DE102011110898A1 - Verfahren zur Authentifizierung eines Benutzers zum Gewähren eines Zugangs zu Diensten eines Computersystems, sowie zugehöriges Computersystem, Authentifizierungsserver und Kommunikationsgerät mit Authentifizierungsapplikation - Google Patents

Verfahren zur Authentifizierung eines Benutzers zum Gewähren eines Zugangs zu Diensten eines Computersystems, sowie zugehöriges Computersystem, Authentifizierungsserver und Kommunikationsgerät mit Authentifizierungsapplikation Download PDF

Info

Publication number
DE102011110898A1
DE102011110898A1 DE201110110898 DE102011110898A DE102011110898A1 DE 102011110898 A1 DE102011110898 A1 DE 102011110898A1 DE 201110110898 DE201110110898 DE 201110110898 DE 102011110898 A DE102011110898 A DE 102011110898A DE 102011110898 A1 DE102011110898 A1 DE 102011110898A1
Authority
DE
Germany
Prior art keywords
authentication
authentication server
user
communication device
computer system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE201110110898
Other languages
English (en)
Inventor
Michal Wendrowski
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Advanced Information Proc Systems Sp Z O O
Advanced Information Processing Systems Sp Z Oo
Original Assignee
Advanced Information Proc Systems Sp Z O O
Advanced Information Processing Systems Sp Z Oo
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Advanced Information Proc Systems Sp Z O O, Advanced Information Processing Systems Sp Z Oo filed Critical Advanced Information Proc Systems Sp Z O O
Priority to DE201110110898 priority Critical patent/DE102011110898A1/de
Publication of DE102011110898A1 publication Critical patent/DE102011110898A1/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Abstract

Die Erfindung betrifft die Authentifizierung eines Benutzers zum Gewähren eines Zugangs zu Diensten eines Computersystems. Eine Benutzungsanfrage des Benutzers wird an das Computersystem zur Erlangung von Zugangsrechten zu den Diensten des Computersystems gesendet. Eine Anfragenachricht wird von dem Computersystem an einen Authentifizierungsserver gesendet. Dann wird eine Transaktionsidentifikationsnachricht von dem Authentifizierungsserver an das Computersystem gesendet. Anschliessend teilt das Computersystem die Transaktionsidentifikationsnachricht einem dem Benutzer zugeordneten Kommunikationsgerät mit. Eine Authentifizierungsanfrage wird von dem Kommunikationsgerät an den Authentifizierungsserver gesendet, wobei die Authentifizierungsanfrage eine Transaktionskennung und eine Benutzerkennung enthält, die den Benutzer identifiziert. Nun werden verschlüsselte Nachrichten zwischen dem Authentifizierungsserver und dem Kommunikationsgerät ausgetauscht, wobei der Authentifizierungsserver zur Verschlüsselung einen zur Benutzerkennung gehörenden kryptografischen Schlüssel und das Kommunikationsgerät zur Verschlüsselung einen für den Authentifizierungsserver spezifischen kryptografischen Schlüssel verwendet. Anschliessend bestimmt der Authentifizierungsserver ein Authentifizierungsergebnis auf Grundlage der in den ausgetauschten verschlüsselten Nachrichten enthaltenen Daten und sendet das Authentifizierungsergebnis an das Computersystem. Schliesslich wird der Zugang des Benutzers zu Diensten des Computersystems im Computersystem abhängig von dem Authentifizierungsergebnis gewährt oder unterbunden.

Description

  • HINTERGRUND DER ERFINDUNG
  • 1. Gebiet der Erfindung
  • Die Erfindung betrifft allgemein Authentifizierungstechniken und insbesondere solche, die ein Endgerät eines Benutzers oder eine andere Vorrichtung in den Authentifizierungsprozess einbeziehen.
  • 2. Beschreibung des Standes der Technik
  • Authentifizierungstechniken sind im Stand der Technik zahlreich bekannt.
  • Derzeit funktionieren viele Authentifizierungstechniken so, dass der Benutzer einen Benutzernamen sowie ein Passwort in ein Formular eingeben muss. Diese Methode ist im Internet bereits weit verbreitet und ein Standard der Benutzerauthentifizierung, z. B. im Falle von Webseiten. Das Problem dieser Methode liegt jedoch darin, dass der durchschnittliche Benutzer heutzutage Konten auf vielen Webseiten besitzt und somit sich alle Benutzer/Passwort-Kombinationen merken muss. Zudem ist ein solches Formular unsicher, weil ein Angreifer beispielsweise durch einen Keylogger oder Netzwerksniffer an die Benutzer/Passwort-Kombination des Benutzers kommen kann. Sollte ein Benutzer in der Lage sein, Zugriff zum Webserver zu erhalten und somit die zugehörige SQL-Datenbank mit verschlüsselten Benutzer/Passwort-Kombinationen herunterzuladen, kann er mit Hilfe entsprechender Software die Passwörter entschlüsseln und sich somit als ein beliebiger Benutzer des Systems angeben. Viele Internetbenutzer verwenden auf verschiedenen Webseiten meist dieselbe Benutzer/Passwort-Kombination. Dadurch erhält ein Angreifer wahrscheinlich auch Zugriff zu anderen Diensten, wie z. B. den Social-Network- und Onlineshop-Konten des jeweiligen Benutzers. Kurz gesagt, sind die bisher verwendeten Authentifizierungsmethoden unsicher und benutzerunfreundlich.
  • Andere Authentifizierungstechniken verwenden Verschlüsselungstechniken, die oft auf einem Paar aus einem öffentlichen und einem privaten Schlüssel (public key, private key) basieren. Solche Schlüsselmechanismen sind jedoch in der Regel umständlich zu bedienen, da die existierenden Systeme sehr benutzerunfreundlich sind, weil sie unter anderem an einen notwendigerweise manuell (oft auf eine komplizierte Art und Weise) durch den Benutzer konfigurierten Computer gebunden sind.
  • Unabhängig von o. g. Schlüsseln werden bereits heute Drittgeräte (z. B. Handys) dazu verwendet, um eine Two-Factor-Authentication anzubieten. Diese hierauf basierenden Methoden sind jedoch primitiv und ebenfalls benutzerunfreundlich, denn der Benutzer muss sich immer noch mit einer Benutzer/Passwort-Kombination authentifizieren und erhält lediglich auf seinem Handy eine PIN angezeigt (er bekommt sie per SMS oder von einer Applikation (auch „App” genannt)), die er auf einer Webseite z. B. nach dem Versenden der Benutzer/Passwort-Kombination eintippen muss. Einige Webseiten bieten dies als optionalen Schutz an (z. B. Google). Diese Technik macht das Authentifizieren sicherer, ist aber sehr benutzerunfreundlich: der Prozess der Authentifizierung verlängert sich drastisch. Zudem sind Internetbenutzer ungeduldig, weswegen dieses Verfahren nur von sehr wenigen Benutzern verwendet wird.
  • Aus der US 2003/172272 A1 ist ein Authentifizierungssystem bekannt, das es ermöglicht, die Identität eines Benutzers zu authentifizieren, wenn der Benutzer Zugriff auf einen sicheren, von einem Server bereitgestellten Dienst erlangen möchte. Das System umfasst zwei separate Kommunikationskanäle. Der erste Kanal ist ein Netzwerk, um es dem Benutzer zu gestatten, mit dem Server zu kommunizieren. Der zweite Kanal ist ein Mobilkommunikationskanal, der ein Mobilkommunikationsgerät verwendet, um es einem Authentifizierungsserver zu ermöglichen, mit dem Benutzer zu kommunizieren. Wenn der Benutzer Zugriff auf den Server erlangen möchte, sendet er einen Benutzernamen an den Server. Der Server erzeugt eine Anforderung für die Bestätigung der Identität des Benutzers und sendet diese Anforderung an den Authentifizierungsserver. Der Authentifizierungsserver erzeugt sodann einen Passcode und durchsucht auch eine Benutzerdatenbank nach der Netzwerknummer des Mobilkommunikationsgerätes des Benutzers. Der Server sendet den Passcode über das mobile Kommunikationsnetzwerk an das Mobilgerät des Benutzers und an den Server. Wenn der Benutzer den Passcode empfängt, übergibt er ihn an den Server, der die beiden Passcodes miteinander vergleicht. Sind beide Codes gleich, so wird der Zugriff gewährt.
  • Die EP 1 058 872 A1 beschreibt ein Verfahren, eine Anordnung oder eine Vorrichtung zur Bereitstellung einer Authentifizierungsmöglichkeit für eine Anwendung, die über ein Kommunikationsnetzwerk bereitgestellt wird. Eine Verbindung wird zwischen der Anwendung und einer Benutzerschnittstelle über das Kommunikationsnetzwerk errichtet, so dass der Benutzer Zugriff auf die Anwendung erlangen kann. Eine Authentifizierung für die Anwendung wird bereitgestellt mittels einer Mobilstation, die über ein mobiles Kommunikationsnetzwerk kommuniziert.
  • Aus der EP 1 253 500 A1 ist ein Verfahren bekannt zum Authentifizieren eines Benutzers an einem entfernten Server eines Netzwerkes. Eine Authentifizierungsanforderung wird an einem Endgerät von dem entfernten Server empfangen. Anschließend wird ein Authentifizierungsschlüssel von einem persönlichen vertrauenswürdigem Gerät erlangt, in dem eine Vielzahl von Netzwerkadressen entfernter Server und entsprechender Authentifizierungsschlüssel in einer Datenbank gespeichert sind. Schließlich wird der Authentifizierungsschlüssel dem Benutzer auf dem persönlichen Gerät angezeigt.
  • Die DE 10 2009 040 477 A1 beschreibt eine Authentifizierungseinrichtung und ein Authentifizierungsverfahren mit einer bestimmten Mobilfunkzelle eines zellaren Mobilfunknetzes als Authentifizierungszelle, in die ein Mobilfunkendgerät durch den Aufbau einer Funkverbindung zur Basisstation der Authentifizierungszelle und Registrierung im Mobilfunknetz eingebucht wird, wobei die Authentifizierung anhand einer eindeutigen Kennung des Mobilfunkendgeräts und der Kennung der Authentifizierungszelle erfolgt.
  • Die US 2009/300744 A1 beschreibt ein Authentifizierungssystem, das eine Geräteverifikation mit einer Benutzerverifikation kombiniert, um eine Zwei-Faktor-Authentifizierung durchzuführen. Ein Authentifizierungsprovider verifiziert beide Faktoren und liefert einen Sicherheitstoken in Übereinstimmung mit einer Sicherheitspolicy der Kontonetzwerkressource, auf die der Benutzer zugreifen möchte.
  • Die US 2010/058064 A1 beschreibt eine Authentifizierungstechnik, bei der ein Benutzer an einem Client-Computer die Möglichkeit erhält, sich auf einem entfernten Server über ein Computernetzwerk einzuloggen. Eine erste sichere Verbindung wird zwischen dem Client und dem Server eingerichtet. Über einen Kommunikationskanal zwischen einem vertrauenswürdigen Gerät und dem Client finden Kommunikationen mit dem vertrauenswürdigen Gerät, das sich unter der Kontrolle des Benutzers befindet, statt, wobei dieser Kanal nicht Teil des Netzwerks ist. Eine zweite sichere Verbindung wird zwischen dem vertrauenswürdigen Gerät und dem Server über den Client eingerichtet, wobei diese zweite sichere Verbindung als Tunnel in der ersten sicheren Verbindung ausgeführt wird. Der Benutzer führt die Authentifizierung am Server über die zweite sichere Verbindung unter Verwendung des vertrauenswürdigen Gerätes durch.
  • Die KR 20080093431 A beschreibt ein Verfahren und eine Vorrichtung zum Authentifizieren eines Clients in einem drahtlosen Netzwerk mit einer Adresse, die den Zugriff auf einen Server ermöglicht.
  • Die US 2010/135491 A1 befasst sich mit der Authentifizierung eines Mobilfunkgeräts in einem Telekommunikationsnetzwerk unter Verwendung von Verschlüsselungsschlüsseln.
  • Auch die KR 100824743 B1 befasst sich mit der Authentifizierung eines Benutzers unter Verwendung eines mobilen Telefons.
  • All diesen bekannten Verfahren ist jedoch gemeinsam, dass sie dem Benutzer umständliche Handlungen auferlegen und daher nicht benutzerfreundlich sind. Zudem wird im Stand der Technik noch allzu oft viel zu viel Zeit für den Loginprozess oder andere Arten der Authentifizierung verwendet. Allgemein ist das Authentifizieren eine für den Benutzer stets unliebsame Tätigkeit, die es zu vereinfachen gilt.
  • ÜBERSICHT ÜBER DIE ERFINDUNG
  • Der Erfindung liegt die Aufgabe zugrunde, eine Authentifizierungstechnik bereitzustellen, die benutzerfreundlich, schnell und dennoch sicher ist.
  • Diese Aufgabe wird durch die in den unabhängigen Patentansprüchen definierte Erfindung gelöst.
  • Erfindungsgemäß wird ein Verfahren zur Authentifizierung eines Benutzers zum Gewähren eines Zugangs zu Diensten eines Computersystems bereitgestellt. Das Verfahren umfasst das Senden einer Authentifizierungsanfrage von einem Kommunikationsgerät, das dem Benutzer zugeordnet ist, an einen Authentifizierungsserver, wobei die Authentifizierungsanfrage eine Transaktionskennung sowie eine den Benutzer identifizierende Benutzerkennung enthält. Nun werden verschlüsselte Nachrichten zwischen dem Authentifizierungsserver und dem Kommunikationsgerät ausgetauscht, wobei der Authentifizierungsserver zur Verschlüsselung einen zur Benutzerkennung gehörenden kryptografischen Schlüssel und das Kommunikationsgerät zur Verschlüsselung einen für den Authentifizierungsserver spezifischen kryptografischen Schlüssel verwendet.
  • Anschliessend bestimmt der Authentifizierungsserver ein Authentifizierungsergebnis auf Grundlage der in den ausgetauschten verschlüsselten Nachrichten enthaltenen Daten und sendet das Authentifizierungsergebnis an das Computersystem. Schliesslich wird der Zugang des Benutzers zu Diensten des Computersystems abhängig von dem Authentifizierungsergebnis gewährt oder unterbunden.
  • Die Erfindung stellt ebenfalls ein zugehöriges Kommunikationsgerät, einen Authentifizierungsserver und ein Computersystem bereit, sowie eine auf dem Kommunikationsgerät laufende Authentifizierungsapplikation.
  • Bevorzugte Ausgestaltungen sind in den Unteransprüchen angegeben.
  • In einer bevorzugten Ausgestaltung wird vor dem Senden der Authentifizierungsanfrage eine Benutzungsanfrage des Benutzers an das Computersystem zur Erlangung von Zugangsrechten zu den Diensten des Computersystems gestellt. Eine Anfragenachricht wird von dem Computersystem an den Authentifizierungsserver gesendet. Dann wird eine Transaktionsidentifikationsnachricht von dem Authentifizierungsserver an das Computersystem gesendet. Anschliessend wird die Transaktionsidentifikationsnachricht einem dem Benutzer zugeordneten Kommunikationsgerät mitgeteilt. In einer Ausführungsform sendet das Computersystem die Transaktionsidentifikationsnachricht an das Kommunikationsgerät.
  • In einer weiteren bevorzugten Ausgestaltung der Erfindung umfasst die von dem Computersystem an den Authentifizierungsserver gesandte Anfragenachricht eine vom Computersystem erzeugte Sitzungs-ID und diese Sitzungs-ID ist in dem vom Authentifizierungsserver an das Computersystem gesandten Authentifizierungsergebnis enthalten. In einer Ausführungsform ist diese Sitzungs-ID in dem vom Authentifizierungsserver an das Computersystem gesandten Authentifizierungsergebnis enthalten, wenn das Authentifizierungsergebnis positiv ist.
  • In einer weiteren bevorzugten Ausgestaltung der Erfindung enthält die von dem Computersystem an den Authentifizierungsserver gesandte Anfragenachricht eine Angabe der zwischen dem Benutzer und dem Computersystem verwendeten Kommunikationsart.
  • Hierbei kann die Transaktionsidentifikationsnachricht vorzugsweise eine von dem Authentifizierungsserver erzeugte Transaktions-ID in kodierter Form enthalten, wobei die Kodierung von dem Authentifizierungsserver abhängig von der verwendeten Kommunikationsart erfolgt, wobei das Kommunikationsgerät die Transaktionsidentifikationsnachricht dekodiert und wobei die von dem Kommunikationsgerät an den Authentifizierungsserver gesandte Authentifizierungsanfrage zusätzlich zu der Benutzerkennung, die den Benutzer identifiziert, die dekodierte Transaktions-ID umfasst.
  • In bevorzugten Ausgestaltungen der Erfindung bezeichnet die Kommunikationsart eine Datenübertragung über Bild (z. B. Fotocode/QR-Code oder Zeichenfolge), über Ton, über elektromagnetische Wellen (z. B. NFC, Bluetooth, WiFi) oder über computerinterne Datensätze (Übertragung softwareintern oder z. B. über Kabel, Dockingstation).
  • In einer weiteren bevorzugten Ausgestaltung der Erfindung umfasst der Schritt des Stellens einer Benutzungsanfrage des Benutzers an das Computersystem zur Erlangung von Zugangsrechten zu den Diensten des Computersystems die Verwendung des Kommunikationsgeräts durch den Benutzer.
  • In noch einer weiteren bevorzugten Ausgestaltung der Erfindung umfasst der Schritt des Austauschens verschlüsselter Nachrichten zwischen dem Authentifizierungsserver und dem Kommunikationsgerät die Schritte des Verschlüsselns der Authentifizierungsanfrage in dem Kommunikationsgerät mit dem öffentlichen Schlüssel des Authentifizierungsservers, des Sendens der verschlüsselten Authentifizierungsanfrage von dem Kommunikationsgerät an den Authentifizierungsserver, des Entschlüsselns der verschlüsselten Authentifizierungsanfrage in dem Authentifizierungsserver, des Verschlüsselns einer Nachricht, bestehend aus einem durch den Authentifizierungsserver (vorzugsweise zufällig) generierten Datenkern und optionalen, dem Anwendungsfall angepassten authentifizierungsserverspezifischen Hilfsdaten, in dem Authentifizierungsserver mit dem zur Benutzerkennung gehörenden öffentlichen Schlüssel, des Sendens des Verschlüsselungsergebnisses von dem Authentifizierungsserver an das Kommunikationsgerät, des Entschlüsselns des empfangenen Verschlüsselungsergebnisses in dem Kommunikationsgerät, des Verschlüsselns des aus dem Verschlüsselungsergebnis extrahierten Datenkerns und optionaler, dem Anwendungsfall angepaßter kommunikationsgerätspezifischer Hilfsdaten in dem Kommunikationsgerät mit dem öffentlichen Schlüssel des Authentifizierungsservers, und des Sendens des Verschlüsselungsergebnisses an den Authentifizierungsserver.
  • In weiteren bevorzugten Ausgestaltungen kann der Schritt des Bestimmens eines Authentifizierungsergebnisses in dem Authentifizierungsserver auf Grundlage der in den ausgetauschten verschlüsselten Nachrichten enthaltenen Daten den Schritt des Vergleichens von Daten umfassen, die in verschlüsselter Form von dem Authentifizierungsserver an das Kommunikationsgerät gesandt wurden, mit Daten, die in verschlüsselter Form von dem Kommunikationsgerät an den Authentifizierungsserver gesandt wurden.
  • Hierbei kann der Authentifizierungsserver optional, gleichwohl vorzugsweise, ein zu dem Benutzer gehöriges Passwort speichern, wobei der Schritt des Bestimmens eines Authentifizierungsergebnisses in dem Authentifizierungsserver auf Grundlage der in den ausgetauschten verschlüsselten Nachrichten enthaltenen Daten ein Vergleichen des im Authentifizierungsserver zu dem Benutzer gespeicherten Passworts mit einem vom Benutzer eingegebenen Passwort umfasst.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die beigefügten Zeichnungen sind in die Beschreibung eingefügt und bilden einen Teil derselben zum Zwecke der Erläuterung der Prinzipien der Erfindung. Die Zeichnungen sind nicht als die Erfindung, nur auf die verdeutlichten und beschriebenen Beispiele beschränkend zu verstehen, wie die Erfindung gemacht und verwendet werden kann. Weitere Merkmale und Vorteile werden aus der folgenden und genaueren Beschreibung der Erfindung ersichtlich werden, wie in den beigefügten Zeichnungen erläutert, in denen:
  • 1 ist ein Blockdiagramm eines in einer erfindungsgemäßen Ausgestaltung zur Anwendung kommenden Authentifizierungssystems;
  • 2 ist ein zugehöriges Zeitverlaufsdiagramm, das den Nachrichtenfluss in einer Ausgestaltung der Erfindung verdeutlicht; und
  • 3 ist ein Flussdiagramm eines Teilprozesses des erfindungsgemäßen Authentifizierungsverfahrens gemäß einer Ausgestaltung zur Erläuterung der Entscheidungsfindung über das Authentifizierungsergebnis.
  • DETAILLIERTE BESCHREIBUNG DER ERFINDUNG
  • Die verdeutlichten Ausgestaltungen der vorliegenden Erfindung werden unter Bezugnahme auf die Zeichnungen beschrieben werden, in denen gleiche Elemente und Strukturen mit gleichen Bezugszeichen angegeben sind.
  • Authentifizierungssystem gemäß einer Ausgestaltung der Erfindung
  • Unter Bezugnahme auf 1 beinhaltet das Authentifizierungssystem gemäß einer Ausgestaltung der Erfindung folgende Komponenten:
    • • einen Benutzer 100: Dieser kann eine Person oder auch ein Roboter oder ein sonstiger automatisierter oder teilautomatisierter Mechanismus sein;
    • • ein System 110: Hierbei kann es sich beispielsweise um elektronische/informationstechnische Systeme (in diesem Fall wird das System 110 auch Computersystem genannt) wie z. B. Webseite, Informationssystem, Softwareprogramm, Datenbank, Onlineshop, Zahlungssystem, usw., oder durch eine informationstechnische, elektronische oder elektromechanische Vorrichtung geschützte mechanische Systeme wie z. B. Safe, Fahrzeug, durch eine Tür verschlossener Raum, handeln;
    • • einen Authentifizierungsserver 120: Es handelt sich hierbei um ein elektronisches System, welches die Benutzungsrechte der Dienste des Systems 110 verwaltet. So verwaltet der Authentifizierungsserver 120 beispielsweise die Zugriffsrechte auf das System 110. Der Authentifizierungsserver 120 besitzt neben dem privaten Schlüssel des Authentifizierungsservers 120 u. a. folgende Daten aller verwalteten Benutzer: die Benutzer-ID, den öffentlichen Schlüssel des Benutzers 100, und optional ein Passwort des Benutzers 100;
    • • ein Medium 130: Dies ist ein Darstellungsmedium, beispielsweise eine Vorrichtung, welche die Darstellung/Übermittlung von Informationen Fotocode bermöglicht (z. B. mit edrucktes Papier/Aufkleber, Bildschirm, Lautsprecher oder eine andere Vorrichtung, welche Signalfolgen generieren oder Daten präsentieren kann);
    • • ein Kommunikationsgerät 140: Hierbei handelt es sich um eine dem Benutzer 100 zugeordnete Kommunikationsvorrichtung, die mit anderen Systemen kommunizieren kann (z. B. mit dem Authentifizierungsserver 120onsg). Das Kommunikatierät 140pfäng besitzt einen Emer 150 und die Authentifizierungsapplikation 160 und ist z. B. ein mobiles Gerät;
    • • einen Empfänger 150: Dies ist ein Teil des Kommunikationsgeräts (z. B. Kamera, Mikrophon oder andere Empfangsvorrichtung), welches die Möglichkeit besitzt, Bilder, Töne oder anders repräsentierte Informationen zu empfangen und zu verarbeiten. Im Einzelfall kann der Benutzer 100 selbst den Empfänger 150 darstellen, indem er die mit dem Medium 130 übermittelte Information sieht bzw. hört oder anders empfängt und diese durch eine direkte Übertragung (z. B. manuell oder phonetisch) der Authentifizierungsapplikation 160 zur Verfügung stellt; und
    • • eine Authentifizierungsapplikation 160: Diese arbeitet auf dem Kommunikationsgerät 140 und besitzt u. a. folgende Daten: die Benutzer-ID, den privaten Schlüssel des Benutzers 100, den öffentlichen Schlüssel des Authentifizierungsservers 120. Die Authentifizierungsapplikation 160 verarbeitet die vom Empfänger 150 gelieferten Daten und hat über das Kommunikationsgerät 140 eine Möglichkeit zur Kommunikation mit einem anderen System (z. B. mit dem Authentifizierungsserver 120).
  • Beispielhaftes Nutzungsszenario gemäß einer Ausgestaltung der Erfindung
  • Im hier beispielhaft beschriebenen Nutzungsszenario führt ein Benutzer 100 einen Blog auf einer Website und verwendet hierfür eine Blogsoftware. Er muss sich in ein Adminpanel einloggen, um einen neuen Blogeintrag veröffentlichen zu können.
  • Anstatt einer Benutzer/Passwort-Kombination wird ein Algorithmus verwendet, der auf einem Schlüsselmechanismus (öffentlicher Schlüssel, privater Schlüssel) basiert und unten detailliert beschrieben wird. Weiterhin integriert die Erfindung in den Prozess der Authentifizierung ein Drittgerät auf innovative Weise. Die Erfindung kombiniert hierbei einen vorzugsweise auf Schlüsseln basierenden Authentifizierungsalgorithmus mit dem Drittgerät (z. B. Handy) und ermöglicht durch die Integration von Bild- oder Tondaten einen sehr einfachen und schnellen Login-Prozess, der zudem sogar deutlich sicherer als bekannte auf Two-Factor-Authentication basierende Verfahren ist.
  • Unter Verwendung der Erfindung in dem Blog würde das Einloggen in das Adminpanel beispielsweise auf folgende Art und Weise funktionieren: Der Benutzer 100 besucht die URL des Adminpanels. Anstatt eines Login-Formulares, das von dem Benutzer 100 eine Benutzer/Passwort-Kombination verlangt, sieht der Benutzer 100 einen Fotocode. Dieser Fotocode beinhaltet eine Transaktions-ID und evtl. weitere Daten. Der Benutzer 100 nimmt sein Handy 140 (Kommunikationsgerät 140) und öffnet eine erfindungsgemäß ausgestaltete Authentifizierungsapplikation 160. Danach hält der Benutzer 100 sein Handy so, als ob er ein Foto des angezeigten Fotocodes machen wollen würde. Die Authentifizierungsapplikation 160 erkennt automatisch, dass es sich um einen erfindungsgemäß ausgestalteten Fotocode handelt. Solche Fotocodes werden bereits heute auf verschiedene Art und Weise verwendet und sind sehr schnell lesbar. Im vorliegenden erfindungsgemäßen Beispielszenario initiiert dies jedoch den gesamten Prozess, der unten detailliert erläutert wird: die Authentifizierungsapplikation 160 dekodiert den Fotocode, erhält somit die Transaktions-ID im Klartext, sendet eine Authentifizierungsanfrage an einen Authentifizierungsserver 120 usw. Nachdem der Blog 110 des Benutzers 100 eine positive Nachricht vom Authentifizierungsserver 120 erhalten hat, wird der Benutzer 100 automatisch in seinem Webbrowser in das Adminpanel eingeloggt und muss nichts weiter tun.
  • Es kann aus diesem Verlauf ersehen werden, dass der Benutzer 100 lediglich die URL des Adminpanels in seinem Webbrowser öffnet, sein Handy nimmt und die erfindungsgemäße Authentifizierungsapplikation 160 öffnet. Er richtet das Handy auf den Bildschirm und wird innerhalb einer Sekunde eingeloggt.
  • Er muss sich also keine Benutzer/Passwort-Kombination merken. Er muss nicht auf eine PIN warten und diese eintippen. Die Erfindung ermöglicht somit ein Authentifizierungsverfahren, das mindestens genauso schnell ist wie das Einloggen per Benutzer/Passwort-Kombination, jedoch deutlich sicherer ist („bank grade security” dank des verwendeten, unten näher beschriebenen Algorithmus). Das erfindungsgemäße Verfahren ist auch viel benutzerfreundlicher, da sich der Benutzer nichts mehr merken muss und nur sein Handy braucht.
  • In dieser oder jeden anderen Ausgestaltung der Erfindung können anstatt des Fotocodes ein Ton (im Spezialfall vorzugsweise im unhörbaren Frequenzspektrum) bzw. ein elektromagnetisches Signal generiert werden, die von der erfindungsgemäß ausgestalteten Authentifizierungsapplikation 160 auf dem Kommunikationsgerät empfangen werden und entschlüsselt werden können. Dies kann eine Option vorzugsweise für andere Systeme als Webseiten sein, z. B. wenn kein offensichtliches Authentifizierungsmodul angezeigt werden soll: z. B. in Datacentern, wo ein Ton generiert wird und ein Benutzer zuerst wissen muss, dass er die erfindungsgemäß ausgestaltete Authentifizierungsapplikation 160 auf seinem Kommunikationsgerät öffnen muss, um Zugriff zum System zu erlangen.
  • Das vorteilhafte Resultat im erfindungsgemäßen Verfahren der beschriebenen Ausgestaltungen ist also die Entwicklung eines innovativen Verfahrens, das auf der Verwendung von Schlüsseln, eines Drittgeräts (z. B. Handy) sowie anstatt von manuellem Benutzerinput auf Bilddaten, Tondaten, computerinternen Datensätzen oder durch elektromagnetische Wellen übertragenen Daten basiert, die automatisch vom Drittgerät interpretiert werden. Diese Elemente werden miteinander auf eine unikale, bisher nicht da gewesene Weise integriert, um die Sicherheit gegenüber herkömmlichen Verfahren z. B. im Internet drastisch zu erhöhen und den Benutzern eine einfachere Weise des Einloggens in z. B. Webportale oder der Authentifizierung von Transaktionen zu ermöglichen.
  • Die Erfindung verwendet vorzugsweise keine Benutzer/Passwort-Kombinationen mehr, somit muss sich der Benutzer nichts mehr merken. In einer erweiterten Ausgestaltung der Erfindung, beispielsweise für das Einloggen in extrem vertrauliche Systeme, kann dennoch ein zusätzliches Passwort im Sinne eines PIN definiert werden, das die Sicherheit nochmals deutlich erhöht.
  • Die Grundidee des erfindungsgemäßen Verfahrens in der vorstehend diskutierten Ausgestaltung basiert somit auf dem visuellen Scannen einer Grafik (z. B. Fotocode), dem Analysieren von Ton (Audio) oder anders kodierten Informationen und der späteren Verarbeitung der erhaltenen Daten auf Basis des unten beschriebenen Algorithmus.
  • Es wird betont, dass das oben beschriebene Nutzungsszenario zwar eine bevorzugte Ausgestaltung der Erfindung angibt, die Erfindung aber nicht hierauf beschränkt ist. Andere Szenarien fallen ebenfalls unter die Erfindung. Jede Kombination oder Unterkombination aller in jedweden in dieser Patentanmeldung beschriebenen Szenarien verwendeten Merkmale sind ebenfalls erfindungsgemäße Szenarien.
  • Authentifizierungsmechanismus gemäß einer Ausgestaltung der Erfindung
  • Im Folgenden wird ein Authentifizierungsmechanismus gemäß einer Ausgestaltung der Erfindung erläutert. Die nachfolgend beschriebenen Schritte entsprechen in ihrer Numerierung den umkreisten Zahlen der Richtungspfeile in den 1 und 2.
  • In Schritt 1 teilt der Benutzer 100 unter Benutzung von gegebenen Möglichkeiten dem System 110 mit, dass er den Zugang zu Diensten des Systems wünscht, also den Zugang zum System 110 (z. B. über den Aufruf einer Internetseite, Drücken des Login-Symbols des Systems, Bestätigung einer Zahlungsabsicht). Optional kann diese Mitteilung die Definition der gewünschten Kommunikationsart beinhalten. Beim Fehlen der Angabe der Kommunikationsart wird eine vom System 110 vorgegebene Standardkommunikationsart angenommen (z. B. Bild). Generell bezeichnet der Begriff Kommunikationsart die Art der Kommunikation des Systems 110 mit dem Kommunikationsgerät 140 (Bild, Ton, elektromagnetische Wellen, computerinterner Datensatz oder eine andere Art der Repräsentation von Informationen).
  • In Schritt 2 erstellt das System 110 eine Sitzungs-ID und sendet diese an den Authentifizierungsserver 120 zusammen mit der Angabe der Kommunikationsart. Eine Sitzungs-ID ist eine unikale ID, also ein Identifikationsmerkmal, mit dem mehrere zusammengehörige Anfragen des Benutzers 100 an das System 110 erkannt und einer Sitzung zugeordnet werden können. Eine Sitzung ist eine (beispielsweise stehende) Verbindung des Benutzers 100 zum System 110.
  • In Schritt 3 generiert der Authentifizierungsserver 120 eine Transaktions-ID, kodiert diese entsprechend der Kommunikationsart (also im Falle eines Bildes z. B. als Fotocode) und sendet sie zusammen mit der erhaltenen Sitzungs-ID an das System 110. Eine Transaktions-ID ist ein unikales Identifikationsmerkmal eines Vorgangs mit definierter Gültigkeitsdauer und kann neben der eigentlichen Kennung zur Identifizierung der entsprechenden Transaktion auch andere Daten enthalten. Die Transaktions-ID kann dabei die vom Benutzer gewünschten Dienste identifizieren.
  • In Schritt 4 übermittelt das System 110 die erhaltene kodierte Transaktions-ID auf das durch die Kommunikationsart bestimmte, dem Benutzer 100 über das Kommunikationsgerät 140 zugängliche Medium 130.
  • In Schritt 5 empfängt der Empfänger 150 die kodierte Transaktions-ID (z. B. den Fotocode) und übermittelt sie an eine interne Authentifizierungsapplikation 160.
  • In Schritt 6 wandelt die Authentifizierungsapplikation 160 die kodierte Transaktions-ID in Klartext um (Klartext-Transaktions-ID). Beispielsweise wird ein Fotocode in Klartext umgewandelt.
  • In Schritt 7 erstellt die Authentifizierungsapplikation 160 eine Authentifizierungsanfrage, welche die Klartext-Transaktions-ID, die Benutzer-ID und das zu diesem Zeitpunkt optional durch den Authentifizierungsserver 120 geforderte, vom Benutzer 100 eingegebene Passwort enthält.
  • In Schritt 8 verschlüsselt die Authentifizierungsapplikation 160 die Authentifizierungsanfrage mit dem öffentlichen Schlüssel des Authentifizierungsservers 120 und sendet diese an den Authentifizierungsserver 120.
  • In Schritt 9 muss der Authentifizierungsserver 120 nun prüfen, ob die Authentifizierungsanfrage tatsächlich vom Benutzer 100 mit dieser Benutzer-ID stammt. Der Authentifizierungsserver 120 entschlüsselt somit zuerst die Authentifizierungsanfrage mit Hilfe des privaten Schlüssels des Authentifizierungsservers 120 und generiert eine erste Nachricht, bestehend aus einem (vorzugsweise zufällig) generierten Datenkern und optionalen für die Authentifizierungsapplikation 160 vorgesehenen Hilfsdaten. Die erste Nachricht wird mit dem öffentlichen Schlüssel des Benutzers 100, der zur erhaltenen Benutzer-ID gehört, verschlüsselt. Es entsteht eine erste verschlüsselte Nachricht, welche der Authentifizierungsserver 120 an diejenige Authentifizierungsapplikation 160 sendet, von der er die Authentifizierungsanfrage erhalten hat.
  • In Schritt 10 entschlüsselt die Authentifizierungsapplikation 160 die erste verschlüsselte Nachricht mit Hilfe des privaten Schlüssels des Benutzers 100, wodurch eine zweite Nachricht entsteht. Die eventuell erhaltenen Hilfsdaten können durch die Authentifizierungsapplikation 160 für bestimmte Zwecke benutzt werden.
  • In Schritt 11 erzeugt die Authentifizierungsapplikation 160 eine dritte Nachricht, bestehend aus dem erhaltenen Datenkern und optionalen, dem Anwendungsfall angepassten kommunikationsgerätspezifischen Hilfsdaten, welche wiederum durch den Authentifizierungsserver 120 benutzt werden können.
  • In Schritt 12 verschlüsselt die Authentifizierungsapplikation 160 die dritte Nachricht mit dem öffentlichen Schlüssel des Authentifizierungsservers 120. Es entsteht eine dritte verschlüsselte Nachricht.
  • In Schritt 13 sendet die Authentifizierungsapplikation 160 die dritte verschlüsselte Nachricht an den Authentifizierungsserver 120.
  • In Schritt 14 entschlüsselt der Authentifizierungsserver 120 die dritte verschlüsselte Nachricht mit Hilfe des privaten Schlüssels des Authentifizierungsservers 120, wodurch eine vierte Nachricht entsteht. Die in der vierten Nachricht eventuell enthaltenen Hilfsdaten können durch den Authentifizierungsserver 120 für bestimmte Zwecke genutzt werden.
  • In Schritt 15 wird der in 3 gezeigte Prozess durchgeführt. Dabei sind die Schritte 320 und 330 optional. Der Authentifizierungsserver 120 vergleicht in Schritt 300 den Datenkern der ersten Nachricht mit dem Datenkern der vierten Nachricht. Falls in Schritt 310 festgestellt wird, dass der Datenkern der ersten Nachricht nicht gleich dem Datenkern der vierten Nachricht ist, dann ist die Authentifizierung negativ (Schritt 350). Falls jedoch der Datenkern der ersten Nachricht gleich dem Datenkern der vierten Nachricht ist, dann ist gemäß einer Ausführungsform (gestrichelte Linie in 3) die Authentifizierung positiv (Schritt 340).
  • In alternativen Ausführungsformen kann der Authentifizierungsserver 120 zusätzlich die Eingabe eines Passwortes verlangen, falls der Datenkern der ersten Nachricht gleich dem Datenkern der vierten Nachricht ist. Dann wird in Schritt 330 geprüft, ob das übersandte, vom Benutzer 100 eingegebene Passwort mit dem im Authentifizierungsserver 120 gespeicherten Passwort des Benutzers 100 übereinstimmt. Falls es nicht übereinstimmt, dann ist die Authentifizierung negativ (Schritt 350). Falls es jedoch übereinstimmt, dann ist die Authentifizierung positiv (Schritt 340). Ob der Authentifizierungsserver 120 zusätzlich die Eingabe eines Passwortes verlangt, hängt in Ausführungsformen der Erfindung von der Einstellung im Authentifizierungsserver 120 ab.
  • In wieder alternativen Ausführungsformen überprüft der Authentifizierungsserver 120, falls der Datenkern der ersten Nachricht gleich dem Datenkern der vierten Nachricht ist, ob zur Authentifizierung ein vom Benutzer 100 eingegebenes Passwort erforderlich ist (Schritt 320). Falls kein vom Benutzer 100 eingegebenes Passwort erforderlich ist, dann ist die Authentifizierung nach Durchführung des Schrittes 320 positiv (Schritt 340). Falls hingegen ein vom Benutzer 100 eingegebenes Passwort erforderlich ist, dann wird in Schritt 330 geprüft, ob das übersandte, vom Benutzer 100 eingegebene Passwort mit dem im Authentifizierungsserver 120 gespeicherten Passwort des Benutzers 100 übereinstimmt. Falls es nicht übereinstimmt, dann ist die Authentifizierung negativ (Schritt 350). Falls es jedoch übereinstimmt, dann ist die Authentifizierung positiv (Schritt 340).
  • In Schritt 16 sendet der Authentifizierungsserver 120 an das System 110 eine vom Resultat der Authentifizierung abhängige Nachricht. Falls die Authentifizierung negativ ist (Schritt 350), dann wird an das System 110 eine Fehlermeldung inklusive der am Anfang des Authentifizierungsprozesses vom System 110 erhaltenen Sitzungs-ID sowie eventuellen weiteren Daten gesendet. Die Authentifizierung des Benutzers 100 schlägt fehl. Falls jedoch die Authentifizierung positiv ist (Schritt 340), dann wird an das System 110 eine Nachricht mit der Sitzungs-ID und der Benutzer-ID gesendet. Die Authentifizierung ist erfolgreich.
  • Die Schritte 1 bis 4 können in Ausführungsformen der Erfindung weggelassen werden, in denen die auf dem Medium 130 darzustellenden Informationen nicht dynamisch durch die Ausführung der Schritte 1 bis 4 zu Stande kommen, sondern dort von vornherein definiert sind. Als Beispiel einer solchen Ausführungsform möchte ein Straßenverkäufer die Zahlung für drei zu verkaufende Artikel authentifizieren. Werden die Schritte 1 bis 4 ausgeführt, so stellt der Verkäufer beispielsweise diese Artikel auf einem Touchscreen dar. Der Kunde wählt dann den gewünschten Artikel (Schritt 1) und erhält einen Fotocode mit einer Transaktions-ID angezeigt. Mit seinem Handy führt er die Zahlung durch (Authentifizierung des Zahlungsvorgangs). Werden die Schritte 1 bis 4 hingegen nicht ausgeführt, so druckt der Verkäufer beispielsweise die Fotos der drei Artikel mit entsprechenden Fotocodes auf einem Blatt Papier aus (die Fotocodes beinhalten bereits vordefinierte Transaktions-IDs, mit welchen dann die Artikel voneinander unterschieden werden können). Somit muss der Kunde dem System seine Absicht, einen Dienst des Systems (hier Kaufen eines Artikels) nicht mehr explizit durch das Ausüben irgendwelcher Aktion mitteilen, sondern geht sofort zum Schritt 5 des Verfahrens über. Die Sitzungs-ID spielt bei diesem Szenario keine Rolle, weil der Zahlungsvorgang die einzige Aktion ist, und somit keine (stehende) Session eröffnet werden muss.
  • Des Weiteren ist dem Fachmann bewusst, dass in Ausführungsformen der Erfindung das Medium 130 und das Kommunikationsgerät 140 in einer Vorrichtung vereint sind. So kann beispielsweise ein Smartphone oder Tabletcomputer das Authentifizierungsverfahren der vorliegenden Erfindung durchführen. Hier übernimmt beispielsweise das Smartphone oder der Tabletcomputer die Funktionen des Kommunikationsgeräts 140 und des Mediums 130. In solchen Szenarien kann es ausreichend sein, die Transaktions-ID als Zeichenfolge zu verarbeiten (diese ID kann direkt aus dem Code der Webseite ausgelesen werden (Kommunikationsart: Datensatz)).
  • Außerdem ist dem Fachmann ersichtlich, dass die Erfindung ebenfalls bei der Authentifizierung von Zahlungsvorgängen verwendet werden kann (z. B. via Internet mit Hilfe eines Mobiltelefons). In einer solchen Ausführungsform entspricht der Schritt 340 beispielsweise einer Zahlungsbestätigung und der Schritt 350 einer Zahlungsverweigerung.
  • Während die Erfindung unter Bezugnahme auf die physikalischen Ausgestaltungen, die in Übereinstimmung damit konstruiert worden sind, beschrieben worden ist, wird Fachleuten ersichtlich sein, dass verschiedene Modifikationen, Variationen und Verbesserungen der vorliegenden Erfindung im Lichte der obigen Lehren und innerhalb des Umfangs der beigefügten Ansprüche gemacht werden können, ohne von der Idee und dem beabsichtigen Umfang der Erfindung abzuweichen. Zusätzlich sind solche Bereiche, in denen davon ausgegangen wird, dass sich Fachleute auskennen, hier nicht beschrieben worden, um die hier beschriebene Erfindung nicht unnötig zu verschleiern. Es ist demgemäß zu verstehen, dass die Erfindung nicht durch die spezifisch verdeutlichten Ausgestaltungen, sondern nur durch den Umfang der beigefügten Ansprüche beschränkt wird.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 2003/172272 A1 [0006]
    • EP 1058872 A1 [0007]
    • EP 1253500 A1 [0008]
    • DE 102009040477 A1 [0009]
    • US 2009/300744 A1 [0010]
    • US 2010/058064 A1 [0011]
    • KR 20080093431 A [0012]
    • US 2010/135491 A1 [0013]
    • KR 100824743 B1 [0014]

Claims (14)

  1. Verfahren zur Authentifizierung eines Benutzers (100) zum Gewähren eines Zugangs zu Diensten eines Computersystems (110), umfassend: Senden einer Authentifizierungsanfrage von einem Kommunikationsgerät (140), das dem Benutzer zugeordnet ist, an einen Authentifizierungsserver (120), wobei die Authentifizierungsanfrage eine Transaktionskennung, sowie eine den Benutzer (100) identifizierende Benutzerkennung enthält; Austauschen verschlüsselter Nachrichten zwischen dem Authentifizierungsserver (120) und dem Kommunikationsgerät (140), wobei der Authentifizierungsserver (120) zur Verschlüsselung einen zur Benutzerkennung gehörenden kryptografischen Schlüssel und das Kommunikationsgerät (140) zur Verschlüsselung einen für den Authentifizierungsserver (120) spezifischen kryptografischen Schlüssel verwendet; Bestimmen eines Authentifizierungsergebnisses in dem Authentifizierungsserver (120) auf Grundlage der in den ausgetauschten verschlüsselten Nachrichten enthaltenen Daten; Senden des Authentifizierungsergebnisses von dem Authentifizierungsserver (120) an das Computersystem (110); und Gewähren oder Unterbinden eines Zugangs des Benutzers (100) zu Diensten des Computersystems (110) abhängig von dem Authentifizierungsergebnis.
  2. Verfahren nach Anspruch 1, des Weiteren umfassend: Stellen einer Benutzungsanfrage des Benutzers (100) an das Computersystem (110) zur Erlangung von Zugangsrechten zu den Diensten des Computersystems (110); Senden einer Anfragenachricht von dem Computersystem (110) an den Authentifizierungsserver (120); Senden einer Transaktionsidentifikationsnachricht von dem Authentifizierungsserver (120) an das Computersystem (110); und Senden der Transaktionsidentifikationsnachricht von dem Computersystem (110) an das Kommunikationsgerät (140).
  3. Verfahren nach Anspruch 2, wobei die von dem Computersystem (110) an den Authentifizierungsserver (120) gesandte Anfragenachricht eine vom Computersystem (110) erzeugte Sitzungs-ID umfasst und diese Sitzungs-ID in dem vom Authentifizierungsserver (120) an das Computersystem (110) gesandten Authentifizierungsergebnis enthalten ist.
  4. Verfahren nach einem der Ansprüche 2 oder 3, wobei die von dem Computersystem (110) an den Authentifizierungsserver (120) gesandte Anfragenachricht eine Angabe der zwischen dem Benutzer (100) und dem Computersystem (110) verwendeten Kommunikationsart enthält.
  5. Verfahren nach Anspruch 4, wobei die Transaktionsidentifikationsnachricht eine von dem Authentifizierungsserver (120) erzeugte Transaktions-ID in kodierter Form enthält, wobei die Kodierung von dem Authentifizierungsserver (120) abhängig von der verwendeten Kommunikationsart erfolgt, wobei das Kommunikationsgerät (140) die empfangene Transaktionsidentifikationsnachricht dekodiert und wobei die von dem Kommunikationsgerät (140) an den Authentifizierungsserver (120) gesandte Authentifizierungsanfrage die dekodierte Transaktions-ID als besagte Transaktionskennung umfasst.
  6. Verfahren nach einem der Ansprüche 4 oder 5, wobei die Kommunikationsart eine Datenübertragung über Bild, über Ton, über elektromagnetische Wellen oder über computerinterne Datensätze.
  7. Verfahren nach einem der Ansprüche 2 bis 6, wobei der Schritt des Stellens einer Benutzungsanfrage des Benutzers (100) an das Computersystem (110) zur Erlangung von Zugangsrechten zu den Diensten des Computersystems (110) die Verwendung des Kommunikationsgeräts (140) durch den Benutzer (100) einschliesst.
  8. Verfahren nach einem der Ansprüche 1 bis 7, wobei der Schritt des Austauschens verschlüsselter Nachrichten zwischen dem Authentifizierungsserver (120) und dem Kommunikationsgerät (140) umfasst: Verschlüsseln der Authentifizierungsanfrage in dem Kommunikationsgerät (140) mit dem öffentlichen Schlüssel des Authentifizierungsservers (120); Senden der verschlüsselten Authentifizierungsanfrage von dem Kommunikationsgerät (140) an den Authentifizierungsserver (120); Entschlüsseln der verschlüsselten Authentifizierungsanfrage in dem Authentifizierungsserver (120); Erzeugen einer ersten Nachricht in dem Authentifizierungsserver (120), bestehend aus einem durch den Authentifizierungsserver (120) generierten Datenkern und optionalen, dem Anwendungsfall angepassten authentifizierungsserverspezifischen Hilfsdaten; Verschlüsseln der ersten Nachricht in dem Authentifizierungsserver (120) mit dem zur Benutzerkennung gehörenden öffentlichen Schlüssel; Senden des Verschlüsselungsergebnisses von dem Authentifizierungsserver (120) an das Kommunikationsgerät (140); Entschlüsseln des empfangenen Verschlüsselungsergebnisses in dem Kommunikationsgerät (140); Verschlüsseln des aus dem Entschlüsselungsergebnis extrahierten Datenkerns und optionaler, dem Anwendungsfall angepasster kommunikationsgerätspezifischer Hilfsdaten in dem Kommunikationsgerät (140) mit dem öffentlichen Schlüssel des Authentifizierungsservers (120); und Senden des zuletzt erzielten Verschlüsselungsergebnisses an den Authentifizierungsserver (120).
  9. Verfahren nach einem der Ansprüche 1 bis 8, wobei der Schritt des Bestimmens eines Authentifizierungsergebnisses in dem Authentifizierungsserver (120) auf Grundlage der in den ausgetauschten verschlüsselten Nachrichten enthaltenen Daten umfasst: Vergleichen von Daten, die in verschlüsselter Form von dem Authentifizierungsserver (120) an das Kommunikationsgerät (140) gesandt wurden, mit Daten, die in verschlüsselter Form von dem Kommunikationsgerät (140) an den Authentifizierungsserver (120) gesandt wurden.
  10. Verfahren nach Anspruch 9, wobei der Authentifizierungsserver (120) ein zu dem Benutzer (100) gehöriges Passwort speichert und der Schritt des Bestimmens eines Authentifizierungsergebnisses in dem Authentifizierungsserver (120) auf Grundlage der in den ausgetauschten verschlüsselten Nachrichten enthaltenen Daten umfasst: Vergleichen des im Authentifizierungsserver (120) zu dem Benutzer (100) gespeicherten Passworts mit einem vom Benutzer eingegebenen Passwort.
  11. Authentifizierungsserver (120), eingerichtet zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 10.
  12. Computersystem (110), eingerichtet zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 10.
  13. Kommunikationsgerät (140), eingerichtet zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 10.
  14. Computerlesbares Speichermedium mit von einem Prozessor eines Kommunikationsgeräts (140) ausführbaren Instruktionen, die eine Authentifizierungsapplikation (160) ausführen, die eingerichtet ist zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 10.
DE201110110898 2011-08-17 2011-08-17 Verfahren zur Authentifizierung eines Benutzers zum Gewähren eines Zugangs zu Diensten eines Computersystems, sowie zugehöriges Computersystem, Authentifizierungsserver und Kommunikationsgerät mit Authentifizierungsapplikation Ceased DE102011110898A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201110110898 DE102011110898A1 (de) 2011-08-17 2011-08-17 Verfahren zur Authentifizierung eines Benutzers zum Gewähren eines Zugangs zu Diensten eines Computersystems, sowie zugehöriges Computersystem, Authentifizierungsserver und Kommunikationsgerät mit Authentifizierungsapplikation

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201110110898 DE102011110898A1 (de) 2011-08-17 2011-08-17 Verfahren zur Authentifizierung eines Benutzers zum Gewähren eines Zugangs zu Diensten eines Computersystems, sowie zugehöriges Computersystem, Authentifizierungsserver und Kommunikationsgerät mit Authentifizierungsapplikation

Publications (1)

Publication Number Publication Date
DE102011110898A1 true DE102011110898A1 (de) 2013-02-21

Family

ID=47625262

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201110110898 Ceased DE102011110898A1 (de) 2011-08-17 2011-08-17 Verfahren zur Authentifizierung eines Benutzers zum Gewähren eines Zugangs zu Diensten eines Computersystems, sowie zugehöriges Computersystem, Authentifizierungsserver und Kommunikationsgerät mit Authentifizierungsapplikation

Country Status (1)

Country Link
DE (1) DE102011110898A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020130815B3 (de) 2020-11-20 2022-03-31 comuny GmbH Dezentrale Bereitstellung von Benutzerdaten

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1058872A1 (de) 1998-02-25 2000-12-13 Telefonaktiebolaget Lm Ericsson Verfahren, anordnung und einrichtung zur authentifizierung durch ein kommunikationsnetz
EP1253500A1 (de) 2001-04-26 2002-10-30 Nokia Corporation Verfahren und Vorrichtung zur Authentifizierung eines Benutzers auf einem entfernten Server
US20030172272A1 (en) 2000-05-24 2003-09-11 Ehlers Gavin Walter Authentication system and method
US20040177047A1 (en) * 2000-04-17 2004-09-09 Graves Michael E. Authenticated payment
KR100824743B1 (ko) 2007-12-12 2008-04-23 조인숙 휴대폰을 이용한 사용자 인증 방법 및 시스템
KR20080093431A (ko) 2006-01-31 2008-10-21 루센트 테크놀러지스 인크 무선 네트워크의 클라이언트의 인증 방법
US20080307515A1 (en) * 2005-12-21 2008-12-11 Cronto Limited System and Method For Dynamic Multifactor Authentication
US20090300744A1 (en) 2008-06-02 2009-12-03 Microsoft Corporation Trusted device-specific authentication
US20100058064A1 (en) 2008-08-27 2010-03-04 Microsoft Corporation Login authentication using a trusted device
US20100135491A1 (en) 2007-03-27 2010-06-03 Dhiraj Bhuyan Authentication method
DE102009040477A1 (de) 2009-09-08 2011-03-10 Deutsche Telekom Ag Authentifizierung im Mobilfunknetz durch Authentifizierungszelle

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1058872A1 (de) 1998-02-25 2000-12-13 Telefonaktiebolaget Lm Ericsson Verfahren, anordnung und einrichtung zur authentifizierung durch ein kommunikationsnetz
US20040177047A1 (en) * 2000-04-17 2004-09-09 Graves Michael E. Authenticated payment
US20030172272A1 (en) 2000-05-24 2003-09-11 Ehlers Gavin Walter Authentication system and method
EP1253500A1 (de) 2001-04-26 2002-10-30 Nokia Corporation Verfahren und Vorrichtung zur Authentifizierung eines Benutzers auf einem entfernten Server
US20080307515A1 (en) * 2005-12-21 2008-12-11 Cronto Limited System and Method For Dynamic Multifactor Authentication
KR20080093431A (ko) 2006-01-31 2008-10-21 루센트 테크놀러지스 인크 무선 네트워크의 클라이언트의 인증 방법
US20100135491A1 (en) 2007-03-27 2010-06-03 Dhiraj Bhuyan Authentication method
KR100824743B1 (ko) 2007-12-12 2008-04-23 조인숙 휴대폰을 이용한 사용자 인증 방법 및 시스템
US20090300744A1 (en) 2008-06-02 2009-12-03 Microsoft Corporation Trusted device-specific authentication
US20100058064A1 (en) 2008-08-27 2010-03-04 Microsoft Corporation Login authentication using a trusted device
DE102009040477A1 (de) 2009-09-08 2011-03-10 Deutsche Telekom Ag Authentifizierung im Mobilfunknetz durch Authentifizierungszelle

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Menezes,J.,u.a.:Handbook of applied cryptography.Boca Raton,u.a., CRC Press,1997 ,S. 397 - 405, 508, ISBN:0-8493-8523-7. *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020130815B3 (de) 2020-11-20 2022-03-31 comuny GmbH Dezentrale Bereitstellung von Benutzerdaten

Similar Documents

Publication Publication Date Title
EP3574625B1 (de) Verfahren zum durchführen einer authentifizierung
DE102012219618B4 (de) Verfahren zur Erzeugung eines Soft-Tokens, Computerprogrammprodukt und Dienst-Computersystem
EP2859705B1 (de) Autorisierung eines nutzers durch ein tragbares kommunikationsgerät
DE602004012233T2 (de) Verfahren zur Bereitstellung eines Signierungsschlüssels zur digitalen Signierung, Überprüfung oder Verschlüsselung von Daten
DE102011082101A1 (de) Verfahren zur Erzeugung eines Soft-Tokens, Computerprogrammprodukt und Dienst-Computersystem
EP3078177B1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems mit hilfe eines modifizierten domain name systems (dns)
US20210234850A1 (en) System and method for accessing encrypted data remotely
DE102011075257B4 (de) Beantwortung von Anfragen mittels des Kommunikationsendgeräts eines Nutzers
DE112018006443T5 (de) Multifaktor-authentifizierung
DE10124427A1 (de) System und Verfahren für einen sicheren Vergleich eines gemeinsamen Geheimnisses von Kommunikationsgeräten
DE102009057800A1 (de) Verfahren zum Bereitstellen eines sicheren und komfortablen Zugangs zu Online-Accounts via Fern-Weiterleitung
DE102017121648B3 (de) Verfahren zum anmelden eines benutzers an einem endgerät
DE102017006200A1 (de) Verfahren, Hardware und System zur dynamischen Datenübertragung an ein Blockchain Rechner Netzwerk zur Abspeicherung Persönlicher Daten um diese Teils wieder Blockweise als Grundlage zur End zu Endverschlüsselung verwendet werden um den Prozess der Datensammlung über das Datenübertragungsmodul weitere Daten in Echtzeit von Sensoreinheiten dynamisch aktualisiert werden. Die Blockmodule auf dem Blockchaindatenbanksystem sind unbegrenzt erweiterbar.
EP3005651B1 (de) Verfahren zur adressierung, authentifizierung und sicheren datenspeicherung in rechnersystemen
DE112018006451T5 (de) Multifaktor-authentifizierung
DE102011110898A1 (de) Verfahren zur Authentifizierung eines Benutzers zum Gewähren eines Zugangs zu Diensten eines Computersystems, sowie zugehöriges Computersystem, Authentifizierungsserver und Kommunikationsgerät mit Authentifizierungsapplikation
EP3882796A1 (de) Nutzerauthentifizierung unter verwendung zweier unabhängiger sicherheitselemente
EP2631837A1 (de) Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens
EP2933769B1 (de) Transaktionsverfahren
EP2661022A2 (de) Verfahren zur gesicherten Kommunikation zwischen einem mobilen Endgerät und einem Gerät der Gebäudesystemtechnik oder der Türkommunikation
EP2397960A1 (de) Verfahren zum Lesen von Attributen aus einem ID-Token über eine Telekommunikations-Chipkarte und ein Server-Computersystem
WO2015114160A1 (de) Verfahren zur sicheren übertragung von zeichen
DE102017012249A1 (de) Mobiles Endgerät und Verfahren zum Authentifizieren eines Benutzers an einem Endgerät mittels mobilem Endgerät
EP2950254A1 (de) Transaktionsautorisierungssystem
EP3284237A1 (de) Verfahren zur adressierung, zum schlüsselaustausch und zur sicheren datenübertragung in kommunikationssystemen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final

Effective date: 20130711