verfahren zum Bezahlen „im Vorbeigehen“ ermöglichen.The present invention is intended to help solve the aforementioned problems and to provide a safe and at the same time comfortable method of paying "in passing".
Das erfindungsgegenständliche System besteht aus einem NFC-fähigen Mobiltelefon und einem korrespondierenden gesicherten Bezahl-Terminal. Das Gehäuse des Terminals enthält einen Schlitz bzw. einen Spalt in den das Mobiltelefon hereingesteckt oder gehalten wird. Durch ein Antennen-Array ist es nun möglich die genaue Position des Mobiltelefons zu bestimmen. Damit ist klar, dass der Besitzer tatsächlich einen Bezahlvorgang durchführen möchte.The inventive system consists of an NFC-enabled mobile phone and a corresponding secure payment terminal. The housing of the terminal contains a slot or a gap into which the mobile phone is inserted or held. Through an antenna array, it is now possible to determine the exact position of the mobile phone. So it is clear that the owner actually wants to carry out a payment process.
Für Bezahlfunktionen oder die Erzeugung eines papierlosen Tickets wird das Mobiltelefon des Kunden jeweils in den Spalt des Terminals gelegt und durch die unmittelbare Paarung der beiden NFC-Komponenten der Vorgang vollzogen. Die Paarung kann mit Hilfe von aktiven oder passiven Transmittern erfolgen.For payment functions or the generation of a paperless ticket, the mobile phone of the customer is placed in each case in the gap of the terminal and completed by the direct pairing of the two NFC components of the process. The pairing can be done by means of active or passive transmitters.
Das erfindungsgegenständliche Terminal vereint damit die geringen Betriebskosten eines „virtuellen“ PC mit einem komfortablen und sicheren Identifikationsvorgang sowie einer papierlosen Bezahl- und Ticketing-Funktion. Es ist damit hervorragend geeignet für Verkaufsschalter von Verkehrsbetrieben, Reisebüros, Fluglinien, Eisenbahn-Gesellschaften aber auch Theatern, Konzerthäusern und Kinos.The inventive terminal thus combines the low operating costs of a "virtual" PC with a comfortable and secure identification process and a paperless payment and ticketing function. It is thus ideally suited for sales counters of public transport companies, travel agencies, airlines, railway companies as well as theaters, concert halls and cinemas.
Eine Besonderheit gegenüber heute erhältlichen NFC-Endgeräten stellt das triangulationsfähige Gehäuse des Terminals dar, welches über die Messung der Signallaufzeit eine Zentimetergenaue Lage- und Ortsbestimmung des Mobiltelefons vornehmen kann und damit die Sicherheit gegen unerlaubtes „Mithören“ gewährleistet.A special feature compared to NFC terminals available today is the triangulation-capable housing of the terminal, which can make a centimeter accurate location and location of the mobile phone on the measurement of the signal propagation time and thus ensures the security against unauthorized "eavesdropping".
In Summe steht mit dem erfindungsgegenständlichen Terminal ein Endgerät zur Verfügung welches die geringen Hardware- und Betriebskosten eines Thin Client mit modernen Identifikations-Bezahl- und Ticketing-Funktionen verbindet.In sum, a terminal is available with the terminal according to the invention which combines the low hardware and operating costs of a thin client with modern identification payment and ticketing functions.
Figurenlistelist of figures
Die Erfindung wird nachfolgend anhand der
-
1 das erfindungsgemäße Gehäuse eines Terminals zur sicheren Nutzer-Identifizierung einer NFC-Komponente, beispielsweise einem Smartphone, durch Gestaltung eines Spaltes oder eines Durchgangs innerhalb des Gehäuses. -
2 das erfindungsgemäße Antennen-Array eines Terminals zur sicheren NFC-Nutzer-Identifizierung über ein Triangulations-Verfahren der Signallaufzeiten -
3 das erfindungsgemäße Terminal zur sicheren Übertragung eines Bezahlvorgangs über ein Weitverkehrsnetz zwischen Terminal und Rechenzentrum, welcher zuvor durch Lage- und Ortsbestimmung eines mobilen Endgerätes im Verhältnis zu dem erfindungsgegenständlichen Terminal auf Basis des NCF-Standards authorisiert wurde
-
1 the housing according to the invention of a terminal for secure user identification of an NFC component, such as a smartphone, by designing a gap or a passage within the housing. -
2 the inventive antenna array of a terminal for secure NFC user identification via a triangulation method of the signal propagation times -
3 the terminal according to the invention for securely transmitting a payment transaction via a wide area network between the terminal and the data center, which was previously authorized by location and location of a mobile terminal relative to the inventive terminal based on the NCF standard
In
In
In
Claims (4)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016014184.0A DE102016014184A1 (en) | 2016-11-28 | 2016-11-28 | Secure payment method by pairing a micro PC with a smartphone |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016014184.0A DE102016014184A1 (en) | 2016-11-28 | 2016-11-28 | Secure payment method by pairing a micro PC with a smartphone |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102016014184A1 true DE102016014184A1 (en) | 2018-06-14 |
Family
ID=62201163
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102016014184.0A Withdrawn DE102016014184A1 (en) | 2016-11-28 | 2016-11-28 | Secure payment method by pairing a micro PC with a smartphone |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102016014184A1 (en) |
-
2016
- 2016-11-28 DE DE102016014184.0A patent/DE102016014184A1/en not_active Withdrawn
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102013106295A1 (en) | Embedded secure element for authentication, storage and transaction in a mobile terminal | |
CN106850209A (en) | A kind of identity identifying method and device | |
DE102008023914A1 (en) | Method for authenticating an RFID tag | |
CN106778109A (en) | A kind of certification authority evaluation method and device based on intelligent contract | |
DE102009040477A1 (en) | Authentication in the mobile network by authentication cell | |
CN104573547A (en) | Information interaction safety protection system and operation realization method thereof | |
DE102011100144A1 (en) | Secure wireless payment system and method of use | |
EP1729253A1 (en) | Method and system for secure data transfer over an NFC-connection | |
DE102013202001A1 (en) | A method of providing a mobile terminal with an authentication certificate | |
WO2019086416A1 (en) | System and method for controlling the access of persons | |
EP3440609A2 (en) | Method for initiating an authentication process, in particular suitable for authenticating a person during a cashless payment transaction, and data processing terminal for use in said type of method | |
DE102011075257A1 (en) | Answering inquiries by means of the communication terminal of a user | |
DE112018006031B4 (en) | AUTHENTICATE A PAYMENT CARD | |
EP2512090B1 (en) | Method for authenticating a subscriber | |
CN108183906B (en) | Time bank management method, server, terminal, storage medium and electronic device | |
DE102016202262A1 (en) | A method and system for authenticating a mobile telecommunication terminal to a service computer system and mobile telecommunication terminal | |
DE102016014184A1 (en) | Secure payment method by pairing a micro PC with a smartphone | |
EP2434719B1 (en) | Server and method for providing user information | |
DE102013102092A1 (en) | Method and device for authenticating people | |
DE102012021479A1 (en) | Method for operating an electronic authentication unit | |
EP2764671B1 (en) | Marking of unsafe data by an nfc module | |
EP3035270A1 (en) | Card-based offline token generation | |
DE102014001843B3 (en) | microprocessor system | |
EP2768199B1 (en) | Method for transferring authorization information through a telecommunications network or an authorization associated with a telecommunication terminal. telecommunications terminal, system. computer program and a computer program product | |
Valaboju | A Comprehensive Overview of WLAN Security Attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |