-
HINTERGRUND DER ERFINDUNG
-
1. Gebiet der Erfindung
-
Die Erfindung betrifft allgemein Authentifizierungstechniken und insbesondere solche, die ein Endgerät eines Benutzers oder eine andere Vorrichtung in den Authentifizierungsprozess einbeziehen.
-
2. Beschreibung des Standes der Technik
-
Authentifizierungstechniken sind im Stand der Technik zahlreich bekannt.
-
Derzeit funktionieren viele Authentifizierungstechniken so, dass der Benutzer einen Benutzernamen sowie ein Passwort in ein Formular eingeben muss. Diese Methode ist im Internet bereits weit verbreitet und ein Standard der Benutzerauthentifizierung, z. B. im Falle von Webseiten. Das Problem dieser Methode liegt jedoch darin, dass der durchschnittliche Benutzer heutzutage Konten auf vielen Webseiten besitzt und somit sich alle Benutzer/Passwort-Kombinationen merken muss. Zudem ist ein solches Formular unsicher, weil ein Angreifer beispielsweise durch einen Keylogger oder Netzwerksniffer an die Benutzer/Passwort-Kombination des Benutzers kommen kann. Sollte ein Benutzer in der Lage sein, Zugriff zum Webserver zu erhalten und somit die zugehörige SQL-Datenbank mit verschlüsselten Benutzer/Passwort-Kombinationen herunterzuladen, kann er mit Hilfe entsprechender Software die Passwörter entschlüsseln und sich somit als ein beliebiger Benutzer des Systems angeben. Viele Internetbenutzer verwenden auf verschiedenen Webseiten meist dieselbe Benutzer/Passwort-Kombination. Dadurch erhält ein Angreifer wahrscheinlich auch Zugriff zu anderen Diensten, wie z. B. den Social-Network- und Onlineshop-Konten des jeweiligen Benutzers. Kurz gesagt, sind die bisher verwendeten Authentifizierungsmethoden unsicher und benutzerunfreundlich.
-
Andere Authentifizierungstechniken verwenden Verschlüsselungstechniken, die oft auf einem Paar aus einem öffentlichen und einem privaten Schlüssel (public key, private key) basieren. Solche Schlüsselmechanismen sind jedoch in der Regel umständlich zu bedienen, da die existierenden Systeme sehr benutzerunfreundlich sind, weil sie unter anderem an einen notwendigerweise manuell (oft auf eine komplizierte Art und Weise) durch den Benutzer konfigurierten Computer gebunden sind.
-
Unabhängig von o. g. Schlüsseln werden bereits heute Drittgeräte (z. B. Handys) dazu verwendet, um eine Two-Factor-Authentication anzubieten. Diese hierauf basierenden Methoden sind jedoch primitiv und ebenfalls benutzerunfreundlich, denn der Benutzer muss sich immer noch mit einer Benutzer/Passwort-Kombination authentifizieren und erhält lediglich auf seinem Handy eine PIN angezeigt (er bekommt sie per SMS oder von einer Applikation (auch „App” genannt)), die er auf einer Webseite z. B. nach dem Versenden der Benutzer/Passwort-Kombination eintippen muss. Einige Webseiten bieten dies als optionalen Schutz an (z. B. Google). Diese Technik macht das Authentifizieren sicherer, ist aber sehr benutzerunfreundlich: der Prozess der Authentifizierung verlängert sich drastisch. Zudem sind Internetbenutzer ungeduldig, weswegen dieses Verfahren nur von sehr wenigen Benutzern verwendet wird.
-
Aus der
US 2003/172272 A1 ist ein Authentifizierungssystem bekannt, das es ermöglicht, die Identität eines Benutzers zu authentifizieren, wenn der Benutzer Zugriff auf einen sicheren, von einem Server bereitgestellten Dienst erlangen möchte. Das System umfasst zwei separate Kommunikationskanäle. Der erste Kanal ist ein Netzwerk, um es dem Benutzer zu gestatten, mit dem Server zu kommunizieren. Der zweite Kanal ist ein Mobilkommunikationskanal, der ein Mobilkommunikationsgerät verwendet, um es einem Authentifizierungsserver zu ermöglichen, mit dem Benutzer zu kommunizieren. Wenn der Benutzer Zugriff auf den Server erlangen möchte, sendet er einen Benutzernamen an den Server. Der Server erzeugt eine Anforderung für die Bestätigung der Identität des Benutzers und sendet diese Anforderung an den Authentifizierungsserver. Der Authentifizierungsserver erzeugt sodann einen Passcode und durchsucht auch eine Benutzerdatenbank nach der Netzwerknummer des Mobilkommunikationsgerätes des Benutzers. Der Server sendet den Passcode über das mobile Kommunikationsnetzwerk an das Mobilgerät des Benutzers und an den Server. Wenn der Benutzer den Passcode empfängt, übergibt er ihn an den Server, der die beiden Passcodes miteinander vergleicht. Sind beide Codes gleich, so wird der Zugriff gewährt.
-
Die
EP 1 058 872 A1 beschreibt ein Verfahren, eine Anordnung oder eine Vorrichtung zur Bereitstellung einer Authentifizierungsmöglichkeit für eine Anwendung, die über ein Kommunikationsnetzwerk bereitgestellt wird. Eine Verbindung wird zwischen der Anwendung und einer Benutzerschnittstelle über das Kommunikationsnetzwerk errichtet, so dass der Benutzer Zugriff auf die Anwendung erlangen kann. Eine Authentifizierung für die Anwendung wird bereitgestellt mittels einer Mobilstation, die über ein mobiles Kommunikationsnetzwerk kommuniziert.
-
Aus der
EP 1 253 500 A1 ist ein Verfahren bekannt zum Authentifizieren eines Benutzers an einem entfernten Server eines Netzwerkes. Eine Authentifizierungsanforderung wird an einem Endgerät von dem entfernten Server empfangen. Anschließend wird ein Authentifizierungsschlüssel von einem persönlichen vertrauenswürdigem Gerät erlangt, in dem eine Vielzahl von Netzwerkadressen entfernter Server und entsprechender Authentifizierungsschlüssel in einer Datenbank gespeichert sind. Schließlich wird der Authentifizierungsschlüssel dem Benutzer auf dem persönlichen Gerät angezeigt.
-
Die
DE 10 2009 040 477 A1 beschreibt eine Authentifizierungseinrichtung und ein Authentifizierungsverfahren mit einer bestimmten Mobilfunkzelle eines zellaren Mobilfunknetzes als Authentifizierungszelle, in die ein Mobilfunkendgerät durch den Aufbau einer Funkverbindung zur Basisstation der Authentifizierungszelle und Registrierung im Mobilfunknetz eingebucht wird, wobei die Authentifizierung anhand einer eindeutigen Kennung des Mobilfunkendgeräts und der Kennung der Authentifizierungszelle erfolgt.
-
Die
US 2009/300744 A1 beschreibt ein Authentifizierungssystem, das eine Geräteverifikation mit einer Benutzerverifikation kombiniert, um eine Zwei-Faktor-Authentifizierung durchzuführen. Ein Authentifizierungsprovider verifiziert beide Faktoren und liefert einen Sicherheitstoken in Übereinstimmung mit einer Sicherheitspolicy der Kontonetzwerkressource, auf die der Benutzer zugreifen möchte.
-
Die
US 2010/058064 A1 beschreibt eine Authentifizierungstechnik, bei der ein Benutzer an einem Client-Computer die Möglichkeit erhält, sich auf einem entfernten Server über ein Computernetzwerk einzuloggen. Eine erste sichere Verbindung wird zwischen dem Client und dem Server eingerichtet. Über einen Kommunikationskanal zwischen einem vertrauenswürdigen Gerät und dem Client finden Kommunikationen mit dem vertrauenswürdigen Gerät, das sich unter der Kontrolle des Benutzers befindet, statt, wobei dieser Kanal nicht Teil des Netzwerks ist. Eine zweite sichere Verbindung wird zwischen dem vertrauenswürdigen Gerät und dem Server über den Client eingerichtet, wobei diese zweite sichere Verbindung als Tunnel in der ersten sicheren Verbindung ausgeführt wird. Der Benutzer führt die Authentifizierung am Server über die zweite sichere Verbindung unter Verwendung des vertrauenswürdigen Gerätes durch.
-
Die
KR 20080093431 A beschreibt ein Verfahren und eine Vorrichtung zum Authentifizieren eines Clients in einem drahtlosen Netzwerk mit einer Adresse, die den Zugriff auf einen Server ermöglicht.
-
Die
US 2010/135491 A1 befasst sich mit der Authentifizierung eines Mobilfunkgeräts in einem Telekommunikationsnetzwerk unter Verwendung von Verschlüsselungsschlüsseln.
-
Auch die
KR 100824743 B1 befasst sich mit der Authentifizierung eines Benutzers unter Verwendung eines mobilen Telefons.
-
All diesen bekannten Verfahren ist jedoch gemeinsam, dass sie dem Benutzer umständliche Handlungen auferlegen und daher nicht benutzerfreundlich sind. Zudem wird im Stand der Technik noch allzu oft viel zu viel Zeit für den Loginprozess oder andere Arten der Authentifizierung verwendet. Allgemein ist das Authentifizieren eine für den Benutzer stets unliebsame Tätigkeit, die es zu vereinfachen gilt.
-
ÜBERSICHT ÜBER DIE ERFINDUNG
-
Der Erfindung liegt die Aufgabe zugrunde, eine Authentifizierungstechnik bereitzustellen, die benutzerfreundlich, schnell und dennoch sicher ist.
-
Diese Aufgabe wird durch die in den unabhängigen Patentansprüchen definierte Erfindung gelöst.
-
Erfindungsgemäß wird ein Verfahren zur Authentifizierung eines Benutzers zum Gewähren eines Zugangs zu Diensten eines Computersystems bereitgestellt. Das Verfahren umfasst das Senden einer Authentifizierungsanfrage von einem Kommunikationsgerät, das dem Benutzer zugeordnet ist, an einen Authentifizierungsserver, wobei die Authentifizierungsanfrage eine Transaktionskennung sowie eine den Benutzer identifizierende Benutzerkennung enthält. Nun werden verschlüsselte Nachrichten zwischen dem Authentifizierungsserver und dem Kommunikationsgerät ausgetauscht, wobei der Authentifizierungsserver zur Verschlüsselung einen zur Benutzerkennung gehörenden kryptografischen Schlüssel und das Kommunikationsgerät zur Verschlüsselung einen für den Authentifizierungsserver spezifischen kryptografischen Schlüssel verwendet.
-
Anschliessend bestimmt der Authentifizierungsserver ein Authentifizierungsergebnis auf Grundlage der in den ausgetauschten verschlüsselten Nachrichten enthaltenen Daten und sendet das Authentifizierungsergebnis an das Computersystem. Schliesslich wird der Zugang des Benutzers zu Diensten des Computersystems abhängig von dem Authentifizierungsergebnis gewährt oder unterbunden.
-
Die Erfindung stellt ebenfalls ein zugehöriges Kommunikationsgerät, einen Authentifizierungsserver und ein Computersystem bereit, sowie eine auf dem Kommunikationsgerät laufende Authentifizierungsapplikation.
-
Bevorzugte Ausgestaltungen sind in den Unteransprüchen angegeben.
-
In einer bevorzugten Ausgestaltung wird vor dem Senden der Authentifizierungsanfrage eine Benutzungsanfrage des Benutzers an das Computersystem zur Erlangung von Zugangsrechten zu den Diensten des Computersystems gestellt. Eine Anfragenachricht wird von dem Computersystem an den Authentifizierungsserver gesendet. Dann wird eine Transaktionsidentifikationsnachricht von dem Authentifizierungsserver an das Computersystem gesendet. Anschliessend wird die Transaktionsidentifikationsnachricht einem dem Benutzer zugeordneten Kommunikationsgerät mitgeteilt. In einer Ausführungsform sendet das Computersystem die Transaktionsidentifikationsnachricht an das Kommunikationsgerät.
-
In einer weiteren bevorzugten Ausgestaltung der Erfindung umfasst die von dem Computersystem an den Authentifizierungsserver gesandte Anfragenachricht eine vom Computersystem erzeugte Sitzungs-ID und diese Sitzungs-ID ist in dem vom Authentifizierungsserver an das Computersystem gesandten Authentifizierungsergebnis enthalten. In einer Ausführungsform ist diese Sitzungs-ID in dem vom Authentifizierungsserver an das Computersystem gesandten Authentifizierungsergebnis enthalten, wenn das Authentifizierungsergebnis positiv ist.
-
In einer weiteren bevorzugten Ausgestaltung der Erfindung enthält die von dem Computersystem an den Authentifizierungsserver gesandte Anfragenachricht eine Angabe der zwischen dem Benutzer und dem Computersystem verwendeten Kommunikationsart.
-
Hierbei kann die Transaktionsidentifikationsnachricht vorzugsweise eine von dem Authentifizierungsserver erzeugte Transaktions-ID in kodierter Form enthalten, wobei die Kodierung von dem Authentifizierungsserver abhängig von der verwendeten Kommunikationsart erfolgt, wobei das Kommunikationsgerät die Transaktionsidentifikationsnachricht dekodiert und wobei die von dem Kommunikationsgerät an den Authentifizierungsserver gesandte Authentifizierungsanfrage zusätzlich zu der Benutzerkennung, die den Benutzer identifiziert, die dekodierte Transaktions-ID umfasst.
-
In bevorzugten Ausgestaltungen der Erfindung bezeichnet die Kommunikationsart eine Datenübertragung über Bild (z. B. Fotocode/QR-Code oder Zeichenfolge), über Ton, über elektromagnetische Wellen (z. B. NFC, Bluetooth, WiFi) oder über computerinterne Datensätze (Übertragung softwareintern oder z. B. über Kabel, Dockingstation).
-
In einer weiteren bevorzugten Ausgestaltung der Erfindung umfasst der Schritt des Stellens einer Benutzungsanfrage des Benutzers an das Computersystem zur Erlangung von Zugangsrechten zu den Diensten des Computersystems die Verwendung des Kommunikationsgeräts durch den Benutzer.
-
In noch einer weiteren bevorzugten Ausgestaltung der Erfindung umfasst der Schritt des Austauschens verschlüsselter Nachrichten zwischen dem Authentifizierungsserver und dem Kommunikationsgerät die Schritte des Verschlüsselns der Authentifizierungsanfrage in dem Kommunikationsgerät mit dem öffentlichen Schlüssel des Authentifizierungsservers, des Sendens der verschlüsselten Authentifizierungsanfrage von dem Kommunikationsgerät an den Authentifizierungsserver, des Entschlüsselns der verschlüsselten Authentifizierungsanfrage in dem Authentifizierungsserver, des Verschlüsselns einer Nachricht, bestehend aus einem durch den Authentifizierungsserver (vorzugsweise zufällig) generierten Datenkern und optionalen, dem Anwendungsfall angepassten authentifizierungsserverspezifischen Hilfsdaten, in dem Authentifizierungsserver mit dem zur Benutzerkennung gehörenden öffentlichen Schlüssel, des Sendens des Verschlüsselungsergebnisses von dem Authentifizierungsserver an das Kommunikationsgerät, des Entschlüsselns des empfangenen Verschlüsselungsergebnisses in dem Kommunikationsgerät, des Verschlüsselns des aus dem Verschlüsselungsergebnis extrahierten Datenkerns und optionaler, dem Anwendungsfall angepaßter kommunikationsgerätspezifischer Hilfsdaten in dem Kommunikationsgerät mit dem öffentlichen Schlüssel des Authentifizierungsservers, und des Sendens des Verschlüsselungsergebnisses an den Authentifizierungsserver.
-
In weiteren bevorzugten Ausgestaltungen kann der Schritt des Bestimmens eines Authentifizierungsergebnisses in dem Authentifizierungsserver auf Grundlage der in den ausgetauschten verschlüsselten Nachrichten enthaltenen Daten den Schritt des Vergleichens von Daten umfassen, die in verschlüsselter Form von dem Authentifizierungsserver an das Kommunikationsgerät gesandt wurden, mit Daten, die in verschlüsselter Form von dem Kommunikationsgerät an den Authentifizierungsserver gesandt wurden.
-
Hierbei kann der Authentifizierungsserver optional, gleichwohl vorzugsweise, ein zu dem Benutzer gehöriges Passwort speichern, wobei der Schritt des Bestimmens eines Authentifizierungsergebnisses in dem Authentifizierungsserver auf Grundlage der in den ausgetauschten verschlüsselten Nachrichten enthaltenen Daten ein Vergleichen des im Authentifizierungsserver zu dem Benutzer gespeicherten Passworts mit einem vom Benutzer eingegebenen Passwort umfasst.
-
KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
Die beigefügten Zeichnungen sind in die Beschreibung eingefügt und bilden einen Teil derselben zum Zwecke der Erläuterung der Prinzipien der Erfindung. Die Zeichnungen sind nicht als die Erfindung, nur auf die verdeutlichten und beschriebenen Beispiele beschränkend zu verstehen, wie die Erfindung gemacht und verwendet werden kann. Weitere Merkmale und Vorteile werden aus der folgenden und genaueren Beschreibung der Erfindung ersichtlich werden, wie in den beigefügten Zeichnungen erläutert, in denen:
-
1 ist ein Blockdiagramm eines in einer erfindungsgemäßen Ausgestaltung zur Anwendung kommenden Authentifizierungssystems;
-
2 ist ein zugehöriges Zeitverlaufsdiagramm, das den Nachrichtenfluss in einer Ausgestaltung der Erfindung verdeutlicht; und
-
3 ist ein Flussdiagramm eines Teilprozesses des erfindungsgemäßen Authentifizierungsverfahrens gemäß einer Ausgestaltung zur Erläuterung der Entscheidungsfindung über das Authentifizierungsergebnis.
-
DETAILLIERTE BESCHREIBUNG DER ERFINDUNG
-
Die verdeutlichten Ausgestaltungen der vorliegenden Erfindung werden unter Bezugnahme auf die Zeichnungen beschrieben werden, in denen gleiche Elemente und Strukturen mit gleichen Bezugszeichen angegeben sind.
-
Authentifizierungssystem gemäß einer Ausgestaltung der Erfindung
-
Unter Bezugnahme auf 1 beinhaltet das Authentifizierungssystem gemäß einer Ausgestaltung der Erfindung folgende Komponenten:
- • einen Benutzer 100: Dieser kann eine Person oder auch ein Roboter oder ein sonstiger automatisierter oder teilautomatisierter Mechanismus sein;
- • ein System 110: Hierbei kann es sich beispielsweise um elektronische/informationstechnische Systeme (in diesem Fall wird das System 110 auch Computersystem genannt) wie z. B. Webseite, Informationssystem, Softwareprogramm, Datenbank, Onlineshop, Zahlungssystem, usw., oder durch eine informationstechnische, elektronische oder elektromechanische Vorrichtung geschützte mechanische Systeme wie z. B. Safe, Fahrzeug, durch eine Tür verschlossener Raum, handeln;
- • einen Authentifizierungsserver 120: Es handelt sich hierbei um ein elektronisches System, welches die Benutzungsrechte der Dienste des Systems 110 verwaltet. So verwaltet der Authentifizierungsserver 120 beispielsweise die Zugriffsrechte auf das System 110. Der Authentifizierungsserver 120 besitzt neben dem privaten Schlüssel des Authentifizierungsservers 120 u. a. folgende Daten aller verwalteten Benutzer: die Benutzer-ID, den öffentlichen Schlüssel des Benutzers 100, und optional ein Passwort des Benutzers 100;
- • ein Medium 130: Dies ist ein Darstellungsmedium, beispielsweise eine Vorrichtung, welche die Darstellung/Übermittlung von Informationen Fotocode bermöglicht (z. B. mit edrucktes Papier/Aufkleber, Bildschirm, Lautsprecher oder eine andere Vorrichtung, welche Signalfolgen generieren oder Daten präsentieren kann);
- • ein Kommunikationsgerät 140: Hierbei handelt es sich um eine dem Benutzer 100 zugeordnete Kommunikationsvorrichtung, die mit anderen Systemen kommunizieren kann (z. B. mit dem Authentifizierungsserver 120onsg). Das Kommunikatierät 140pfäng besitzt einen Emer 150 und die Authentifizierungsapplikation 160 und ist z. B. ein mobiles Gerät;
- • einen Empfänger 150: Dies ist ein Teil des Kommunikationsgeräts (z. B. Kamera, Mikrophon oder andere Empfangsvorrichtung), welches die Möglichkeit besitzt, Bilder, Töne oder anders repräsentierte Informationen zu empfangen und zu verarbeiten. Im Einzelfall kann der Benutzer 100 selbst den Empfänger 150 darstellen, indem er die mit dem Medium 130 übermittelte Information sieht bzw. hört oder anders empfängt und diese durch eine direkte Übertragung (z. B. manuell oder phonetisch) der Authentifizierungsapplikation 160 zur Verfügung stellt; und
- • eine Authentifizierungsapplikation 160: Diese arbeitet auf dem Kommunikationsgerät 140 und besitzt u. a. folgende Daten: die Benutzer-ID, den privaten Schlüssel des Benutzers 100, den öffentlichen Schlüssel des Authentifizierungsservers 120. Die Authentifizierungsapplikation 160 verarbeitet die vom Empfänger 150 gelieferten Daten und hat über das Kommunikationsgerät 140 eine Möglichkeit zur Kommunikation mit einem anderen System (z. B. mit dem Authentifizierungsserver 120).
-
Beispielhaftes Nutzungsszenario gemäß einer Ausgestaltung der Erfindung
-
Im hier beispielhaft beschriebenen Nutzungsszenario führt ein Benutzer 100 einen Blog auf einer Website und verwendet hierfür eine Blogsoftware. Er muss sich in ein Adminpanel einloggen, um einen neuen Blogeintrag veröffentlichen zu können.
-
Anstatt einer Benutzer/Passwort-Kombination wird ein Algorithmus verwendet, der auf einem Schlüsselmechanismus (öffentlicher Schlüssel, privater Schlüssel) basiert und unten detailliert beschrieben wird. Weiterhin integriert die Erfindung in den Prozess der Authentifizierung ein Drittgerät auf innovative Weise. Die Erfindung kombiniert hierbei einen vorzugsweise auf Schlüsseln basierenden Authentifizierungsalgorithmus mit dem Drittgerät (z. B. Handy) und ermöglicht durch die Integration von Bild- oder Tondaten einen sehr einfachen und schnellen Login-Prozess, der zudem sogar deutlich sicherer als bekannte auf Two-Factor-Authentication basierende Verfahren ist.
-
Unter Verwendung der Erfindung in dem Blog würde das Einloggen in das Adminpanel beispielsweise auf folgende Art und Weise funktionieren: Der Benutzer 100 besucht die URL des Adminpanels. Anstatt eines Login-Formulares, das von dem Benutzer 100 eine Benutzer/Passwort-Kombination verlangt, sieht der Benutzer 100 einen Fotocode. Dieser Fotocode beinhaltet eine Transaktions-ID und evtl. weitere Daten. Der Benutzer 100 nimmt sein Handy 140 (Kommunikationsgerät 140) und öffnet eine erfindungsgemäß ausgestaltete Authentifizierungsapplikation 160. Danach hält der Benutzer 100 sein Handy so, als ob er ein Foto des angezeigten Fotocodes machen wollen würde. Die Authentifizierungsapplikation 160 erkennt automatisch, dass es sich um einen erfindungsgemäß ausgestalteten Fotocode handelt. Solche Fotocodes werden bereits heute auf verschiedene Art und Weise verwendet und sind sehr schnell lesbar. Im vorliegenden erfindungsgemäßen Beispielszenario initiiert dies jedoch den gesamten Prozess, der unten detailliert erläutert wird: die Authentifizierungsapplikation 160 dekodiert den Fotocode, erhält somit die Transaktions-ID im Klartext, sendet eine Authentifizierungsanfrage an einen Authentifizierungsserver 120 usw. Nachdem der Blog 110 des Benutzers 100 eine positive Nachricht vom Authentifizierungsserver 120 erhalten hat, wird der Benutzer 100 automatisch in seinem Webbrowser in das Adminpanel eingeloggt und muss nichts weiter tun.
-
Es kann aus diesem Verlauf ersehen werden, dass der Benutzer 100 lediglich die URL des Adminpanels in seinem Webbrowser öffnet, sein Handy nimmt und die erfindungsgemäße Authentifizierungsapplikation 160 öffnet. Er richtet das Handy auf den Bildschirm und wird innerhalb einer Sekunde eingeloggt.
-
Er muss sich also keine Benutzer/Passwort-Kombination merken. Er muss nicht auf eine PIN warten und diese eintippen. Die Erfindung ermöglicht somit ein Authentifizierungsverfahren, das mindestens genauso schnell ist wie das Einloggen per Benutzer/Passwort-Kombination, jedoch deutlich sicherer ist („bank grade security” dank des verwendeten, unten näher beschriebenen Algorithmus). Das erfindungsgemäße Verfahren ist auch viel benutzerfreundlicher, da sich der Benutzer nichts mehr merken muss und nur sein Handy braucht.
-
In dieser oder jeden anderen Ausgestaltung der Erfindung können anstatt des Fotocodes ein Ton (im Spezialfall vorzugsweise im unhörbaren Frequenzspektrum) bzw. ein elektromagnetisches Signal generiert werden, die von der erfindungsgemäß ausgestalteten Authentifizierungsapplikation 160 auf dem Kommunikationsgerät empfangen werden und entschlüsselt werden können. Dies kann eine Option vorzugsweise für andere Systeme als Webseiten sein, z. B. wenn kein offensichtliches Authentifizierungsmodul angezeigt werden soll: z. B. in Datacentern, wo ein Ton generiert wird und ein Benutzer zuerst wissen muss, dass er die erfindungsgemäß ausgestaltete Authentifizierungsapplikation 160 auf seinem Kommunikationsgerät öffnen muss, um Zugriff zum System zu erlangen.
-
Das vorteilhafte Resultat im erfindungsgemäßen Verfahren der beschriebenen Ausgestaltungen ist also die Entwicklung eines innovativen Verfahrens, das auf der Verwendung von Schlüsseln, eines Drittgeräts (z. B. Handy) sowie anstatt von manuellem Benutzerinput auf Bilddaten, Tondaten, computerinternen Datensätzen oder durch elektromagnetische Wellen übertragenen Daten basiert, die automatisch vom Drittgerät interpretiert werden. Diese Elemente werden miteinander auf eine unikale, bisher nicht da gewesene Weise integriert, um die Sicherheit gegenüber herkömmlichen Verfahren z. B. im Internet drastisch zu erhöhen und den Benutzern eine einfachere Weise des Einloggens in z. B. Webportale oder der Authentifizierung von Transaktionen zu ermöglichen.
-
Die Erfindung verwendet vorzugsweise keine Benutzer/Passwort-Kombinationen mehr, somit muss sich der Benutzer nichts mehr merken. In einer erweiterten Ausgestaltung der Erfindung, beispielsweise für das Einloggen in extrem vertrauliche Systeme, kann dennoch ein zusätzliches Passwort im Sinne eines PIN definiert werden, das die Sicherheit nochmals deutlich erhöht.
-
Die Grundidee des erfindungsgemäßen Verfahrens in der vorstehend diskutierten Ausgestaltung basiert somit auf dem visuellen Scannen einer Grafik (z. B. Fotocode), dem Analysieren von Ton (Audio) oder anders kodierten Informationen und der späteren Verarbeitung der erhaltenen Daten auf Basis des unten beschriebenen Algorithmus.
-
Es wird betont, dass das oben beschriebene Nutzungsszenario zwar eine bevorzugte Ausgestaltung der Erfindung angibt, die Erfindung aber nicht hierauf beschränkt ist. Andere Szenarien fallen ebenfalls unter die Erfindung. Jede Kombination oder Unterkombination aller in jedweden in dieser Patentanmeldung beschriebenen Szenarien verwendeten Merkmale sind ebenfalls erfindungsgemäße Szenarien.
-
Authentifizierungsmechanismus gemäß einer Ausgestaltung der Erfindung
-
Im Folgenden wird ein Authentifizierungsmechanismus gemäß einer Ausgestaltung der Erfindung erläutert. Die nachfolgend beschriebenen Schritte entsprechen in ihrer Numerierung den umkreisten Zahlen der Richtungspfeile in den 1 und 2.
-
In Schritt 1 teilt der Benutzer 100 unter Benutzung von gegebenen Möglichkeiten dem System 110 mit, dass er den Zugang zu Diensten des Systems wünscht, also den Zugang zum System 110 (z. B. über den Aufruf einer Internetseite, Drücken des Login-Symbols des Systems, Bestätigung einer Zahlungsabsicht). Optional kann diese Mitteilung die Definition der gewünschten Kommunikationsart beinhalten. Beim Fehlen der Angabe der Kommunikationsart wird eine vom System 110 vorgegebene Standardkommunikationsart angenommen (z. B. Bild). Generell bezeichnet der Begriff Kommunikationsart die Art der Kommunikation des Systems 110 mit dem Kommunikationsgerät 140 (Bild, Ton, elektromagnetische Wellen, computerinterner Datensatz oder eine andere Art der Repräsentation von Informationen).
-
In Schritt 2 erstellt das System 110 eine Sitzungs-ID und sendet diese an den Authentifizierungsserver 120 zusammen mit der Angabe der Kommunikationsart. Eine Sitzungs-ID ist eine unikale ID, also ein Identifikationsmerkmal, mit dem mehrere zusammengehörige Anfragen des Benutzers 100 an das System 110 erkannt und einer Sitzung zugeordnet werden können. Eine Sitzung ist eine (beispielsweise stehende) Verbindung des Benutzers 100 zum System 110.
-
In Schritt 3 generiert der Authentifizierungsserver 120 eine Transaktions-ID, kodiert diese entsprechend der Kommunikationsart (also im Falle eines Bildes z. B. als Fotocode) und sendet sie zusammen mit der erhaltenen Sitzungs-ID an das System 110. Eine Transaktions-ID ist ein unikales Identifikationsmerkmal eines Vorgangs mit definierter Gültigkeitsdauer und kann neben der eigentlichen Kennung zur Identifizierung der entsprechenden Transaktion auch andere Daten enthalten. Die Transaktions-ID kann dabei die vom Benutzer gewünschten Dienste identifizieren.
-
In Schritt 4 übermittelt das System 110 die erhaltene kodierte Transaktions-ID auf das durch die Kommunikationsart bestimmte, dem Benutzer 100 über das Kommunikationsgerät 140 zugängliche Medium 130.
-
In Schritt 5 empfängt der Empfänger 150 die kodierte Transaktions-ID (z. B. den Fotocode) und übermittelt sie an eine interne Authentifizierungsapplikation 160.
-
In Schritt 6 wandelt die Authentifizierungsapplikation 160 die kodierte Transaktions-ID in Klartext um (Klartext-Transaktions-ID). Beispielsweise wird ein Fotocode in Klartext umgewandelt.
-
In Schritt 7 erstellt die Authentifizierungsapplikation 160 eine Authentifizierungsanfrage, welche die Klartext-Transaktions-ID, die Benutzer-ID und das zu diesem Zeitpunkt optional durch den Authentifizierungsserver 120 geforderte, vom Benutzer 100 eingegebene Passwort enthält.
-
In Schritt 8 verschlüsselt die Authentifizierungsapplikation 160 die Authentifizierungsanfrage mit dem öffentlichen Schlüssel des Authentifizierungsservers 120 und sendet diese an den Authentifizierungsserver 120.
-
In Schritt 9 muss der Authentifizierungsserver 120 nun prüfen, ob die Authentifizierungsanfrage tatsächlich vom Benutzer 100 mit dieser Benutzer-ID stammt. Der Authentifizierungsserver 120 entschlüsselt somit zuerst die Authentifizierungsanfrage mit Hilfe des privaten Schlüssels des Authentifizierungsservers 120 und generiert eine erste Nachricht, bestehend aus einem (vorzugsweise zufällig) generierten Datenkern und optionalen für die Authentifizierungsapplikation 160 vorgesehenen Hilfsdaten. Die erste Nachricht wird mit dem öffentlichen Schlüssel des Benutzers 100, der zur erhaltenen Benutzer-ID gehört, verschlüsselt. Es entsteht eine erste verschlüsselte Nachricht, welche der Authentifizierungsserver 120 an diejenige Authentifizierungsapplikation 160 sendet, von der er die Authentifizierungsanfrage erhalten hat.
-
In Schritt 10 entschlüsselt die Authentifizierungsapplikation 160 die erste verschlüsselte Nachricht mit Hilfe des privaten Schlüssels des Benutzers 100, wodurch eine zweite Nachricht entsteht. Die eventuell erhaltenen Hilfsdaten können durch die Authentifizierungsapplikation 160 für bestimmte Zwecke benutzt werden.
-
In Schritt 11 erzeugt die Authentifizierungsapplikation 160 eine dritte Nachricht, bestehend aus dem erhaltenen Datenkern und optionalen, dem Anwendungsfall angepassten kommunikationsgerätspezifischen Hilfsdaten, welche wiederum durch den Authentifizierungsserver 120 benutzt werden können.
-
In Schritt 12 verschlüsselt die Authentifizierungsapplikation 160 die dritte Nachricht mit dem öffentlichen Schlüssel des Authentifizierungsservers 120. Es entsteht eine dritte verschlüsselte Nachricht.
-
In Schritt 13 sendet die Authentifizierungsapplikation 160 die dritte verschlüsselte Nachricht an den Authentifizierungsserver 120.
-
In Schritt 14 entschlüsselt der Authentifizierungsserver 120 die dritte verschlüsselte Nachricht mit Hilfe des privaten Schlüssels des Authentifizierungsservers 120, wodurch eine vierte Nachricht entsteht. Die in der vierten Nachricht eventuell enthaltenen Hilfsdaten können durch den Authentifizierungsserver 120 für bestimmte Zwecke genutzt werden.
-
In Schritt 15 wird der in 3 gezeigte Prozess durchgeführt. Dabei sind die Schritte 320 und 330 optional. Der Authentifizierungsserver 120 vergleicht in Schritt 300 den Datenkern der ersten Nachricht mit dem Datenkern der vierten Nachricht. Falls in Schritt 310 festgestellt wird, dass der Datenkern der ersten Nachricht nicht gleich dem Datenkern der vierten Nachricht ist, dann ist die Authentifizierung negativ (Schritt 350). Falls jedoch der Datenkern der ersten Nachricht gleich dem Datenkern der vierten Nachricht ist, dann ist gemäß einer Ausführungsform (gestrichelte Linie in 3) die Authentifizierung positiv (Schritt 340).
-
In alternativen Ausführungsformen kann der Authentifizierungsserver 120 zusätzlich die Eingabe eines Passwortes verlangen, falls der Datenkern der ersten Nachricht gleich dem Datenkern der vierten Nachricht ist. Dann wird in Schritt 330 geprüft, ob das übersandte, vom Benutzer 100 eingegebene Passwort mit dem im Authentifizierungsserver 120 gespeicherten Passwort des Benutzers 100 übereinstimmt. Falls es nicht übereinstimmt, dann ist die Authentifizierung negativ (Schritt 350). Falls es jedoch übereinstimmt, dann ist die Authentifizierung positiv (Schritt 340). Ob der Authentifizierungsserver 120 zusätzlich die Eingabe eines Passwortes verlangt, hängt in Ausführungsformen der Erfindung von der Einstellung im Authentifizierungsserver 120 ab.
-
In wieder alternativen Ausführungsformen überprüft der Authentifizierungsserver 120, falls der Datenkern der ersten Nachricht gleich dem Datenkern der vierten Nachricht ist, ob zur Authentifizierung ein vom Benutzer 100 eingegebenes Passwort erforderlich ist (Schritt 320). Falls kein vom Benutzer 100 eingegebenes Passwort erforderlich ist, dann ist die Authentifizierung nach Durchführung des Schrittes 320 positiv (Schritt 340). Falls hingegen ein vom Benutzer 100 eingegebenes Passwort erforderlich ist, dann wird in Schritt 330 geprüft, ob das übersandte, vom Benutzer 100 eingegebene Passwort mit dem im Authentifizierungsserver 120 gespeicherten Passwort des Benutzers 100 übereinstimmt. Falls es nicht übereinstimmt, dann ist die Authentifizierung negativ (Schritt 350). Falls es jedoch übereinstimmt, dann ist die Authentifizierung positiv (Schritt 340).
-
In Schritt 16 sendet der Authentifizierungsserver 120 an das System 110 eine vom Resultat der Authentifizierung abhängige Nachricht. Falls die Authentifizierung negativ ist (Schritt 350), dann wird an das System 110 eine Fehlermeldung inklusive der am Anfang des Authentifizierungsprozesses vom System 110 erhaltenen Sitzungs-ID sowie eventuellen weiteren Daten gesendet. Die Authentifizierung des Benutzers 100 schlägt fehl. Falls jedoch die Authentifizierung positiv ist (Schritt 340), dann wird an das System 110 eine Nachricht mit der Sitzungs-ID und der Benutzer-ID gesendet. Die Authentifizierung ist erfolgreich.
-
Die Schritte 1 bis 4 können in Ausführungsformen der Erfindung weggelassen werden, in denen die auf dem Medium 130 darzustellenden Informationen nicht dynamisch durch die Ausführung der Schritte 1 bis 4 zu Stande kommen, sondern dort von vornherein definiert sind. Als Beispiel einer solchen Ausführungsform möchte ein Straßenverkäufer die Zahlung für drei zu verkaufende Artikel authentifizieren. Werden die Schritte 1 bis 4 ausgeführt, so stellt der Verkäufer beispielsweise diese Artikel auf einem Touchscreen dar. Der Kunde wählt dann den gewünschten Artikel (Schritt 1) und erhält einen Fotocode mit einer Transaktions-ID angezeigt. Mit seinem Handy führt er die Zahlung durch (Authentifizierung des Zahlungsvorgangs). Werden die Schritte 1 bis 4 hingegen nicht ausgeführt, so druckt der Verkäufer beispielsweise die Fotos der drei Artikel mit entsprechenden Fotocodes auf einem Blatt Papier aus (die Fotocodes beinhalten bereits vordefinierte Transaktions-IDs, mit welchen dann die Artikel voneinander unterschieden werden können). Somit muss der Kunde dem System seine Absicht, einen Dienst des Systems (hier Kaufen eines Artikels) nicht mehr explizit durch das Ausüben irgendwelcher Aktion mitteilen, sondern geht sofort zum Schritt 5 des Verfahrens über. Die Sitzungs-ID spielt bei diesem Szenario keine Rolle, weil der Zahlungsvorgang die einzige Aktion ist, und somit keine (stehende) Session eröffnet werden muss.
-
Des Weiteren ist dem Fachmann bewusst, dass in Ausführungsformen der Erfindung das Medium 130 und das Kommunikationsgerät 140 in einer Vorrichtung vereint sind. So kann beispielsweise ein Smartphone oder Tabletcomputer das Authentifizierungsverfahren der vorliegenden Erfindung durchführen. Hier übernimmt beispielsweise das Smartphone oder der Tabletcomputer die Funktionen des Kommunikationsgeräts 140 und des Mediums 130. In solchen Szenarien kann es ausreichend sein, die Transaktions-ID als Zeichenfolge zu verarbeiten (diese ID kann direkt aus dem Code der Webseite ausgelesen werden (Kommunikationsart: Datensatz)).
-
Außerdem ist dem Fachmann ersichtlich, dass die Erfindung ebenfalls bei der Authentifizierung von Zahlungsvorgängen verwendet werden kann (z. B. via Internet mit Hilfe eines Mobiltelefons). In einer solchen Ausführungsform entspricht der Schritt 340 beispielsweise einer Zahlungsbestätigung und der Schritt 350 einer Zahlungsverweigerung.
-
Während die Erfindung unter Bezugnahme auf die physikalischen Ausgestaltungen, die in Übereinstimmung damit konstruiert worden sind, beschrieben worden ist, wird Fachleuten ersichtlich sein, dass verschiedene Modifikationen, Variationen und Verbesserungen der vorliegenden Erfindung im Lichte der obigen Lehren und innerhalb des Umfangs der beigefügten Ansprüche gemacht werden können, ohne von der Idee und dem beabsichtigen Umfang der Erfindung abzuweichen. Zusätzlich sind solche Bereiche, in denen davon ausgegangen wird, dass sich Fachleute auskennen, hier nicht beschrieben worden, um die hier beschriebene Erfindung nicht unnötig zu verschleiern. Es ist demgemäß zu verstehen, dass die Erfindung nicht durch die spezifisch verdeutlichten Ausgestaltungen, sondern nur durch den Umfang der beigefügten Ansprüche beschränkt wird.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- US 2003/172272 A1 [0006]
- EP 1058872 A1 [0007]
- EP 1253500 A1 [0008]
- DE 102009040477 A1 [0009]
- US 2009/300744 A1 [0010]
- US 2010/058064 A1 [0011]
- KR 20080093431 A [0012]
- US 2010/135491 A1 [0013]
- KR 100824743 B1 [0014]