EP2266292A1 - Method for access control for a configuration access to a device and device comprising an access control for a configuration access - Google Patents

Method for access control for a configuration access to a device and device comprising an access control for a configuration access

Info

Publication number
EP2266292A1
EP2266292A1 EP08735357A EP08735357A EP2266292A1 EP 2266292 A1 EP2266292 A1 EP 2266292A1 EP 08735357 A EP08735357 A EP 08735357A EP 08735357 A EP08735357 A EP 08735357A EP 2266292 A1 EP2266292 A1 EP 2266292A1
Authority
EP
European Patent Office
Prior art keywords
access
configuration
access control
configuration access
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP08735357A
Other languages
German (de)
French (fr)
Inventor
Anton Kruk
Volker Mösker
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gigaset Communications GmbH
Original Assignee
Gigaset Communications GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gigaset Communications GmbH filed Critical Gigaset Communications GmbH
Publication of EP2266292A1 publication Critical patent/EP2266292A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0492Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The invention relates to a method for access control for a configuration access (UI) to a device (G), wherein access is provided to the configuration access (UI) by way of a first data connection (LAN), and wherein the configuration access (UI) is protected by at least one primary access control device. In the process, access is provided to the device (G) by way of a second access prior to the use of the configuration access (UI), wherein the configuration access (UI) is released following said second access for a pre-defined time period and after expiration of said time period is blocked again.

Description

Beschreibungdescription
Verfahren zur Zugriffskontrolle für einen Konfigurierungs- Zugang eines Gerätes und Gerät mit einer Zugriffskontrolle für einen Konfigurierungs-ZugangMethod for access control for a configuration access of a device and device with access control for a configuration access
Die Erfindung betrifft ein Verfahren zur Zugriffskontrolle für einen Konfigurierungs -Zugang eines Gerätes gemäß dem Oberbegriff des Patentanspruchs 1, und ein Gerät mit einerThe invention relates to a method for access control for a configuration access of a device according to the preamble of patent claim 1, and a device with a
Zugriffskontrolle für einen Konfigurierungs-Zugang gemäß dem Oberbegriff des Patentanspruchs 11.Access control for a configuration access according to the preamble of claim 11.
Nahezu alle Geräte der Datentechnik und der Kommunikations- technik sowie viele Geräte anderer technischer Gebiete benötigen für ihren Betrieb Informationen (Parameter) , die zumindest vor dem ersten Einsatz eines Gerätes konfiguriert werden müssen und in den meisten Fällen von Zeit zu Zeit geändert oder angepasst werden müssen. Die Eingabe oder An- passung dieser Betriebsparameter und Informationen wird oft als "Konfiguration" oder "Administration" bezeichnet. Dabei besitzen viele Geräte eine Benutzeroberfläche in Form einer Anzeigeeinrichtung und einer Tastatur oder ähnlichem, über die ein Benutzer die entsprechenden Eingaben tätigen bzw. Pa- rameter verändern kann. Da insbesondere Geräte der Datentechnik und der Kommunikationstechnik regelmäßig an Daten- und/oder Kommunikationsnetzwerken angeschlossen sind, bietet es sich an, die Möglichkeiten eines Fernzugriffs zu nutzen, so dass viele Geräte über vorhandene Daten- oder Kommunika- tionsnetzwerke von einem beliebigen Ort aus konfiguriert werden können. Dazu werden heutzutage regelmäßig sog. "Webbasierte Benutzerschnittstellen" („ W-UI 's") verwendet, wobei das Gerät zumindest in Grundzügen die Funktionalität eines Web-Servers umfasst, um auf einem sog. "Web-Browser" eines anderen Gerätes (Computer, PDA o.a.) eine entsprechende graphische oder textbasierte Benutzeroberfläche darzustellen. Mittels dieser entfernt dargestellten Benutzeroberfläche kann ein Benutzer dann die Konfigurierung vornehmen. Insbesondere in den Fällen, in denen ein Web-basierter Kon- figurierungs- Zugang nach der geschilderten Art verwendet wird, steht dem Vorteil, von einem beliebigen anderen Ge- rät/Computer des Datennetzwerkes aus die Konfigurierung vornehmen zu können, der Nachteil gegenüber, das von jeder beliebigen Stelle in dem Datennetzwerk aus der Konfigurierungs- Zugang auch missbräuchlich verwendet werden kann. Insbesondere in den Fällen, in denen die Konfigurierung über das Inter- net erfolgen kann, besteht eine hohe Gefahr des Missbrauchs. Solche Vorgänge werden oftmals mit dem Begriff "Hacking" beschrieben. Zur Abhilfe ist es gebräuchlich, den Konfigurie- rungs- Zugang mit einer Zugriffskontrolleinrichtung zu versehen, welche in der Regel aus einer vorgeschalteten Web-Site besteht, welche den Benutzer auffordert, sich mittels einer Eingabe einer Benutzerkennung, eines Passwortes, einer PIN o.a. zu authentifizieren. Dem steht jedoch die Möglichkeit der "Angreifer" gegenüber, diese Zugriffskontrolle mittels automatisierter Angriffe und anderer "Hilfsmittel" zu umge- hen. Zur weiteren Absicherung von Konfigurierungs- Zugängen werden daher die Geräte meist nicht direkt mit dem Internet verbunden, sondern in lokalen Datennetzen betrieben, welche nur mittels einer sog. "Firewall" mit dem Internet verbunden sind. Durch die "Firewall" wird dabei sowohl die lokale Ad- ressierung von Geräten zum Internet hin "verschleiert", als auch viele lokal genutzte "Ports" zum Internet hin gesperrt, so dass ein Angriff auch auf die Konfigurierungs -Zugänge von Geräten erschwert wird. Dennoch sind Angriffe auf die Konfi- gurierungs- Zugänge auch in diesen Fällen nicht völlig ausge- schlössen, weil in vielen Fällen Firewalls durch lokal installierte Schadsoftware, beispielsweise sog. "Trojaner" oder "Key-Logger", ihre Wirksamkeit einbüßen können.Almost all devices of data technology and communication technology as well as many devices of other technical fields require information (parameters) for their operation, which must be configured at least before the first use of a device and in most cases have to be changed or adapted from time to time , The input or adaptation of these operating parameters and information is often referred to as "configuration" or "administration". In this case, many devices have a user interface in the form of a display device and a keyboard or the like, via which a user can make the corresponding inputs or change parameters. Since, in particular, devices of data technology and communication technology are regularly connected to data and / or communication networks, it makes sense to use the possibilities of remote access, so that many devices are configured via existing data or communication networks from any location can. For this purpose, so-called "Web-based user interfaces"("W-UI's") are regularly used today, wherein the device comprises, at least in outline, the functionality of a web server in order to access a so-called "web browser" of another device (computer , PDA or the like) to display a corresponding graphical or text-based user interface With the aid of this remote user interface, a user can then carry out the configuration. In particular, in cases in which a web-based configuration access is used in the manner described above, the advantage of being able to configure it from any other device / computer of the data network is the disadvantage compared with that from any point in the data network from the configuration access can also be misused. Particularly in cases where the configuration can be made via the Internet, there is a high risk of misuse. Such processes are often described by the term "hacking". As a remedy, it is customary to provide the configuration access with an access control device, which as a rule consists of an upstream web site which prompts the user to authenticate himself by means of an input of a user identifier, a password, a PIN , However, this is offset by the ability of the "attackers" to circumvent this access control by means of automated attacks and other "tools". To further secure configuration accesses, therefore, the devices are usually not connected directly to the Internet, but operated in local data networks, which are connected only by means of a so-called. "Firewall" to the Internet. The "firewall""obfuscates" both the local ad- dressing of devices to the Internet and also blocks many locally used "ports" to the Internet, so that an attack on the configuration accesses of devices is also made more difficult. Nevertheless, attacks on the configuration accesses are not completely ruled out even in these cases, because in many cases firewalls can lose their effectiveness due to locally installed malware, for example so-called "Trojans" or "key loggers".
Es ist also eine Aufgabe der vorliegenden Erfindung, die Si- cherung eines Konfigurierungs-Zuganges eines Gerätes gegen missbräuchlichen Zugriff zu verbessern. Die Aufgabe wird durch ein Verfahren gemäß dem Patentanspruch 1 und durch ein Gerät gemäß dem Patentanspruch 11 gelöst .It is therefore an object of the present invention to improve the security of a configuration access of a device against abusive access. The object is achieved by a method according to the patent claim 1 and by a device according to the patent claim 11.
Dabei ist es eine Kernidee der vorliegenden Erfindung, neben den vorhandenen Zugriffsbeschränkungen mittels Kennwörtern, PINs o.a. den Konfigurierungs- Zugang nur dann (zeitlich begrenzt) freizugeben, wenn tatsächlich auch ein (autorisierter) Zugriff erfolgen soll. Es soll dadurch durch den Benutzer oder eine von ihm beauftragte Person der Konfigu- rierungs- Zugang nur im Bedarfsfall für eine kurze Zeit freigegeben werden.It is a core idea of the present invention, in addition to the existing access restrictions using passwords, PINs o.a. to release the configuration access (limited in time) only if an (authorized) access is actually to be made. The configuration access should only be released by the user or a person commissioned by him for a short time if necessary.
Die Lösung der Aufgabe sieht dabei insbesondere ein Verfahren zur Zugriffskontrolle für einen Konfigurierungs-Zugang eines Gerätes vor, bei dem auf den Konfigurierungs -Zugang über eine erste Datenverbindung zugegriffen wird, und bei dem der Kon- figurierungs- Zugang mit zumindest einer primären Zugriffskontrolleinrichtung geschützt ist. Dabei wird auf das Gerät vor einer Nutzung des Konfigurierungs-Zugangs mittels eines zwei- ten Zugangs zugegriffen, wobei der Konfigurierungs -Zugang nach diesem Zugriff freigegeben wird. Dieses Verfahren hat den Vorteil, dass der Konfigurierungs -Zugang vor dem Zugriff kein Ziel für einen missbräuchlichen Angriff bilden kann, wobei nur durch einen tatsächlich autorisierten Benutzer ein Zugriff erfolgen soll.In particular, the object solution provides a method for access control for a configuration access of a device in which the configuration access is accessed via a first data connection and in which the configuration access is protected by at least one primary access control device , In this case, the device is accessed by means of a second access before using the configuration access, the configuration access being released after this access. This method has the advantage that the pre-accession configuration access can not be a target for an abusive attack, with only an actual authorized user accessing it.
Die Lösung der Aufgabe sieht weiterhin ein Gerät mit einer Zugriffskontrolle für einen Konfigurierungs -Zugang vor, wobei der Konfigurierungs -Zugang über eine erste Datenverbindung zugreifbar ist, und wobei der Konfigurierungs-Zugang mittels zumindest einer primären Zugriffskontrolleinrichtung geschützt ist. Dabei ist das Gerät mit einem zweiten Zugang ausgestattet, wobei dieser zweite Zugang unabhängig von der ersten Datenverbindung ist. Der Konfigurierungs -Zugang ist dabei erst nach einem Zugriff auf den zweiten Zugang zur Benutzung freigegeben Durch dieses Gerät kann das vorstehend beschriebene Verfahren ausgeführt werden, wodurch die dort beschriebenen Verbesserungen hinsichtlich der Absicherung gegen missbräuchlichen Zugriff realisiert werden.The solution of the problem further provides a device with access control for a configuration access, wherein the configuration access is accessible via a first data connection, and wherein the configuration access is protected by means of at least one primary access control device. The device is equipped with a second access, this second access being independent of the first data connection. The configuration access is only released after access to the second access for use by this device, the method described above can be performed, whereby the there Improvements regarding the protection against abusive access described above can be realized.
Vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens sind in den abhängigen Patentansprüchen 2 bis 10 angegeben; vorteilhafte Ausgestaltungen des erfindungsgemäßen Gerätes sind in den abhängigen Patentansprüchen 12 und 16 angegeben. Die in den abhängigen Patentansprüchen zu dem Verfahren angegebenen Merkmale und Vorteile gelten sinngemäß auch für das erfindungsgemäße Gerät; umgekehrt gelten die Merkmale undAdvantageous embodiments of the method according to the invention are specified in the dependent claims 2 to 10; advantageous embodiments of the device according to the invention are specified in the dependent claims 12 and 16. The features and advantages specified in the dependent claims for the method apply mutatis mutandis to the device according to the invention; conversely, the features and apply
Vorteile der vorteilhaften Ausgestaltungen des erfindungsgemäßen Gerätes analog auch für das erfindungsgemäße Verfahren.Advantages of the advantageous embodiments of the device according to the invention also analogous to the inventive method.
Es ist besonders vorteilhaft, wenn der Konfigurierungs- Zugang nur für eine vorbestimmte Zeitspanne freigegeben und nach Ablauf dieser Zeitspanne wieder gesperrt wird. Dadurch entfällt die sonst notwendige manuelle Sperre des Konfigurierungs- Zugangs durch den Benutzer am Ende seiner Konfigurierungs- Sitzung. Durch die derart eingeschränkte Zugriffs-Zeit wird die Gefahr, die darin liegt, dass ein Benutzer die erneute Aktivierung der Sperre beispielsweise vergisst oder sogar vorsätzlich unterlässt, gebannt, und außerdem wird das Risiko eines erfolgreichen missbräuchlichen Angriffs umso mehr verringert, je kürzer die (vorkonfigurierte) Zeitspanne ist, während der der Konfigurierungs-Zugang freigegeben ist. Dabei ist das Zeitglied vorteilhaft derart eingerichtet, dass dieses nur durch einen authorisierten Zugriff auf den zweiten Zugang gestartet wird, wozu eine entsprechende Zugriffskontrolle vorgesehen werden kann.It is particularly advantageous if the configuration access is enabled only for a predetermined period of time and locked again after this period of time. This eliminates the otherwise necessary manual lock on user configuration access at the end of its configuration session. The thus limited access time eliminates the risk that a user forgets or even deliberately omits the re-activation of the lock, and the shorter the (preconfigured) risk of successful abusive attack ) Period of time during which the configuration access is enabled. In this case, the timer is advantageously set up so that it is started only by an authorized access to the second access, for which a corresponding access control can be provided.
Es hat sich weiterhin als besonders vorteilhaft herausgestellt, wenn als der zweite Zugang ein lokaler Zugang an dem Gerät verwendet wird. Dabei wird davon ausgegangen, dass sich in der Nähe des Gerätes vorzugsweise dessen Benutzer bzw. von diesem autorisierte Personen aufhalten, so dass ein miss- bräuchlicher Zugriff auf den zweiten Zugang oft ausgeschlossen werden kann. Dabei eignet sich vorteilhaft als zweiter Zugang eine an dem Gerät befindliche oder mit dem Gerät ver- bundene Schalteinrichtung oder Eingabeeinrichtung, beispielsweise in Form eines TastSchalters oder in Form einer Funktion, die an einer lokal an dem Gerät befindlichen Benutzeroberfläche aktiviert wird.It has also been found to be particularly advantageous if local access to the device is used as the second access. In so doing, it is assumed that the user or persons authorized by the latter preferably stay in the vicinity of the device, so that improper access to the second access can often be ruled out. In this case, advantageously, the second access is a device located on the device or connected to the device. Tied switching device or input device, for example in the form of a key switch or in the form of a function that is activated at a locally located on the device user interface.
Bei einem Fernzugriff kann es sich jedoch auch als vorteilhaft erweisen, wenn als der zweite Zugang eine von der ersten Datenverbindung unabhängige zweite Verbindung, z.B. Datenverbindung, verwendet wird. In diesem Fall müsste für einen missbräuchlichen Zugriff sowohl ein missbräuchlicherHowever, remote access may also prove advantageous if, as the second access, a second connection independent of the first data connection, e.g. Data connection is used. In this case would have for abusive access both an abusive
Zugriff auf den Konfigurierungs- Zugang erfolgen, als auch ein missbräuchlicher Zugriff auf den zweiten Zugang, wodurch einem potentiellen Angreifer ein Angriff erheblich erschwert wird.Access to the configuration access, as well as an abusive access to the second access, which makes a potential attacker a challenge much more difficult.
Eine häufig benutzte Möglichkeit zur Konfigurierung eines Gerätes kann verwendet werden, wenn als der Konfigurierungs-Zugang eine Web-basierte Benutzeroberfläche verwendet wird. Dabei werden vorteilhaft als primäre Zugriffskontrollein- richtung eine benutzerindividuelle Benutzerkennungs -Abfrage und/oder eine Passwortabfrage und/oder eine PIN-Abfrage eingesetzt. Zur weiteren Verbesserung der Sicherheit ist es möglich, dass das Gerät beim Zugriff auf den zweiten Zugang einen vorzugsweise begrenzt gültigen Quittierungscode ausgibt, der bei der nächsten Konfigurierungs-Sitzung zur Nutzung des Konfigurierungs -Zugangs als Teil der primären Zugriffskontrolleinrichtung eingegeben werden muss.A frequently used way to configure a device can be used if the configuration access is a web-based user interface. Advantageously, a user-specific user-recognition query and / or a password query and / or a PIN query are used as the primary access control device. To further enhance security, it is possible for the device, upon access to the second access, to issue a preferably limited valid acknowledgment code which must be entered at the next configuration session to use the configuration access as part of the primary access control device.
Das Verfahren eignet sich besonders, wenn als das Gerät eine Basisstation für eine mobile Kommunikationsanordnung, beispielsweise eine Basisstation für ein DECT-Telefonsystem oder für ein WLAN-Computernetzwerk, verwendet wird. Dabei wird vorteilhaft für den zweiten Zugang ein an der Basisstation bereits betriebenes (angemeldetes) Gerät verwendet. Somit er- folgt im Falle mobiler Geräte der Zugriff auf den zweiten Zugang über eine Funkschnittstelle (Luftschnittstelle) , während als erste Datenverbindung ein (z.B. schnurgebundener) Netz- werkanschluss zu einem lokalen Datennetzwerk (LAN) verwendet wird.The method is particularly useful when the device uses a base station for a mobile communication device, such as a base station for a DECT telephone system or for a WLAN computer network. It is advantageous for the second access at the base station already operated (registered) device used. Thus, in the case of mobile devices, access to the second access takes place via a radio interface (air interface), while the first data connection is a (eg, corded) network. to a local data network (LAN).
Je nach Sicherheitsbedürfnis kann entweder verlangt werden, dass die gesamte Konfigurierungs-Sitzung innerhalb des Zeitablaufs der Zeitspanne (Zeitglied) durchgeführt werden muss, oder aber, dass innerhalb der Zeitspanne erfolgreich zumindest die primäre Zugriffskontrolleinrichtung bedient werden muss. Insbesondere im ersteren Fall kann es vorteilhaft sein, wenn der Ablauf der Zeitspanne nach dem Zugriff auf den zweiten Zugang während der Nutzung des Konfigurierungs- Zugangs gehemmt wird, oder mit jedem erneuten Zugriff auf den Konfigurierungs -Zugang zurückgesetzt wird. In diesem Fall kann eine Konfigurierungs-Sitzung prinzipiell beliebig lange dauern, wird aber automatisch beendet, wenn innerhalb einer vorbestimmten Zeitspanne keine weiteren Eingaben an dem Kon- figurierungs -Zugang erfolgen.Depending on the security requirement, it may be required either that the entire configuration session must be carried out within the time interval (timer), or that at least the primary access control device must be successfully operated within the time span. Particularly in the former case, it may be advantageous if the expiration of the time period after the access to the second access is inhibited during the use of the configuration access, or is reset with each new access to the configuration access. In this case, a configuration session can, in principle, take any length of time, but is terminated automatically if no further entries are made to the configuration access within a predetermined period of time.
Zu einer weiteren Verbesserung der Sicherheit kann auch der zweite Zugang mittels weiterer Mittel für eine Zugriffskontrolle geschützt werden; im Fall eines an dem Gerät angebrachten Schalters oder mit diesem verbundenen Schalters können dies auch mechanische Mittel sein, beispielsweise Schlüsselschalter o.a., anderenfalls sind auch hier PIN-Abfragen, Smartcard-Lesegeräte, Fingerabdrucksensoren o.a. einsetzbar.To further improve security, the second access can also be protected by means of access control; in the case of a switch attached to the device or a switch connected thereto, these may also be mechanical means, for example key switches or the like; otherwise, PIN requests, smart card readers, fingerprint sensors or the like are also used here. used.
Ausführungsbeispiele des erfindungsgemäßen Verfahrens werden nachfolgend anhand der Zeichnung erläutert. Sie dienen gleichzeitig der Erläuterung von Ausführungsbeispielen für ein erfindungsgemäßes Gerät.Embodiments of the method according to the invention are explained below with reference to the drawing. They also serve to explain embodiments of an inventive device.
Dabei zeigt die einzige Figur in schematischer Darstellung eine Anordnung aus einem Gerät, einem Datennetzwerk, einer "Firewall" und mehreren Computern.The single figure shows a schematic representation of an arrangement of a device, a data network, a "firewall" and multiple computers.
In der Figur ist als das Gerät G eine DECT-Basisstation (DECT = Digital Enhanced Cordless Telephone) dargestellt, die als Basisstation für das Mobilteil MT (schnurloses DECT-Telefon) eingesetzt ist. Das Gerät G ist mit dem öffentlichen Kommunikationsnetzwerk ÖN (öffentliches ISDN-Telefonnetzwerk) und dem lokalen Datennetzwerk LAN verbunden. Das lokale Datennetzwerk LAN ist über einen Router mit einer Firewall FW mit einem öffentlichen Datennetzwerk DN, nämlich dem Internet, verbunden. Während in dem lokalen Datennetzwerk LAN ein erstes Datenverarbeitungsgerät PCl (Personal Computer) angeordnet ist, ist das zweite Datenverarbeitungsgerät PC2 Bestandteil des öffentlichen Datennetzwerkes DN. Die Firewall FW umfasst weiter eine Umsetzungseinrichtung zwischen lokalen und globalen Internet -Adressen, eine sogenannte NAT-Engine (NAT = Network adress translation) . Anstelle der hier dargestellten Basisstation als Gerät G kann auch ein anderes zu konfigurierendes Gerät G betrachtet werden, ohne prinzipiell das im Folgenden geschilderte Verfahren ändern zu müssen, insbesondere ein Router, WLAN-Router, Gateway, o.a..In the figure, as the device G, a DECT base station (DECT = Digital Enhanced Cordless Telephone) is shown, which serves as a base station for the mobile part MT (cordless DECT telephone) is used. The device G is connected to the public communication network ÖN (public ISDN telephone network) and the local data network LAN. The local data network LAN is connected via a router with a firewall FW to a public data network DN, namely the Internet. While in the local data network LAN a first data processing device PCl (personal computer) is arranged, the second data processing device PC2 is part of the public data network DN. The firewall FW further comprises a conversion device between local and global Internet addresses, a so-called NAT engine (NAT = Network Address Translation). Instead of the base station shown here as a device G, another device to be configured G can be considered without having to change in principle the method described below, in particular a router, wireless router, gateway, or the like.
Im Folgenden wird anhand der Figur die Konfiguration des Gerätes G mittels eines auf dem Datenverarbeitungsgerät PCl in- stallierten Web-Browsers erläutert. Dazu gibt ein Benutzer in die Adresszeile des Web-Browsers an den Datenverarbeitungs- gerät PCl die lokale Netzwerkadresse (IP-Adresse, URL, URI) des Gerätes G ein, wodurch das User-Interface UI des Gerätes G veranlasst wird, über einen integrierten Web-Server eine Zugangsseite für den Konfigurierungs- Zugang über das lokale Datennetzwerk LAN zu dem Datenverarbeitungsgerät PCl zu übertragen und dort mittels des Browsers darzustellen. Diese erste Zugangsseite enthält eine Information darüber, dass der Konfigurierungs -Zugang derzeit gesperrt ist und keine weite- ren Eingaben möglich sind. Nun greift der Benutzer auf einen zweiten Zugang des Gerätes G zu, nämlich auf die Taste T, wonach die erste Zugangsseite des Konfigurierungs -Zugangs aktualisiert und über das lokale Datennetzwerk LAN als erste Datenverbindung zu dem Browser des Datenverarbeitungsgerätes PCl übertragen wird. Dies kann entweder durch einen seitens des Gerätes G ausgelösten „Refresh" der Darstellung der ersten Zugangsseite erfolgen, oder aber durch ein erneutes Aufrufen der Netzwerkadresse des Gerätes G durch den Benutzer des Datenverarbeitungsgerätes PCl. Selbstverständlich kann der Benutzer die Taste auch vor dem Zugriff auf den Konfigu- rierungs- Zugang bestätigen, dann entfällt die Ausgabe der "Gesperrt" -Information und der Konfigurierungs- Zugang kann nach dem Passieren der primären Zugriffskontrolleinrichtung genutzt werden..The configuration of the device G by means of a web browser installed on the data processing device PC1 will be explained below with reference to the figure. For this purpose, a user enters into the address bar of the web browser to the data processing device PCl the local network address (IP address, URL, URI) of the device G, whereby the user interface UI of the device G is initiated via an integrated web Server to transfer an access page for the configuration access via the local data network LAN to the data processing device PCl and display there by means of the browser. This first access page contains information that the configuration access is currently blocked and no further entries are possible. Now the user accesses a second access of the device G, namely the T key, after which the first access page of the configuration access is updated and transmitted via the local data network LAN as the first data connection to the browser of the data processing device PC1. This can be done either by a triggered by the device G "refresh" the presentation of the first access page, or by re-calling the network address of the device G by the user of the data processing device PCl. Of course, the user can also confirm the key prior to accessing the configuration access, then omit the issue of the "locked" information and the configuration access can be used after passing through the primary access control device.
Durch das Drücken der Taste T, also dem Zugriff auf diesen zweiten Zugang, wird gleichzeitig mit der Übertragung der ak- tualisierten Zugangsseite ein Zeitglied ZG des Gerätes G gestartet, welches im vorliegenden Ausführungsbeispiel mit 120 Sekunden vorbelegt wird. Somit hat ein Benutzer des Datenverarbeitungsgerätes PCl oder eines anderen Datenverarbeitungsgerätes PC2 120 Sekunden lang Zeit, eine Konfigurie- rungs-Sitzung über eine erste Datenverbindung, die hier über das lokale Datennetzwerk LAN verläuft, zu beginnen. Der Benutzer des Datenverarbeitungsgerätes PCl wird nun auf einer zweiten Zugangsseite mit einer primären Zugriffskontrolleinrichtung konfrontiert, die in der Eingabe einer gül- tigen Kombination aus einem Benutzernamen und einem Kennwort besteht; diese Angaben sind entweder herstellerseitig in dem Gerät G vorgegeben, oder aber in einer vorhergehenden Konfi- gurierungs-Sitzung entsprechend in das Gerät G eingespeichert oder dort geändert worden. Nach einer erfolgreichen Authenti- fizierung gegenüber der primären Zugriffskontrolleinrichtung, also nach Übermittlung einer korrekten Kombination aus Zu- gangskennung und Passwort von dem Browser zu dem User- Interface UI des Gerätes G, steht dem Benutzer nun ein Zugriff Geräteparameter o.a. zur Verfügung. Dabei wird im vorliegenden Ausführungsbeispiel mit jedem Zugriff auf einen der Parameter das Zeitglied ZG erneut gestartet, so dass nur in den Fällen, in denen länger als 120 Sekunden keine weiteren Eingaben des Benutzers erfolgen, die Konfigurierungs- Sitzung seitens des Gerätes G zwangsweise beendet wird. Al- ternativ kann auch mittels des Zeitgliedes ZG die maximaleBy pressing the key T, ie the access to this second access, a timer ZG of the device G is started simultaneously with the transmission of the updated access page, which is pre-assigned with 120 seconds in the present exemplary embodiment. Thus, a user of the data processing device PC1 or another data processing device PC2 has 120 seconds to start a configuration session via a first data connection, which runs here via the local data network LAN. The user of the data processing device PC1 is now confronted on a second access page with a primary access control device, which consists in entering a valid combination of a user name and a password; These details are either specified by the manufacturer in the device G, or else have been stored in the device G or changed accordingly in a preceding configuration session. After successful authentication to the primary access control device, ie after transmission of a correct combination of access code and password from the browser to the user interface UI of the device G, the user now has access to device parameters or the like. to disposal. In this case, the timer ZG is restarted in the present embodiment with each access to one of the parameters, so that only in cases where there are no further inputs of the user for more than 120 seconds, the configuration session by the device G is forcibly terminated. Alternatively, by means of the timer ZG, the maximum
Dauer der Konfigurierungs -Sitzung beschränkt werden, so dass nach Ablauf des Zeitgliedes ZG eine erneute Authentifizierung und gegebenenfalls auch ein erneuter Zugriff auf den zweiten Zugang notwendig wird.Restricted duration of the configuration session, so that after expiration of the timer ZG a re-authentication and possibly also a renewed access to the second access becomes necessary.
Alternativ zu der Verwendung der Taste T als zweitem Zugang des Gerätes G kann auch ein Benutzer eine entsprechende Menü- Funktion des an dem Gerät G angemeldeten Mobilteiles MT oder einem anderen angeschlossenen Gerät aufrufen. Im ersten Fall besteht der zweite Zugang aus einer entsprechenden Prozedur, die zu einer entsprechenden Aussendung einer Befehlsfolge von dem Mobilteil MT über eine Luftschnittstelle (Funkstrecke) zu der Antenne ANT des Gerätes G erfolgt, wobei in der weiteren Folge nach Auswertung der Befehlsfolge das Zeitglied ZG gestartet wird.Alternatively to the use of the key T as the second access of the device G, a user can also call up a corresponding menu function of the handset MT registered on the device G or another connected device. In the first case, the second access from a corresponding procedure, which takes place for a corresponding transmission of a command sequence from the handset MT via an air interface (radio link) to the antenna ANT of the device G, wherein in the further sequence after evaluation of the command sequence, the timer ZG is started.
Selbstverständlich kann auch das Datenverarbeitungsgerät PC2 in einem alternativen Ausführungsbeispiel für eine Konfigurierungs-Sitzung verwendet werden,- dabei sei angenommen, dass sich das Datenverarbeitungsgerät PC2 und somit dessen Benutzer nicht in unmittelbarer Nähe des Gerätes befinden und so- mit ein lokaler Zugriff, beispielsweise auf die Taste T als zweitem Zugang nicht möglich ist. Selbstverständlich könnte ein solcher Benutzer mittels eines Telefonanrufes o.a. eine in der Nähe des Gerätes G befindliche Person bitten, die Taste T zu betätigen. Alternativ kann jedoch der Benutzer des Datenverarbeitungsgerätes PC2 eine Email-Nachricht an einen dem Gerät G zugeordneten Email-Account versenden, wobei diese Email -Nachricht dann eine spezielle Kennung (Kennwort) für den Start des Zeitgliedes ZG enthält. Eine solche Email- Nachricht wird dann durch einen in dem Gerät G befindlichen Email-Client empfangen, ausgewertet und bei positiver Auswertung der in der Email-Nachricht enthaltenen Kennung für den Start des Zeitgliedes ZG zum Anlass genommen. In einem solchen Fall besteht der zweite Zugang dann in der Verwendung einer Email -Nachricht bzw. den für den Empfang und die Aus- wertung einer solchen Nachricht benötigten Einrichtungen, wobei zwar für die Übertragung der Email -Nachricht dasselbe Übertragungsmedium, nämlich das lokale Datennetzwerk LAN, verwendet wird, aber darin eine andere Datenverbindung. Dabei müsste ein potentieller Angriff im Sinne eines missbräuchli- chen Zugriffs zwei logisch voneinander getrennte Angriffe, nämlich auf den Web-Server des Gerätes G und auf den Email- Client des Gerätes G, koordinieren, wodurch die Wahrschein- lichkeit eines Erfolges eines solchen Angriffs sinkt. Ein Angriff auf den Konfigurierungszugang und damit allein auf die primäre Zugriffskontrolleinrichtung ist dagegen nur dann möglich, wenn „zufällig" zum fraglichen Zeitpunkt der Konfigu- rierungs- Zugang durch einen vorhergehenden Zugriff auf den zweiten Zugang „geöffnet" wurde, was jedoch ein nur schwer vorhersehbares Ereignis darstellt.Of course, the data processing device PC2 can be used in an alternative embodiment for a configuration session, - it is assumed that the data processing device PC2 and thus its users are not in the immediate vicinity of the device and thus with a local access, for example to the Key T as second access is not possible. Of course, such a user could ask by means of a telephone call or a person located near the device G to operate the T key. Alternatively, however, the user of the data processing device PC2 can send an e-mail message to an e-mail account assigned to the device G, this e-mail message then containing a special identifier (password) for the start of the timer ZG. Such an e-mail message is then received by an E-client located in the device G, evaluated and taken as a reason for positive evaluation of the identifier contained in the e-mail message for the start of the timer ZG. In such a case, the second access then consists in the use of an e-mail message or the facilities required for the reception and evaluation of such a message, although for the transmission of the e-mail message the same transmission medium, namely the local data network LAN , but there is another data connection in it. there A potential attack in the sense of improper access would have to coordinate two logically separate attacks, namely on the web server of the device G and on the email client of the device G, whereby the likelihood of a success of such an attack is reduced. On the other hand, an attack on the configuration access and thus only on the primary access control device is only possible if "randomly" the configuration access was "opened" by a previous access to the second access, which however is difficult to predict Event represents.
Zu einer weiteren Verbesserung der Sicherheit kann in einem weiteren Ausführungsbeispiel nach Zugriff auf den zweiten Zu- gang an dem Gerät, ein beispielsweise mittels Zufallsgenerator erzeugter Quittierungscode ausgegeben werden, z.B. mittels eines an dem Gerät angebrachten Displays oder über eine Ausgabe auf einem Display des Mobilteils MT. Dieser Quittierungscode wird gleichzeitig innerhalb des Gerätes G zwischen- gespeichert, wobei ein Benutzer im Rahmen der Authentifizierung gegenüber der primären Zugriffskontrolle zusätzlich oder alternativ zur Eingabe des Quittierungscodes aufgefordert wird. Nur in dem Fall, in dem der eingegebene Quittierungscode mit dem zuvor von dem Gerät ausgegebenen Quittie- rungscode übereinstimmt, wird der Konfigurierungs- Zugang von dem Gerät G freigegeben. Dabei ist jeder Quittierungscode vorteilhaft nur ein einziges Mal und/oder nur für begrenzte Zeit verwendbar.For a further improvement of the security, in a further embodiment, after accessing the second access to the device, an acknowledgment code generated, for example, by means of random number generator, e.g. by means of a display attached to the device or via an output on a display of the handset MT. This acknowledgment code is stored simultaneously within the device G, whereby a user is additionally or alternatively requested to enter the acknowledgment code in the context of authentication with respect to the primary access control. Only in the case where the entered acknowledgment code matches the acknowledgment code previously issued by the device, the configuration access is released from the device G. In this case, each acknowledgment code is advantageously usable only once and / or only for a limited time.
In einem dritten Ausführungsbeispiel besteht der zweite Zugang aus dem Amtsanschluss des Gerätes G, also aus der Verbindung zu dem öffentlichen Kommunikationsnetzwerk ÖN, dem ISDN-Netz. Dabei kann ein berechtigter externer Benutzer, beispielsweise ein Benutzer des Datenverarbeitungsgerätes PC2, mit einem handelsüblichen Telefon eine entsprechend reservierte Rufnummer des Gerätes anwählen, wobei der Benutzer nach Zustandekommen der Verbindung zur Eingabe einer PIN aufgefordert wird, die diesem Benutzer bekannt sein muss, und die dieser Benutzer an der Tastatur seines Telefons eingibt und die mittels DTMF-Signalisierung oder einer anderen Übermittlung an das Gerät G übertragen wird. Sofern die dabei eingegebene PIN mit der in dem Gerät G hinterlegten PIN über- einstimmt, gibt das Gerät G den Zugriff auf das User- Interface UI frei, indem das Zeitglied ZG gestartet wird und mittels des Datenverarbeitungsgerätes PC2 auf den Konfigurierungs-Zugang Zugriffen werden kann, wobei gegebenenfalls die Zugriffskontrolleinrichtung die Eingabe weiterer Daten ver- langt. In a third embodiment, the second access from the trunk connection of the device G, ie from the connection to the public communication network ÖN, the ISDN network. In this case, an authorized external user, for example, a user of the data processing device PC2, with a commercially available phone to select a correspondingly reserved phone number of the device, the user is prompted after the conclusion of the connection to enter a PIN that must be known to this user, and which enters this user on the keyboard of his phone and which is transmitted by means of DTMF signaling or other transmission to the device G. If the PIN entered here coincides with the PIN stored in the device G, the device G enables access to the user interface UI by starting the timer ZG and accessing the configuration access by means of the data processing device PC2 , Where appropriate, the access control device requires the input of further data.

Claims

Patentansprüche claims
1. Verfahren zur Zugriffskontrolle für einen Konfigurierungs- Zugang (UI) eines Gerätes (G) , wobei auf den Konfigurierungs-Zugang (UI) über eine erste Datenverbindung (LAN) zugegriffen wird, und wobei der Konfigurierungs -Zugang (UI) mit zumindest einer primären Zugriffskontrolleinrichtung geschützt wird, dadurch gekennzeichnet, dass auf das Gerät (G) vor einer Nutzung des Konfigurierungs- Zugangs (UI) mittels eines zweiten Zugangs zugegriffen wird, wobei der Konfigurierungs -Zugang (UI) durch diesen Zugriff freigegeben wird.A method for access control for a configuration access (UI) of a device (G), wherein the configuration access (UI) via a first data connection (LAN) is accessed, and wherein the configuration access (UI) with at least one primary access control device is protected, characterized in that the device (G) prior to use of the configuration access (UI) is accessed by means of a second access, wherein the configuration access (UI) is released by this access.
2. Verfahren nach Patentanspruch 1, dadurch gekennzeichnet, dass der Konfigurierungs-Zugang (UI) nach dem Zugriff für eine vorbestimmte Zeitspanne freigegeben und nach Ablauf dieser Zeitspanne gesperrt wird.2. The method according to claim 1, characterized in that the configuration access (UI) is released after access for a predetermined period of time and locked after the expiration of this period.
3. Verfahren nach einem der vorhergehenden Patentansprüche, dadurch gekennzeichnet, dass als der zweite Zugang ein lokaler Zugang an dem Gerät (G) verwendet wird.A method according to any one of the preceding claims, characterized in that a local access to the device (G) is used as the second access.
4. Verfahren nach einem der vorhergehenden Patentansprüche , dadurch gekennzeichnet, dass als der zweite Zugang eine an dem Gerät (G) befindliche oder mit dem Gerät (G) verbundene Schalteinrichtung (T) oder Eingabeeinrichtung verwendet wird.4. The method according to any one of the preceding claims, characterized in that as a second access to the device (G) located or with the device (G) connected switching device (T) or input device is used.
5. Verfahren nach einem der vorhergehenden Patentansprüche, dadurch gekennzeichnet, dass als der zweite Zugang eine von der ersten Datenver- bindung (LAN) unabhängige zweite Datenverbindung verwendet wird. 5. The method according to any one of the preceding claims, characterized in that as the second access one of the first data connection (LAN) independent second data connection is used.
6. Verfahren nach einem der vorhergehenden Patentansprüche, dadurch gekennzeichnet, dass als der Konfigurierungs- Zugang (UI) eine Web-basierte Benutzeroberfläche verwendet wird.6. The method according to any one of the preceding claims, characterized in that as the configuration access (UI) a web-based user interface is used.
7. Verfahren nach einem der vorhergehenden Patentansprüche, dadurch gekennzeichnet, dass als die primäre Zugriffskontrolleinrichtung eine benutzerindividuelle Benutzerkennungs-Adresse und/oder eine Passwort-Abfrage und/oder eine PIN-Abfrage eingesetzt wird.7. The method according to any one of the preceding claims, characterized in that as the primary access control device, a user-specific user identification address and / or a password query and / or a PIN query is used.
8. Verfahren nach einem der vorhergehenden Patenteinsprüche, dadurch gekennzeichnet, dass als das Gerät (G) eine Basisstation für eine mobile Kom- munikationsanordnung verwendet wird.8. Method according to one of the preceding patent claims, characterized in that a base station for a mobile communication arrangement is used as the device (G).
9. Verfahren nach Patentanspruch 8 , dadurch gekennzeichnet, dass für den zweiten Zugang ein an der Basisstation betrie- benes Gerät (G) verwendet wird.9. Method according to claim 8, characterized in that a device operated at the base station (G) is used for the second access.
10. Verfahren nach einem der vorhergehenden Patentansprüche, dadurch gekennzeichnet, dass der Ablauf der Zeitspanne nach dem Zugriff auf den zwei- ten Zugang während der Nutzung des Konfigurierungs-Zugangs (UI) gehemmt wird oder mit jedem erneuten Zugriff auf dem Konfigurierungs -Zugang (UI) zurückgesetzt wird. 10. The method according to any one of the preceding claims, characterized in that the expiration of the time period after accessing the second access while using the configuration access (UI) is inhibited or with each renewed access to the configuration access (UI ) is reset.
11. Gerät (G) mit einer Zugriffskontrolle für einen Konfigu- rierungs- Zugang (UI) , wobei der Konfigurierungs- Zugang (UI) (UI) über eine erste Datenverbindung zugreifbar ist, und wobei der Konfigurierungs -Zugang (UI) mittels zumindest einer primären Zugriffskontrolleinrichtung geschützt ist, dadurch gekennzeichnet, dass das Gerät (G) mit einem zweiten Zugang ausgestattet ist, wobei der zweite Zugang unabhängig ist von der ersten Daten- verbindung, und wobei der Konfigurierungs-Zugang (UI) mittels eines Zugriffs auf den zweiten Zugang freigebbar ist.11. Device (G) with access control for a configuration access (UI), wherein the configuration access (UI) (UI) is accessible via a first data connection, and wherein the configuration access (UI) by means of at least one primary access control device, characterized in that the device (G) is provided with a second access, the second access being independent of the first data connection, and wherein the configuration access (UI) is by means of access to the second access is releasable.
12. Gerät (G) nach Patentanspruch 11, dadurch gekennzeichnet, dass das Gerät (G) mit einem Zeitglied (ZG) ausgestattet ist, wobei der Konfigurierungs-Zugang (UI) innerhalb einer Zeitspanne zwischen einem Start und einem Ablauf des Zeitgliedes (ZG) zur Benutzung freigegeben und außerhalb dieser Zeitspan- ne gesperrt ist, wobei das Zeitglied derart eingerichtet ist, dass dieses durch einen Zugriff auf den zweiten Zugang gestartet wird.12. Device (G) according to claim 11, characterized in that the device (G) is equipped with a timer (ZG), wherein the configuration access (UI) within a period of time between a start and a lapse of the timer (ZG) is released for use and locked outside this time span, the timer being set up in such a way that it is started by accessing the second access.
13. Gerät (G) nach Patentanspruch 11 oder 12, dadurch gekennzeichnet, dass der Zugriff auf den zweiten Zugang mittels einer weiteren Zugriffskontrolleinrichtung geschützt ist.13. Device (G) according to claim 11 or 12, characterized in that the access to the second access is protected by means of a further access control device.
14. Gerät (G) nach einem der Patentansprüche 11 bis 13, dadurch gekennzeichnet, dass der zweite Zugang derart ausgestaltet ist, dass ein Zugriff auf diesen eine lokale Benutzereingabe an dem Gerät (G) erfordert. 14. Device (G) according to one of the claims 11 to 13, characterized in that the second access is designed such that an access to this requires a local user input to the device (G).
15. Gerät (G) nach einem der Patentansprüche 11 bis 14, dadurch gekennzeichnet, dass das Gerät (G) zur Ausgabe eines Quittierungscodes bei dem Zugriff auf den zweiten Zugang ausgebildet ist, wobei die primäre Zugriffskontrolleinrichtung derart ausgestaltet ist, dass diese die Eingabe des zuvor ausgegebenen Quittierungscodes verlangt.Device (G) according to one of claims 11 to 14, characterized in that the device (G) is designed for issuing an acknowledgment code when accessing the second access, wherein the primary access control device is designed such that it inputs the data previously issued acknowledgment codes.
16. Gerät (G) nach Patentanspruch 15, dadurch gekennzeichnet, dass bei jedem weiteren Zugriff auf den zweiten Zugang ein veränderter Quittierungscode ausgegeben wird. 16. Device (G) according to claim 15, characterized in that at each further access to the second access a modified acknowledgment code is issued.
EP08735357A 2008-04-22 2008-04-22 Method for access control for a configuration access to a device and device comprising an access control for a configuration access Withdrawn EP2266292A1 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2008/003228 WO2009129821A1 (en) 2008-04-22 2008-04-22 Method for access control for a configuration access to a device and device comprising an access control for a configuration access

Publications (1)

Publication Number Publication Date
EP2266292A1 true EP2266292A1 (en) 2010-12-29

Family

ID=40187997

Family Applications (1)

Application Number Title Priority Date Filing Date
EP08735357A Withdrawn EP2266292A1 (en) 2008-04-22 2008-04-22 Method for access control for a configuration access to a device and device comprising an access control for a configuration access

Country Status (2)

Country Link
EP (1) EP2266292A1 (en)
WO (1) WO2009129821A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009060469A1 (en) * 2009-12-22 2011-06-30 eQ-3 AG, 26789 Method and apparatus for securing communication between a home automation server and a centralized configuration server
WO2013162429A1 (en) * 2012-04-23 2013-10-31 Telefonaktiebolaget L M Ericsson (Publ) Oam apparatus for radio base station

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3628250B2 (en) * 2000-11-17 2005-03-09 株式会社東芝 Registration / authentication method used in a wireless communication system
US7522729B2 (en) * 2003-11-06 2009-04-21 Buffalo Inc. Encryption key setting system, access point, encryption key setting method, and authentication code setting system
US20050138148A1 (en) * 2003-12-22 2005-06-23 At&T Corporation Signaling managed device presence to control security
EP1615380A1 (en) * 2004-07-07 2006-01-11 Thomson Multimedia Broadband Belgium Device and process for wireless local area network association

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2009129821A1 *

Also Published As

Publication number Publication date
WO2009129821A1 (en) 2009-10-29

Similar Documents

Publication Publication Date Title
DE602004005461T2 (en) Mobile authentication for network access
EP3416140B1 (en) Method and device for authenticating a user on a vehicle
DE69637053T2 (en) Personalization of subscriber identification modules for mobile phones via radio
EP2250598B1 (en) Client/server system for communicating according to the standard protocol opc ua and having single sign-on mechanisms for authenticating, and method for performing single sign-on in such a system
DE102006042358B4 (en) Method and service center for updating authorization data in an access arrangement
WO2014044348A1 (en) Subscriber identity module for authenticating a subscriber in a communications network
EP3582033B1 (en) Method for securely operating a field device
DE102008046639B4 (en) Method for providing at least one service via a server system
EP1964042B1 (en) Method for the preparation of a chip card for electronic signature services
EP3266186B1 (en) Network device and method for accessing a data network from a network component
EP2266292A1 (en) Method for access control for a configuration access to a device and device comprising an access control for a configuration access
DE60115672T2 (en) SECURITY ARCHITECTURE OF THE INTERNET PROTOCOL TELEPHONY
AT504633B1 (en) METHOD FOR AUTHENTICATING A MOBILE OPERATING DEVICE
EP3585084A1 (en) Device of an access authorisation system for a sub-network of a mobile radio network
WO2017144649A1 (en) Safeguarding of entry authorisations for fixed-location installations
DE60310872T2 (en) A method of managing a gateway setting by a user of the gateway
EP1935202B1 (en) Unblocking of mobile telephone cards
EP1869921B1 (en) Method for enhancing security against improper use of a smart card and smart card therefor
EP1936905B1 (en) Method for operating a VoIP terminal and VoIP terminal
EP1768316B1 (en) Deblocking of a wireless card
EP1419636B1 (en) Method for the automatic login of a subscriber station arranged especially in a motor vehicle in an external information system
EP2456157A1 (en) Protecting privacy when a user logs into a secure web service using a mobile device
DE60205176T2 (en) Device and method for user authentication
WO2024083877A1 (en) Method for operating an electromechanical locking device
WO2020234459A1 (en) Method for authenticating a user, and authentication system

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20100902

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MT NL NO PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA MK RS

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20120717

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20130129