WO2018015481A1 - Authentication method for authenticating a user of a terminal - Google Patents

Authentication method for authenticating a user of a terminal Download PDF

Info

Publication number
WO2018015481A1
WO2018015481A1 PCT/EP2017/068329 EP2017068329W WO2018015481A1 WO 2018015481 A1 WO2018015481 A1 WO 2018015481A1 EP 2017068329 W EP2017068329 W EP 2017068329W WO 2018015481 A1 WO2018015481 A1 WO 2018015481A1
Authority
WO
WIPO (PCT)
Prior art keywords
authentication
identity
service
user
dependent
Prior art date
Application number
PCT/EP2017/068329
Other languages
German (de)
French (fr)
Inventor
Sven Gennermann
Original Assignee
Huf Hülsbeck & Fürst Gmbh & Co. Kg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huf Hülsbeck & Fürst Gmbh & Co. Kg filed Critical Huf Hülsbeck & Fürst Gmbh & Co. Kg
Publication of WO2018015481A1 publication Critical patent/WO2018015481A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Abstract

The invention relates to an authentication method (100), in particular for authenticating a user (15) of a terminal (20), wherein an identity (115) is authenticated by an identity authentication (110).

Description

Authentifizierungsverfahren zur Authentifizierung eines Benutzers eines  Authentication method for authenticating a user of a
Endgeräts  terminal
B e s c h r e i b u n g Description
Die vorliegende Erfindung betrifft ein Authentifizierungsverfahren, insbesondere zur Authentifizierung eines Benutzers eines Endgeräts, nach dem Oberbegriff von Anspruch 1. The present invention relates to an authentication method, in particular for authenticating a user of a terminal, according to the preamble of claim 1.
Es ist aus dem Stand der Technik bekannt, bei Internetdiensten eine Authentifizierung einer (digitalen) Identität durchzuführen. Die Authentifizierung ist dabei der Nachweis einer behaupteten Eigenschaft einer Identität, welche bspw. ein Mensch (Benutzer) ein Gerät oder dergleichen sein kann. Insbesondere dient dabei die Authentifizierung zur Prüfung der Echtheit und/oder zur Bezeugung der Echtheit. Die Authentifizierung eines Benutzers kann bspw. dadurch erreicht werden, dass der Nachweis einer Kenntnis einer Information erfolgt (z. B. der Kenntnis eines Passwortes), der Nachweis der Verwendung eines Besitztums erfolgt (z. B. der Nachweis eines elektronischen Schlüssels), und/oder die Gegenwart des Benutzers selbst nachgewiesen wird (z. B. anhand eines biometrischen Merkmals). Die Gewährleistung der Zuverlässigkeit und Sicherheit bei Authentifizierungsverfahren ist heutzutage eine der wichtigsten Voraussetzungen bei der Nutzung von Internetdiensten. Solche Dienste werden mittlerweile für eine Vielzahl alltäglicher Aufgaben eingesetzt, wobei hier oft sensible Daten übertragen und Vorgänge durchgeführt werden (z. B. Banktransaktionen beim Online-Banking oder die Kommunikation bei sozialen Netzwerken). Dabei ist es wünschenswert, dass in Abhängigkeit von dem Dienst unterschiedliche Sicherheitsstufen bei der Authentifizierung realisiert werden (z. B. eine hohe Sicherheitsstufe beim Online-Banking und eine mittlere oder niedrigere Sicherheitsstufe bei sozialen Netzwerken). Dies ermöglicht eine Steigerung des Komforts bei weniger sicherheitskritischen Anwendungen. It is known from the prior art to perform an authentication of a (digital) identity in Internet services. The authentication is the proof of an alleged property of an identity, which, for example, a human (user) can be a device or the like. In particular, the authentication serves to check the authenticity and / or the authenticity. The authentication of a user can be achieved, for example, by the fact that the proof of a knowledge of an information takes place (eg the knowledge of a password), the proof of the use of a property takes place (eg the proof of an electronic key), and / or the presence of the user himself is detected (eg, by a biometric feature). Ensuring the reliability and security of authentication procedures is one of the most important requirements for the use of Internet services today. Such services are now used for a variety of everyday tasks, often involving the transfer of sensitive data and the carrying out of operations (eg bank transactions in online banking or communication in social networks). It is desirable that different security levels be implemented in the authentication depending on the service (eg, a high level of security in online banking and a medium or lower level of security in social networks). This allows for increased comfort in less safety-critical applications.
Es sind unterschiedliche Möglichkeiten bekannt, die Sicherheit bei der Authentifizierung für sicherheitskritischere Anwendungen zu erhöhen. Bspw. kann eine 2-Faktor-Authentifizierung für einen Identitätsnachweis des Benutzers zum Einsatz kommen, wobei hier eine Kombination von zwei verschiedenen und insbesondere unabhängigen Komponenten (Faktoren) genutzt wird. Die 2-Faktor-Authentifizierung ist bspw. von Geldautomaten bekannt, bei welchen erst die Kombination aus einer Bankkarte (als erster Faktor) und einer PIN (als zweiter Faktor) die Transaktion ermöglicht. Darüber hinaus sind auch Multi-Faktor- Authentifizierungen bekannt, bei welchen eine Kombination von mehr als zwei Faktoren genutzt wird. There are various ways to increase authentication security for more security-critical applications. For example. For example, a 2-factor authentication can be used for the identification of the user, whereby a combination of two different and in particular independent components (factors) is used. The 2-factor authentication is known, for example, from ATMs, in which only the combination of a bank card (as the first factor) and a PIN (as a second factor) allows the transaction. In addition, multi-factor authentications are known in which a combination of more than two factors is used.
Dennoch ist hier ein Problem, dass bekannte Authentifizierungsverfahren unflexibel sind und die Sicherheit und/oder der Datenschutz bei bekannten Authentifizierungsverfahren nur eingeschränkt konfigurierbar und anpassbar sind. So ist es oft bspw. auch nicht möglich, dass der Benutzer selber entscheidet, welche Art der Authentifizierung bzw. welche Sicherheitsstufe für welche Dienste genutzt werden soll. Auch muss der Benutzer zur Authentifizierung oft sensible Daten, wie bspw. biometrische Eigenschaften, an den Dienst zur Bereitstellung der Authentifizierung (Authentifizierungsdienst) übertragen. Hierdurch werden der Datenschutz, der Komfort, die Sicherheit sowie die Zuverlässigkeit der Authentifizierung beeinträchtigt. Es ist daher eine Aufgabe der vorliegenden Erfindung, die voranstehend beschriebenen Nachteile zumindest teilweise zu beheben. Insbesondere ist es eine Aufgabe der vorliegenden Erfindung, zumindest eine verbesserte oder zuverlässigere oder sicherere Authentifizierung zu ermöglichen. Nevertheless, here is a problem that known authentication methods are inflexible and the security and / or privacy in known authentication methods are only limited configurable and customizable. For example, it is often not possible for the user to decide for himself which type of authentication or which security level should be used for which services. Also, the user often has to transmit sensitive data, such as biometric properties, to the authentication service (authentication service) for authentication. This compromises privacy, convenience, security and authentication reliability. It is therefore an object of the present invention to at least partially overcome the disadvantages described above. In particular, it is an object of the present invention to provide at least improved or more reliable or more secure authentication.
Die voranstehende Aufgabe wird gelöst durch ein Verfahren, insbesondere Authentifizierungsverfahren (insbesondere zur Authentifizierung eines Benutzers eines Endgeräts), mit den Merkmalen des Anspruchs 1. Weitere Merkmale und Details der Erfindung ergeben sich aus den jeweiligen Unteransprüchen, der Beschreibung und den Zeichnungen. The above object is achieved by a method, in particular authentication method (in particular for authenticating a user of a terminal), with the features of claim 1. Further features and details of the invention will become apparent from the respective dependent claims, the description and the drawings.
Vorzugsweise ist das Endgerät ein zumindest teilweise elektronisches (elektronisch ausgebildetes) Gerät, vorzugsweise ein Kommunikations- und/oder Authentifizierungsund/oder Mobilfunkgerät, welches bevorzugt mobil bzw. tragbar ausgeführt ist. Insbesondere umfasst das Endgerät eine Eingabe- und/oder eine Ausgabeschnittstelle für den Benutzer des Endgeräts. Bevorzugt ist auch eine Datenschnittstelle vorgesehen, insbesondere zur Verbindung mit einem Netzwerk (z. B. LAN oder WLAN) und/oder einem Internet und/oder einem Mobilfunknetz. Die Datenschnittstelle und/oder eine weitere Schnittstelle des Endgeräts ist besonders bevorzugt als LAN (Local Area Network-) Schnittstelle und/oder WLAN (Wireless LAN) Schnittstelle und/oder Mobilfunkschnittstelle und/oder Datenbus- Schnittstelle ausgeführt. Insbesondere ist das Endgerät als Smartphone und/oder Computer und/oder Laptop und/oder Tablet ausgeführt und/oder umfasst einen Bildschirm, vorzugsweise einen Touchscreen, welcher somit z. B. sowohl die Ein- als auch eine Ausgabeschnittstelle umfasst. Preferably, the terminal is an at least partially electronic (electronically trained) device, preferably a communication and / or authentication and / or mobile device, which is preferably carried out mobile or portable. In particular, the terminal comprises an input and / or an output interface for the user of the terminal. A data interface is also preferably provided, in particular for connection to a network (eg LAN or WLAN) and / or an Internet and / or a mobile radio network. The data interface and / or a further interface of the terminal is particularly preferably embodied as a LAN (Local Area Network) interface and / or WLAN (Wireless LAN) interface and / or mobile radio interface and / or data bus interface. In particular, the terminal is designed as a smartphone and / or computer and / or laptop and / or tablet and / or comprises a screen, preferably a touch screen, which thus z. B. includes both the input and output interfaces.
Es ist insbesondere vorgesehen, dass durch eine Identitätsauthentifizierung eine (insbesondere digitale) Identität (insbesondere des Benutzers) authentifiziert wird, wobei vorzugsweise zumindest einer der nachfolgenden Schritte durchgeführt wird, vorzugsweise zumindest teilweise nacheinander (bzw. in der angegebenen Reihenfolge) oder in beliebiger Reihenfolge, wobei einzelne Schritte auch wiederholt durchgeführt werden können: It is provided, in particular, that an identity (in particular digital) identity (in particular of the user) is authenticated by means of identity authentication, whereby preferably at least one of the following steps is carried out, preferably at least partly successively (or in the specified order) or in any order, individual steps can also be carried out repeatedly:
- digitales Erstellen eines Authentifizierungsbereichs (insbesondere Accounts) für die Identität, wobei der Authentifizierungsbereich der Identität fest (und insbesondere eindeutig) zugeordnet ist, insbesondere durch Anlegen eines (Internet-)Accounts, welcher dem Benutzer und/oder der Identität zugeordnet wird, digitally creating an authentication area (in particular accounts) for the identity, wherein the authentication range of the identity is fixed (and in particular unique), in particular by creating an (Internet) account, which is assigned to the user and / or the identity,
- digitales Hinterlegen einer Authentifizierungsvorgabe im Authentifizierungsbereich zur Parametrisierung der Identitätsauthentifizierung, wobei die Authentifizierungsvorgabe inhaltlich mindestens ein (insbesondere technisch abbildbares) Identitätsattribut einer realen Identität umfasst, insbesondere durch das Hinterlegen einer Ausweis-ID und/oder kognitiver und/oder biometrischer Eigenschaften,  digital storage of an authentication specification in the authentication area for the parameterization of the identity authentication, the content of the authentication specification comprising at least one (in particular technically reproducible) identity attribute of a real identity, in particular by the storage of an ID card ID and / or cognitive and / or biometric properties,
Durchführen einer Drittauthentifizierung (z. B. durch eine öffentliche Stelle) der realen Identität anhand der Authentifizierungsvorgabe (insbesondere anhand des Identitätsattributs und/oder wenigstens eines der Identitätsattribute), sodass bei erfolgreicher Drittauthentifizierung eine Bestätigung (insbesondere für die Identität und/oder in digitaler Form, insbesondere für den Authentifizierungsbereich) erzeugt wird, wobei hierzu insbesondere ein Zertifikat an einer öffentlichen Stelle nach Prüfung der realen Identität bestätigt wird, z. B. durch das Signieren des Zertifikats, Performing a third-party authentication (eg by a public authority) of the real identity based on the authentication specification (in particular based on the identity attribute and / or at least one of the identity attributes), so that upon successful third-party authentication a confirmation (in particular for the identity and / or in digital form , in particular for the authentication area) is generated, for which purpose in particular a certificate is confirmed at a public office after checking the real identity, z. By signing the certificate,
- digitales Hinterlegen mindestens eines Authentifizierungsparameters (insbesondere in der Authentifizierungsvorgabe und/oder im Authentifizierungsbereich) zur Bestimmung einer Sicherheitsstufe, wobei hierzu insbesondere der Benutzer und/oder ein Dienst, welcher den Authentifizierungsbereich bereitstellt, die Sicherheitsstufe als einen sogenannten„Trustlevel" festlegt, digitally depositing at least one authentication parameter (in particular in the authentication specification and / or in the authentication domain) for determining a security level, in which case in particular the user and / or a service providing the authentication area defines the security level as a so-called "trust level",
Durchführen der Identitätsauthentifizierung in Abhängigkeit von dem Authentifizierungsparameter und dem Identitätsattribut, sodass die Identitätsauthentifizierung durch die Authentifizierungsvorgabe parametrisiert wird, wobei vorzugsweise die Authentifizierungsvorgabe derart geschützt wird, dass (insbesondere nach der erfolgreichen Drittauthentifizierung) die inhaltliche Veränderung der Authentifizierungsvorgabe (d. h. insbesondere die Veränderung des Identitätsattributs und/oder eine Ergänzung bzw. Hinzufügen eines weiteren Identitätsattributs und/oder ein Löschen des Identitätsattributs) und/oder das Lesen der Authentifizierungsvorgabe stets (und/oder immer) die erfolgreiche Identitätsauthentifizierung der Identität voraussetzt.  Performing the identity authentication in dependence on the authentication parameter and the identity attribute, so that the authentification authentication is parameterized by the authentication specification, wherein preferably the authentication specification is protected such that (in particular after the successful third-party authentication) the content modification of the authentication specification (ie in particular the change of the identity attribute and / or adding or adding another identity attribute and / or deleting the identity attribute) and / or reading the authentication specification always (and / or always) requires successful identity authentication of the identity.
Der Ausdruck„stets" bezieht sich dabei insbesondere darauf, dass die Verwaltung und/oder das Lesen (der Authentifizierungsvorgabe) nur in der eigenen Identität erfolgen kann. Mit anderen Worten kann insbesondere die Verwaltung und/oder das Lesen und/oder das Ergänzen der Authentifizierungsvorgabe und/oder des Authentifizierungsparameters und/oder der Identitätsattribute nur in der einen Identität, also z. B. nur durch den Benutzer (mit der Identität), erfolgen, es handelt sich also um einen rein persönlichen Zugriffsbereich. The term "always" refers in particular to the fact that the administration and / or reading (of the authentication specification) can only take place in one's own identity, in other words, in particular, the administration and / or reading and / or supplementing of the authentication specification and / or the authentication parameter and / or the identity attributes only in the one identity, ie z. B. only by the user (with the identity), done, so it is a purely personal access area.
Bevorzugt können im Authentifizierungsbereich und/oder in der Authentifizierungsvorgabe mehrere verschiedene Identitätsattribute gespeichert sein. Die Identitätsattribute können bspw. persönliche Daten des Benutzers und/oder biometrische Eigenschaften des Benutzers und/oder dergleichen sein. Insbesondere ist vorgesehen, dass der Benutzer selber bestimmen kann, welche Identitätsattribute er für die Authentifizierung und/oder für verschiedene (Dritt-) Dienste nutzen möchte (z. B. durch eine Erhöhung des minimalen Trustlevels). Dies erfolgt bspw. anhand der Authentifizierungsparameter, welche insbesondere eine Auswahl der zu prüfenden Identitätsattribute und/oder der Authentifizierungsfaktoren, insbesondere drittdienstabhängig, umfassen. Dadurch kann bspw. eine Zwei-Faktorauthentifizierung, d. h. insbesondere eine aufeinander aufbauende Authentifizierung, bspw. anhand eines kognitiven und/oder eines biometrischen Merkmals, konfiguriert werden. Preferably, several different identity attributes can be stored in the authentication area and / or in the authentication default. The identity attributes may be, for example, personal data of the user and / or biometric characteristics of the user and / or the like. In particular, it is provided that the user himself can determine which identity attributes he would like to use for the authentication and / or for various (third-party) services (eg by increasing the minimum trust level). This takes place, for example, on the basis of the authentication parameters, which in particular include a selection of the identity attributes to be checked and / or the authentication factors, in particular third-party service-dependent. This may, for example, a two-factor authentication, d. H. in particular, a consecutive authentication, for example, based on a cognitive and / or a biometric feature configured.
Vorzugsweise umfasst die„inhaltliche Veränderung" die Änderung und/oder das Lesen von Identitätsattributen und/oder das Hinzufügen weiterer Identitätsattribute und/oder die Änderung des Authentifizierungsparameters und/oder der Authentifizierungsvorgabe (Authentifizierungsvorlage), jedoch z. B. nicht das (bspw. vollständige) Löschen des Authentifizierungsbereiches. Bevorzugt kann die inhaltliche Veränderung nur (stets) durch den Benutzer bzw. die Identität durchgeführt werden, was bspw. durch ein entsprechendes Kryptosystems und/oder eine entsprechende Verschlüsselung des Authentifizierungsbereiches und/oder der Authentifizierungsvorgabe gewährleistet wird. Insbesondere wird das digitale Hinterlegen und/oder Erstellen z. B. durch Benutzereingaben initiiert, beispielsweise durch eine Tastatureingabe und/oder Mauseingabe bei einem Computer. Dies ermöglicht die sichere und komfortable Erstellung des Accounts. Preferably, the "content change" includes the modification and / or reading of identity attributes and / or the addition of further identity attributes and / or the change of the authentication parameter and / or authentication specification (authentication template), but not, for example, the (e.g. Preferably, the contentual change can only be carried out (always) by the user or the identity, which is ensured, for example, by a corresponding cryptosystem and / or a corresponding encryption of the authentication area and / or the authentication specification digital storage and / or creation eg initiated by user input, for example by keyboard input and / or mouse input on a computer, which enables secure and comfortable creation of the account.
Das erfindungsgemäße Verfahren hat insbesondere den Vorteil, dass der Benutzer selber (und insbesondere nur der Benutzer) die Authentifizierungsvorgabe inhaltlich verändern und/oder lesen und damit die Authentifizierung konfigurieren kann. Damit ist es insbesondere zum einen ausgeschlossen, dass ein Dritter (wie bspw. der Authentifizierungsdienst bzw. ein Administrator des Authentifizierungsdienstes) lesenden und/oder verändernden Zugriff auf sensible Daten des Benutzers haben kann. Insbesondere kann daher ein schreibender und/oder lesender Zugriff auf die Authentifizierungsvorgabe durch andere Benutzer (d. h. insbesondere auch dem Administrator) vollständig verhindert sein. Zum anderen wird insbesondere der Vorteil erzielt, dass der Benutzer selber eine Sicherheitsstufe durch die Verwaltung der Authentifizierungsvorgabe verändern, z. B. erhöhen kann. In particular, the method according to the invention has the advantage that the user himself (and in particular only the user) can change the content of the authentication specification and / or read and thus configure the authentication. This makes it possible, in particular, to preclude a third party (such as, for example, the authentication service or an administrator of the authentication service) from reading and / or have changing access to sensitive data of the user. In particular, therefore, a writing and / or reading access to the authentication specification by other users (ie in particular also the administrator) can be completely prevented. On the other hand, the advantage is achieved, in particular, that the user himself changes a security level through the administration of the authentication specification, eg. B. can increase.
Um insbesondere zu gewährleisten, dass der Authentifizierungsbereich und/oder die Authentifizierungsvorgabe nur durch den Benutzer (in seiner Identität) verwaltet werden kann, d. h. dass nur der Benutzer darauf Zugriff hat, kann bspw. vorgesehen sein, dass Drittdienste und/oder weitere Benutzer und/oder der Authentifizierungsdienst lediglich Fragen an den Authentifizierungsbereich zur Authentifizierung stellen kann. Diese Fragen können dann (bspw. mit„Ja" oder„Nein") automatisiert beantwortet werden. Um bspw. stets zu gewährleisten, dass eine nach aktuellen Sicherheitsmaßstäben ausgestaltete und/oder hohe Sicherheitsstufe bereitgestellt wird, kann es vorgesehen sein, dass die Authentifizierungsvorgabe und/oder der Authentifizierungsbereich mit einer updatefähigen Kryptologie zumindest teilweise verschlüsselt ist. Insbesondere besitzt diese Kryptologie eine Updatefunktion, um stets an aktuelle Kryptologieverfahren bzw. Sicherheitsmaßstäbe angepasst werden zu können. Insbesondere ist diese Updatefunktion derart ausgestaltet, dass lediglich eine Verbesserung der Kryptologie (und somit keine Verschlechterung des Verschlüsselungsverfahrens) erfolgen kann. Dies wird bspw. dadurch erzielt, dass eine kryptografisch abgesicherte (insbesondere durch Zertifikate abgesicherte) Versionskontrolle beim Updaten der Kryptologie durchgeführt wird. In particular, to ensure that the authentication area and / or the authentication specification can be managed only by the user (in his identity), d. H. that only the user has access to it can, for example, be provided that third-party services and / or additional users and / or the authentication service can only ask questions to the authentication area for authentication. These questions can then be answered automatically (eg with "yes" or "no"). In order to always ensure, for example, that a security level configured according to current security standards and / or high security level is provided, provision can be made for the authentication specification and / or the authentication area to be at least partially encrypted with an updatable cryptology. In particular, this cryptology has an update function so that it can always be adapted to current cryptology procedures or security measures. In particular, this update function is designed such that only an improvement of the cryptology (and thus no deterioration of the encryption method) can take place. This is achieved, for example, by carrying out a cryptographically verified version control (in particular secured by certificates) when updating the cryptology.
Bevorzugt kann anhand des Authentifizierungsparameters die Sicherheitsstufe bestimmt werden, wobei bspw. ein erster Authentifizierungsparameter vorgesehen ist, um eine erste (z. B. niedrige) Sicherheitsstufe zu bestimmen, und/oder ein zweiter Authentifizierungsparameter vorgesehen ist, um eine zweite (z. B mittlere) Sicherheitsstufe zu bestimmen, und/oder ein dritter Authentifizierungsparameter vorgesehen ist, um eine dritte Sicherheitsstufe (z. B eine hohe Sicherheitsstufe) zu bestimmen. Bevorzugt kann in Abhängigkeit von diesen Authentifizierungsparametern die Identitätsauthentifizierung dadurch parametrisiert werden, dass in Abhängigkeit von dem Authentifizierungsparameter entweder eine geringe oder eine mittlere oder eine hohe Sicherheitsstufe bei der Identitatsauthentifizierung, insbesondere abhängig vom Drittdienst, genutzt wird. Hierzu wird bspw. eine Datenbank abgefragt, um die Sicherheitsstufe dem Drittdienst zuzuordnen. Vorzugsweise kann die Identitatsauthentifizierung durch die Authentifizierungsvorgabe dadurch parametrisiert werden, dass die Identitatsauthentifizierung in Abhängigkeit von dem mindestens einen Authentifizierungsparameter durchgeführt wird und/oder dass die Identitätsauthentifizierung in Abhängigkeit von dem mindestens einen Identitätsattribut durchgeführt wird. So ist bspw. die Identitätsauthentifizierung davon abhängig, welche Identitätsattribute in der Authentifizierungsvorgabe vorhanden sind. So kann bspw. ein Benutzer die Sicherheitsstufe dadurch erhöhen, dass er Identitätsattribute in der Authentifizierungsvorgabe hinterlegt, welche eine hohe Sicherheit gewährleisten. Dies kann bspw. ein biometrisches Merkmal als Sicherheitsattribut sein. Bspw. kann den Identitätsattributen jeweils eine Sicherheitseinstufung automatisiert oder durch den Benutzer zugeordnet werden. Insbesondere kann die Authentifizierungsvorgabe auch eine Dienstvorgabe umfassen, sodass in Abhängigkeit von dem verwendeten Dienst jeweils unterschiedliche Identitätsattribute bzw. Kombinationen derselben bei der Identitätsauthentifizierung genutzt werden. Bspw. kann das biometrische Merkmal als ein erstes Identitätsattribut z. B. bei einem Online-Banking-Dienst genutzt werden, und ein Passwort als ein zweites Identitätsattribut bei einem Online-Shop-Dienst genutzt werden. Hierdurch können unterschiedliche Sicherheitsstufen für unterschiedliche Dienste realisiert werden. Preferably, the security level can be determined on the basis of the authentication parameter, wherein, for example, a first authentication parameter is provided to determine a first (eg low) security level and / or a second authentication parameter is provided to provide a second (e.g. ) Security level and / or a third authentication parameter is provided to determine a third security level (eg a high security level). Preferably, depending on these authentication parameters, the identity authentication can be parameterized by depending on the authentication parameter either a low or a medium or a high security level is used in the identity authentication, in particular depending on the third party service. For this purpose, for example, a database is queried to assign the security level to the third party service. Preferably, the identity authentication by the authentication specification may be parameterized by performing the identity authentication in dependence on the at least one authentication parameter and / or by performing the identity authentication in dependence on the at least one identity attribute. For example, identity authentication depends on which identity attributes are present in the authentication template. Thus, for example, a user can increase the security level by depositing identity attributes in the authentication specification, which ensure high security. This may, for example, be a biometric feature as a security attribute. For example. For example, a security rating can be automated for the identity attributes or assigned by the user. In particular, the authentication specification can also include a service specification, so that depending on the service used, different identity attributes or combinations thereof are used in the identity authentication. For example. For example, the biometric feature may be used as a first identity attribute, e.g. B. be used in an online banking service, and a password can be used as a second identity attribute in an online store service. As a result, different levels of security for different services can be realized.
Vorzugsweise wird unter der Authentifizierung der Nachweis bzw. die Verifizierung einer behaupteten Eigenschaft des Benutzers verstanden. Die behauptete Eigenschaft ist bspw. die Identität des Benutzers und/oder eine Zugangsberechtigung und/oder die reale Identität (des Benutzers) und/oder die digitale Identität des Benutzers. Vorzugsweise sind der (insbesondere der digitalen) Identität des Benutzers weitere Eigenschaften, wie z. B. eine Zugangsberechtigung oder eine biometrischer Eigenschaft (Fingerabdruck, Stimmenerkennung etc.), zugeordnet. The authentication is preferably understood as the detection or verification of an alleged property of the user. The claimed property is, for example, the identity of the user and / or an access authorization and / or the real identity (of the user) and / or the digital identity of the user. Preferably, the (in particular the digital) identity of the user further properties, such. B. an access authorization or a biometric property (fingerprint, voice recognition, etc.) assigned.
Bevorzugt umfasst die Identität die reale und/oder digitale Identität. Die (insbesondere digitale) Identität umfasst besonders bevorzugt technisch abbildbare und/oder abgebildete Daten, welche einer bestimmten Person (dem Benutzer) zugeordnet und/oder zuordenbar sind. Dies können bspw. (digitale) Daten zur Authentifizierung, wie biometrische Daten, und/oder eine Zugangsberechtigung und/oder persönliche Merkmale des Benutzers und/oder (z. B. öffentlich einsehbar und/oder durch den Benutzer veröffentlichte und/oder eingegebene und/oder digitale gespeicherte) veröffentlichte Daten des Benutzers (wie ein Internetprofil) sein. Insbesondere kann die (digitale) Identität weit zu verstehen sein als digital speicherbare und/oder (persistent) gespeicherte Information über den Benutzer. Preferably, the identity comprises the real and / or digital identity. The (in particular digital) identity particularly preferably includes technically reproducible and / or imaged Data associated with a particular person (the user) and / or associable. This may include, for example, (digital) data for authentication, such as biometric data, and / or access authorization and / or personal characteristics of the user and / or (eg publicly available and / or published and / or entered by the user and / or or digitally stored) user's published data (such as an internet profile). In particular, the (digital) identity can be widely understood as digitally storable and / or (persistently) stored information about the user.
Vorzugsweise bezieht sich der Ausdruck„reale Identität" auf die Identität der Person (des Benutzers) im realen Leben und/oder auf Eigenschaften der Person und/oder auf die reale Person als solche, d. h. insbesondere Informationen über den Benutzer, welche ausschließlich nicht-digital und/oder im direkten Kontakt mit dem Benutzer ermittelbar sind. Die reale Identität bzw. der Ausdruck„real" bezieht sich damit insbesondere auf die reale Person, d. h. insbesondere den Benutzer. Preferably, the term "real identity" refers to the identity of the person (user) in real life and / or characteristics of the person and / or the real person as such, ie in particular information about the user, which is exclusively non-digital and / or can be determined in direct contact with the user The real identity or the expression "real" thus relates in particular to the real person, i. H. especially the user.
Bevorzugt umfasst die reale Identität Informationen über den Benutzer, welche mehr als lediglich digital verfügbar sind, z. B. im direkten Kontakt und/oder durch (reale) Überreichung und/oder Begutachtung von Authentifizierungsmitteln wie einem Ausweis und/oder Urkunden. Insbesondere kann der Begriff„real" somit im Rahmen der Erfindung und/oder im engeren Sinne als gleichbedeutend mit „nicht ausschließlich in digitaler Form" und/oder „zumindest teilweise im direktem und/oder persönlichen Kontakt" aufgefasst werden. Eine ausschließlich mittels Digitaltechnik ausgewertete Information über den Benutzer entspricht dann z. B. der (digitalen) Identität. Ein Legitimationsprüfungs- und/oder Identitätsfest- stellungsverfahren zur persönlichen Identifikation, wie z. B. das Post-Ident Verfahren und/oder ein Einscannen und Prüfen der Fingerabdrücke (bspw. persönlich bei einer öffentlichen Stelle und/oder unter Anwesenheit eines Dritten), wird entsprechend ggf. der realen Identität zugeordnet. Somit wird auch insbesondere zwischen einer Identitätsauthentifizierung einer realen Identität (zur persönlichen Identifikation) und einer Identitätsauthentifizierung einer (digitalen) Identität (insbesondere zumindest teilweise ohne direkten persönlichen Kontakt, wobei vorzugsweise die zu prüfende bzw. digitale Identität der realen Identität zugeordnet sein kann) unterschieden. Mit anderen Worten wird bspw. die Identitätsauthentifizierung der digitalen Identität durchgeführt, um auf die reale Identität, z. B. auf Identitätsattribute, zu schließen. Weiter wird insbesondere die Identitätsauthentifizierung der realen Identität, z. B. mittels einer Drittauthentifizierung (z. B. persönlich bei einer öffentlichen Stelle und/oder unter Anwesenheit eines Dritten), durchgeführt, um die Identitätsattribute zu verifizieren und/oder die Zuordnung der digitalen Identität zur realen Identität zu bestätigen und/oder zu beglaubigen. Preferably, the real identity includes information about the user that is more than merely digitally available, e.g. B. in direct contact and / or by (real) handing over and / or assessment of authentication means such as a passport and / or documents. In particular, the term "real" can thus be understood in the context of the invention and / or in the narrow sense as synonymous with "not exclusively in digital form" and / or "at least partially in direct and / or personal contact." An exclusively evaluated by digital technology Information about the user then corresponds, for example, to the (digital) identity A legitimacy check and / or identity determination method for personal identification, such as, for example, the post-identification method and / or scanning and checking of the fingerprints (eg Personal identity is assigned accordingly, if necessary, in particular between an identity authentication of a real identity (for personal identification) and an identity authentication of a (digital) identity (in particular at least partly without direct personal chen contact, preferably the test or digital identity of real identity can be assigned) a distinction. In other words, for example, the identity authentication of the digital identity is performed to reflect the real identity, e.g. For example, identity attributes. Further, in particular, the identity authentication of the real identity, e.g. By means of a third-party authentication (eg, in person at a public office and / or in the presence of a third party) to verify the identity attributes and / or to confirm and / or authenticate the association of the digital identity with the real identity.
Insbesondere stellt die Identitätsauthentifizierung der (insbesondere digitalen) Identität eine Möglichkeit dar, bei positiver (erfolgreicher) Authentifizierung der (digitalen) Identität dem Benutzer Befugnisse zu gewähren, welche ausschließlich der realen Identität zustehen sollten. Dies kann bspw. der Zugang zu einem Internetdienst sein, wie bspw. einem Online- Banking und/oder einem Internet-Shop und/oder einer Social-Media Plattform und/oder dergleichen. Der Internetdient kann dabei bspw. ein Drittdienst sein, welcher insbesondere in der Lage ist, mit einem Sicherheitssystem zur Durchführung der Identitätsauthentifizierung zu kommunizieren. Unter dieser Kommunikation wird dabei insbesondere eine (digitale bzw. technische) Datenkommunikation verstanden, z. B. über ein Netzwerk und/oder das Internet. In particular, the identity authentication of (in particular digital) identity represents a possibility, in the case of positive (successful) authentication of the (digital) identity, to grant the user powers which should be attributed exclusively to the real identity. This can be, for example, access to an Internet service, such as, for example, an online banking and / or an Internet shop and / or a social media platform and / or the like. In this case, the Internet service can be, for example, a third-party service, which in particular is able to communicate with a security system for carrying out identity authentication. Under this communication is understood in particular a (digital or technical) data communication, z. Via a network and / or the Internet.
Ein im Rahmen dieser Erfindung als „digital" beschriebener Vorgang (z. B. „digitales Hinterlegen" und/oder „digitales Erstellen" gemäß dem erfindungsgemäßen Verfahren) umfasst insbesondere einen Vorgang, welcher mittels Datenverarbeitung, d. h. insbesondere zumindest teilweise oder vollständig in digitaler Form (d. h. in digitaler Art und Weise, z. B. mittels der Digitaltechnik und/oder mittels einer z. B. rein technischen Verarbeitung durch z. B. Computer, Prozessoren oder dergleichen) durchgeführt wird. So kann bspw. das digitale Erstellen des Authentifizierungsbereiches (und/oder das digitale Hinterlegen von bspw. Daten) für die (digitale) Identität zumindest teilweise mittels zumindest eines Computers (also einer elektronischen Datenverarbeitungsanlage) erfolgen. Insbesondere erfolgt die digitale Erstellung (und/oder Hinterlegung) ausschließlich mittels des Computers, sobald die Erstellung (und/oder Hinterlegung) durch eine Benutzereingabe (d. h. insbesondere aktiv durch den Benutzer) initiiert wurde. Eine ausschließlich digitale, d. h. vollständig in digitaler Form durchgeführte, Erstellung impliziert insbesondere, dass nach der Initiierung der Erstellung keine weitere Benutzereingabe oder Eingabe oder Handlung eines Dritten notwendig ist, um die vollständige Erstellung durchzuführen. Des Weiteren wird der Authentifizierungsbereich der (insbesondere digitalen) Identität fest zugeordnet, sodass insbesondere ein erstellter Authentifizierungsbereich ausschließlich mit der Identität genutzt werden kann, und vorzugsweise ausschließlich dieser einer Identität und damit nicht weiteren Identitäten zugeordnet werden kann. Umgekehrt kann es allerdings denkbar sein, dass eine Identität mehrere Authentifizierungsbereiche nutzt und/oder anhand der Identität mehrere Authentifizierungsbereiche erstellt werden können. Alternativ kann dies ebenfalls ausgeschlossen werden. Um die feste Zuordnung des Authentifizierungsbereiches für die (insbesondere digitale) Identität zu gewährleisten, kann es bspw. möglich sein, dass der Authentifizierungsbereich eine Information über die Identität, z. B. eine eindeutige Kennung und/oder einen kryptografischen Schlüssel, aufweist, welche der Identität zugeordnet ist. Bspw. wird die Kennung zufällig und/oder fortlaufend generiert und/oder mit weiteren Kennungen anderer Authentifizierungsbereiche verglichen, um eine eindeutige Kennung zu erhalten. Weiter ist es auch denkbar, dass die eindeutige Kennung aus Informationen über die Identität generiert wird. Der Authentifizierungsbereich umfasst z. B. digital und/oder persistent gespeicherte Daten und/oder Informationen, welche zur Identitätsauthentifizierung und/oder Verwaltung von Identitätsattributen dienen und/oder durch eine digitale Auswertung und/oder Verarbeitung zur Authentifizierung herangezogen und/oder ausgelesen werden können. Bevorzugt ist es dabei möglich, dass sämtliche dem Authentifizierungsbereich zugeordneten Daten ein gemeinsames Kennungsmerkmal aufweisen. Das Kennungsmerkmal ist z. B. ein Code, wie die Kennung, und/oder eine Kodierung der Daten, welche z. B. derart erfolgt, dass die Daten dem Authentifizierungsbereich zuordenbar sind. Z. B. ist es hierzu möglich, dass die Daten, welche einem gemeinsamen Authentifizierungsbereich zugeordnet sind, mit dem gleichen (z. B. öffentlichen) Schlüssel verschlüsselt werden, welcher z. B. nur für den einzigen der Identität fest zugeordneten Authentifizierungsbereich verwendet wird. A process described as "digital" in the context of this invention (eg "digital storage" and / or "digital creation" according to the method according to the invention) comprises in particular a process which by means of data processing, ie in particular at least partially or completely in digital form (ie in a digital manner, eg by means of digital technology and / or by means of, for example, purely technical processing by, for example, computers, processors or the like), for example the digital creation of the authentication area (and / or the digital storage of eg data) for the (digital) identity at least partially by means of at least one computer (ie an electronic data processing system) Creation (and / or deposit) by a user input (ie in particular active by the User) was initiated. An exclusively digital, ie entirely digital, creation implies, in particular, that after the initiation of the creation, no further user input or input or action by a third party is necessary in order to perform the complete creation. Furthermore, the authentication area of the (in particular digital) identity is assigned permanently, so that in particular a created authentication area can be used exclusively with the identity, and preferably exclusively this can be assigned to an identity and thus no further identities. Conversely, however, it may be conceivable that an identity uses multiple authentication areas and / or multiple authentication areas can be created based on the identity. Alternatively, this can also be excluded. In order to ensure the firm assignment of the authentication area for the (in particular digital) identity, it may be possible, for example, for the authentication area to provide information about the identity, eg. B. has a unique identifier and / or a cryptographic key, which is associated with the identity. For example. the identifier is randomly and / or continuously generated and / or compared with other identifiers of other authentication areas to obtain a unique identifier. Furthermore, it is also conceivable that the unique identifier is generated from information about the identity. The authentication range includes z. B. digitally and / or persistently stored data and / or information which serve for identity authentication and / or management of identity attributes and / or can be used by a digital evaluation and / or processing for authentication and / or read out. In this case, it is preferably possible for all the data assigned to the authentication area to have a common identification feature. The identifier is z. As a code, such as the identifier, and / or a coding of the data, which z. B. such that the data can be assigned to the authentication area. For example, it is possible for this purpose that the data which is assigned to a common authentication area are encrypted with the same (eg public) key, which e.g. B. is used only for the single authentication area dedicated to the identity.
Ferner ist es insbesondere vorgesehen, dass das digitale Hinterlegen der Authentifizierungsvorgabe dadurch erfolgt, dass zumindest eine Information über das Identitätsattribut (digital) derart als (digitale) Identitätsattributdaten gespeichert wird, dass es dem Authentifizierungsbereich zuordenbar ist und/oder zugeordnet wird. Die digitalen Identitätsattributdaten und/oder die (digital gespeicherte) Authentifizierungsvorgabe umfassen dazu z. B. die Kennung und/oder sind derart verschlüsselt, dass sie nur im Authentifizierungsbereich abgerufen und/oder entschlüsselt werden können. Furthermore, it is provided in particular that the digital storage of the authentication specification takes place in that at least one information about the identity attribute (digital) is stored as (digital) identity attribute data such that it can be assigned to the authentication area and / or assigned. The digital identity attribute data and / or the (digitally stored) authentication specification include z. As the identifier and / or are encrypted so that they can be accessed only in the authentication area and / or decrypted.
Die Identitätsattribute der realen Identität umfassen z. B. technisch abbildbare Daten und/oder Merkmale über die reale Identität (d. h. insbesondere über den Benutzer) und/oder zumindest eine der folgenden Attribute bzw. Daten, welche insbesondere (auch) als Authentifizierungsinformationen dienen: The identity attributes of the real identity include e.g. B. technically reproducible data and / or characteristics about the real identity (i.e., in particular about the user) and / or at least one of the following attributes or data, which in particular (also) serve as authentication information:
Informationen über ein bestimmtes Authentifizierungsgerät, z. B. ein Endgerät, Information about a specific authentication device, such as B. a terminal,
- zumindest ein körperliches und/oder biometrisches Merkmal, at least one physical and / or biometric feature,
- zumindest ein kognitives Merkmal (z. B. ein Passwort und/oder eine Pin),  at least one cognitive feature (eg, a password and / or a pin),
mindestens ein persönliches Merkmal,  at least one personal characteristic,
- zumindest ein Muster,  - at least one pattern,
- eine Ausweis-ID (Identifikator bzw. Kennung),  - a badge ID (identifier or identifier),
- einen Zero-Knowledge-Beweis,  - a zero-knowledge proof,
- und dergleichen.  - and the same.
Die kognitiven Merkmale umfassen insbesondere zumindest eines der folgenden Merkmale: The cognitive features include in particular at least one of the following features:
- zumindest ein Passwort,  - at least one password,
mindestens eine PIN (Persönliche Identifikationsnummer),  at least one PIN (Personal Identification Number),
- mindestens eine Sicherheitsfrage (Antwort auf eine vorbestimmte Frage, welche z. B. der Benutzer zuvor erstellt und/oder ausgewählt hat,  at least one security question (answer to a predetermined question which, for example, the user has previously created and / or selected,
und dergleichen.  and the same.
Die persönlichen Merkmale umfassen insbesondere zumindest eines der folgenden Merkmale: The personal features include in particular at least one of the following features:
- das Alter des Benutzers,  - the age of the user,
- der Name des Benutzers,  - the name of the user,
- die Nationalität des Benutzers,  - the nationality of the user,
Interessen, Vorlieben des Benutzers und dergleichen.  Interests, preferences of the user and the like.
Die körperlichen und/oder biometrischen Merkmale umfassen insbesondere zumindest eines der folgenden Merkmale: The physical and / or biometric features include in particular at least one of the following features:
- zumindest einen Fingerabdruck, vorzugsweise des Benutzers, Informationen über eine Stimme, insbesondere des Benutzers, at least one fingerprint, preferably of the user, Information about a voice, especially the user,
Informationen über mindestens ein Auge, insbesondere der Iris, vorzugsweise des Information about at least one eye, in particular the iris, preferably of the
Benutzers, user,
- zumindest ein Gesichtsmerkmal, vorzugsweise des Benutzers,  at least one facial feature, preferably of the user,
Retinamerkmale, vorzugsweise des Benutzers,  Retinal features, preferably the user,
Informationen über die Handschrift, insbesondere eine digitalisierte Unterschrift, insbesondere des Benutzers,  Information about the manuscript, in particular a digitized signature, in particular of the user,
Informationen über ein Tippverhalten, vorzugsweise des Benutzers,  Information about a typing behavior, preferably of the user,
Informationen über die Handgeometrie, insbesondere einer Handfläche des Information about the hand geometry, especially a palm of the hand
Benutzers, user,
Informationen über eine Handlinienstruktur, insbesondere des Benutzers,  Information about a handline structure, in particular of the user,
Informationen über eine Erbinformation, insbesondere des Benutzers,  Information about genetic information, in particular of the user,
und dergleichen.  and the same.
Die Informationen über ein bestimmtes Authentifizierungsgerat umfassen insbesondere zumindest eines der folgenden Informationen: In particular, the information about a particular authentication device includes at least one of the following information:
Informationen über eine Chipkarte, z. B. über eine Smartcard und/oder eine Information about a chip card, z. B. via a smart card and / or a
Signaturkarte, Signature card
Informationen über eine Kennwortliste,  Information about a password list,
Informationen über ein Netzwerk, z. B. eines Service Set Identifier (SSID) eines WLANs,  Information about a network, such as A service set identifier (SSID) of a WLAN,
Informationen über eine IMSI (International Mobile Subscriber Identity), insbesondere eines Mobilfunkgeräts des Benutzers,  Information about an IMSI (International Mobile Subscriber Identity), in particular a user's mobile device,
Informationen über eine Software, z. B. auf einem Smartphone des Benutzers, Informationen über eine RFID-Karte,  Information about a software, eg. On a user's smartphone, information about an RFID card,
Informationen über eine Mobilfunk-Telefonnummer, z. B. zur Durchführung eines Mobil-TAN (Transaktionsnummer) Verfahrens,  Information about a mobile phone number, e.g. B. for carrying out a mobile TAN (transaction number) method,
Informationen zur Durchführung eines Photo-TAN-Verfahrens,  Information for carrying out a photo-TAN process,
Informationen über eine PIN und/oder Matrixkarte und/oder Streichliste,  Information about a PIN and / or matrix card and / or checklist,
Informationen über eine Smartwatch, insbesondere über einen Identifikator der Smartwatch,  Information about a smartwatch, in particular via an identifier of the smartwatch,
Informationen über einen ID-Geber (Identifikationsgeber), insbesondere eines Fahrzeuges zur Authentifizierung am Sicherheitssystem des Fahrzeuges, Informationen über einen Schlüsselcode, Information about an ID transmitter (identification transmitter), in particular of a vehicle for authentication on the safety system of the vehicle, Information about a key code,
Informationen über ein digitales Zertifikat,  Information about a digital certificate,
Informationen über eine Magnetstreifenkarte,  Information about a magnetic stripe card,
Informationen zur Generierung eines Einmalkennwortes,  Information about generating a one-time password,
- Informationen über ein sonstiges Gerät, welches insbesondere der Benutzer bei sich trägt, z. B. ein Smartphone,  - Information about another device, which carries in particular the user with, for. A smartphone,
und dergleichen.  and the same.
Die Identitätsattribute können unmittelbare bzw. persönliche Identitätsattribute umfassen, insbesondere die biometrischen Merkmale, und/oder mittelbare Identitätsattribute, z. B. ein Gerät, welches der Benutzer bei sich tragen sollte (wie ein Smartphone). Als Authentifizierungsinformationen dienen die Identitätsattribute insbesondere zum Nachweis der (digitalen) Identität des Benutzers. Es ist weiter möglich, dass persönliche Identitätsattribute des Benutzers die körperlichen und/oder biometrischen Merkmale und/oder die Ausweis-ID (z. B. Personalausweis- und/oder Reispass-ID) umfassen. The identity attributes may include immediate or personal identity attributes, in particular the biometric features, and / or indirect identity attributes, e.g. B. a device that the user should carry with him (like a smartphone). As authentication information, the identity attributes are used, in particular, to prove the (digital) identity of the user. It is further possible for the user's personal identity attributes to include the physical and / or biometric features and / or the badge ID (eg ID card and / or passport ID).
Weiter ist es denkbar, dass die Drittauthentifizierung durchgeführt wird, um die (insbesondere digitale) Identität der realen Identität zuzuordnen bzw. diese Zuordnung zu beglaubigen. Hierdurch wird insbesondere die Sicherheit erhöht, und bspw. ein Identitätsdiebstahl zuverlässig verhindert, da vorzugsweise der Authentifizierungsbereich und/oder die (digitale) Identität durch eine„reale" Identifizierung bzw. Authentifizierung in Form der Drittauthentifizierung der realen Identität zugeordnet wird. Hierdurch kann insbesondere bestätigt werden, dass die persönlichen Identitätsattribute (wie die Ausweis-ID und/oder die biometrischen Merkmale) tatsächlich zur realen Identität (zum Benutzer) gehören. Die Drittauthentifizierung wird dabei bevorzugt derart durchgeführt, dass (zumindest technisch) gewährleistet ist, dass mit zumindest sehr hoher Wahrscheinlichkeit nur der Benutzer (z. B. persönlich) die Drittauthentifizierung erfolgreich durchführen und die persönlichen Identitätsattribute oder sämtliche Identitätsattribute der hinterlegten Authentifizierungsvorgabe bestätigen kann. Die Drittauthentifizierung umfasst somit insbesondere (die technischen Schritte) ein(es) Legitimationsprüfungs- und/oder Identitätsfeststellungsverfahren zur persönlichen Identifikation. Z. B. wird hierzu nach der persönlichen Authentisierung durch den Benutzer bzw. Authentifizierung durch den Dritten (wie einer öffentlichen Stelle) ein elektronisches und/oder digitales Zertifikat generiert und/oder ein bereits generiertes Zertifikat bestätigt, z. B. durch Signierung des Zertifikats und/oder (elektronischem) Zurücksenden des (signierten) Zertifikats an den Authentifizierungsbereich. Die Drittauthentifizierung umfasst z. B. das Erstellen qualifizierter Signaturschlüssel- und/oder Attributszertifikate und/oder die Bestätigung der (Zugehörigkeit der digitalen zur realen) Identität durch eine offizielle Stelle. Furthermore, it is conceivable that the third-party authentication is carried out in order to assign the (in particular digital) identity to the real identity or to authenticate this assignment. In particular, security is increased and, for example, identity theft reliably prevented, since preferably the authentication area and / or the (digital) identity is assigned to the real identity by a "real" identification or authentication in the form of third-party authentication In this case, the personal identity attributes (such as the ID card ID and / or the biometric features) actually belong to the real identity (to the user) .Third authentication is preferably carried out in such a way that (at least technically) it is guaranteed that at least very high Probably only the user (eg, personally) can successfully perform the third-party authentication and confirm the personal identity attributes or all the identity attributes of the stored authentication default Steps) a legitimization check and / or identification procedure for personal identification. For example, an electronic and / or digital certificate is generated for this purpose after the personal authentication by the user or authentication by the third party (such as a public body) and / or an already generated certificate confirmed, eg. By signing the certificate and / or (electronically) returning the (signed) certificate to the authentication area. The third-party authentication includes z. B. the creation of qualified signature key and / or attribute certificates and / or the confirmation of the (membership of digital to real) identity by an official body.
Der Authentifizierungsbereich umfasst dabei insbesondere den überwiegenden Teil oder sämtliche Daten, welche zur Identitätsauthentifizierung der (z. B. digitalen) Identität notwendig sind. Hierzu sind die Daten z. B. digital und/oder persistent und/oder verschlüsselt gespeichert. In particular, the authentication area encompasses the majority or all of the data which is necessary for the identity authentication of the (eg digital) identity. For this purpose, the data z. B. digitally and / or persistently and / or encrypted stored.
Insbesondere zum Schützen der Authentifizierungsvorgabe erfolgt die Verschlüsselung des Authentifizierungsbereiches und/oder der Authentifizierungsvorgabe bspw. derart, dass ausschließlich anhand der (insbesondere digitalen) Identität (und damit insbesondere ausschließlich) der Benutzer (mit der realen Identität) eine inhaltliche Veränderung der Authentifizierungsvorgabe vornehmen kann. In particular for protecting the authentication specification, the encryption of the authentication area and / or the authentication specification takes place, for example, in such a way that the user (with the real identity) can make a substantive change to the authentication specification solely on the basis of the (in particular digital) identity (and therefore especially exclusively).
Des Weiteren ist es im Rahmen der Erfindung optional möglich, dass die Authentifizierungsvorgabe dadurch geschützt wird, dass das Identitätsattribut und/oder der Authentifizierungsparameter verschlüsselt gespeichert werden, sodass die Entschlüsselung und/oder eine erneute Verschlüsselung nur dann durchgeführt wird, wenn die Identitätsauthentifizierung der Identität erfolgreich ist, sodass insbesondere nur dann die inhaltliche Veränderung der Authentifizierungsvorgabe befugt durchgeführt wird, insbesondere nur durch den Benutzer selber. Furthermore, within the scope of the invention, it is optionally possible for the authentication specification to be protected by storing the identity attribute and / or the authentication parameter in encrypted form so that the decryption and / or re-encryption is performed only if the identity authentication of the identity is successful is, so that in particular only the substantive change of the authentication specification is performed authorized, in particular only by the user himself.
Weiter ist es insbesondere denkbar, dass die Identitätsattribute und/oder die Authentifizierungsparameter derart kryptografisch gesichert werden, dass sie zwar für eine Identitätsauthentifizierung entschlüsselt werden können, aber für die inhaltliche Veränderung nur bei erfolgreicher Identitätsauthentifizierung befugt verändert und/oder erneut verschlüsselt werden können. Dies gewährleistet, dass lediglich der Benutzer selber die Verwaltung und/oder inhaltliche Veränderung der Authentifizierungsvorgabe durchführen kann. Des Weiteren ist es denkbar, dass die Authentifizierungsvorgabe dadurch geschützt wird, dass die inhaltliche Veränderung der Authentifizierungsvorgabe kryptografisch eingeschränkt und/oder überwacht wird, sodass insbesondere eine unbefugte inhaltliche Veränderung durch einen Überwachungsmechanismus, insbesondere zyklisch und/oder regelmäßig, überwacht und/oder detektiert wird, wobei der Überwachungsmechanismus vorzugsweise die Prüfung einer Prüfkennung und/oder einer digitalen Signatur und/oder eines digitalen Zertifikats und/oder anhand eines asymmetrisches Kryptosystems, insbesondere anhand eines geheimen und/oder öffentlichen kryptografischen Schlüssels, umfasst. Insbesondere stellt ein Authentifizierungsdienst zur Identitätsauthentifizierung und/oder zur Überwachung und/oder Einschränkung der inhaltlichen Veränderung der Authentifizierungsvorgabe eine Verarbeitungsvorrichtung bereit, z. B. einen Server und/oder einen Prozessor, durch welchen entsprechende kryptografische Verfahren durchgeführt werden. Insbesondere umfasst der Server dabei eine Datenspeichervorrichtung, auf welcher z. B. eine Datenbank und/oder die Identitätsattribute und/oder die Authentifizierungsvorgabe verschlüsselt gespeichert sind. Dies gewährleistet eine erhöhte Sicherheit bei der Identitätsauthentifizierung. Furthermore, it is conceivable in particular that the identity attributes and / or the authentication parameters are cryptographically secured in such a way that they can be decrypted for identity authentication but can only be changed and / or re-encrypted for the content-related change if successful identity authentication is carried out. This ensures that only the user himself can carry out the administration and / or content modification of the authentication specification. Furthermore, it is conceivable that the authentication specification is protected by cryptographically restricting and / or monitoring the content-related change of the authentication specification, so that, in particular, an unauthorized change in content is monitored and / or detected by a monitoring mechanism, in particular cyclically and / or regularly in which the monitoring mechanism preferably comprises checking a test identifier and / or a digital signature and / or a digital certificate and / or using an asymmetric cryptosystem, in particular using a secret and / or public cryptographic key. In particular, an authentication service for identity authentication and / or for monitoring and / or restricting the content modification of the authentication specification provides a processing device, e.g. For example, a server and / or a processor through which appropriate cryptographic methods are performed. In particular, the server comprises a data storage device on which z. B. a database and / or the identity attributes and / or the authentication specification are stored encrypted. This ensures increased security in identity authentication.
Ebenfalls unter Schutz gestellt ist ferner ein Computerprogrammprodukt, welches zur Durchführung des erfindungsgemäßen Verfahrens ausgeführt ist. Das Computerprogrammprodukt ist bspw. als Firmware und/oder als Computerprogramm und/oder als digitaler Datenträger, z. B. CD oder Festplatte oder Datenspeichervorrichtung oder Flash-Speicher, und/oder dergleichen ausgeführt. Weiter ist auch eine Verarbeitungsvorrichtung unter Schutz gestellt, welche zur Durchführung des erfindungsgemäßen Verfahrens ausgeführt ist. Also provided under protection is also a computer program product, which is designed to carry out the method according to the invention. The computer program product is, for example, as a firmware and / or as a computer program and / or as a digital disk, for. CD or hard disk or data storage device or flash memory, and / or the like. Furthermore, a processing device is provided under protection, which is designed for carrying out the method according to the invention.
Ferner kann es im Rahmen der Erfindung vorgesehen sein, dass die Identitätsauthentifizierung nur dann erfolgreich ist, wenn die Identität anhand einer Auswahl von dem mindestens einem Identitätsattribut, insbesondere der Auswahl von mindestens zwei oder mindestens drei oder mindestens vier Identitätsattributen, authentifiziert wird, wobei insbesondere die ausgewählten Identitätsattribute jeweils als Authentifizierungsfaktoren durch den Authentifizierungsparameter vorgegeben sind. Insbesondere kann dazu auch eine 2-Faktor-Authentifizierung oder eine 3-Faktor- Authentifizierung oder eine Multi-Faktor-Authentifizierung, insbesondere eine halbautomatische oder vollautomatische 2-Faktor-Authentifizierung oder Multi-Faktor- Authentifizierung zum Einsatz kommen. Hierdurch wird die Sicherheit bei der Identitätsauthentifizierung weiter erhöht. Furthermore, it can be provided within the scope of the invention that the identity authentication is only successful if the identity is authenticated on the basis of a selection of the at least one identity attribute, in particular the selection of at least two or at least three or at least four identity attributes, wherein in particular the selected identity attributes are each specified as authentication factors by the authentication parameter. In particular, a 2-factor authentication or a 3-factor authentication or a multi-factor authentication, in particular a semi-automatic or fully automatic 2-factor authentication or multi-factor authentication can be used. This further enhances security in identity authentication.
Es kann weiter möglich sein, dass das digitale Hinterlegen des mindestens einen Authentifizierungsparameters in der Authentifizierungsvorgabe erfolgt, sodass die Authentifizierungsvorgabe inhaltlich den Authentifizierungsparameter umfasst, und die Authentifizierungsvorgabe derart geschützt wird, dass die inhaltliche Veränderung des Authentifizierungsparameters und des Identitätsattributs stets die erfolgreiche Identitätsauthentifizierung der Identität voraussetzt. Bspw. sind hierzu die Informationen und/oder Daten des Authentifizierungsparameters und/oder der Authentifizierungsvorgabe und/oder der Identitätsattribute in einem kryptografisch gesicherten Datencontainer, z. B. in einer verschlüsselten Datei, gespeichert. It may further be possible for the digital storage of the at least one authentication parameter to take place in the authentication specification, so that the authentication specification comprises the content of the authentication parameter, and the authentication specification is protected in such a way that the content-related change of the authentication parameter and the identity attribute always presupposes the successful identity authentication of the identity , For example. For this purpose, the information and / or data of the authentication parameter and / or the authentication specification and / or the identity attributes in a cryptographically secured data container, eg. In an encrypted file.
Auch ist es optional denkbar, dass das Identitätsattribut zumindest eine der nachfolgenden Attribute, insbesondere des Benutzers, umfasst: It is also optionally conceivable that the identity attribute comprises at least one of the following attributes, in particular of the user:
mindestens eine kognitive Eigenschaft, insbesondere des Benutzers,  at least one cognitive feature, in particular of the user,
mindestens eine biometrische Eigenschaft, insbesondere des Benutzers,  at least one biometric characteristic, in particular of the user,
- eine Ausweis-ID, insbesondere des Benutzers, insbesondere eines Personalausweises,  an identity card ID, in particular of the user, in particular of an identity card,
- mindestens ein Verhaltensmuster, insbesondere des Benutzers,  at least one behavioral pattern, in particular of the user,
mindestens eine IMEI- oder SIM-Kartennummer,  at least one IMEI or SIM card number,
mindestens eine Account-ID, welche vorzugsweise dem Authentifizierungsbereich und/oder der Identität zugeordnet ist, und bevorzugt bei oder nach der Erstellung des Authentifizierungsbereichs generiert wird.  at least one account ID, which is preferably assigned to the authentication area and / or the identity, and is preferably generated during or after the creation of the authentication area.
Hierzu kann es bspw. auch möglich sein, dass zur Prüfung der Identitätsattribute ein Sensor und/oder ein Identifikationsgeber und/oder ein mobiles Kommunikationsgerät, z. B. ein Smartphone, ausgewertet werden. Bspw. wird das Verhaltensmuster dadurch geprüft, dass eine Gestenerkennung oder dergleichen ausgewertet wird. Dies ermöglicht eine sichere und einfache sowie komfortable Authentifizierung. For this purpose, it may, for example, also be possible to use a sensor and / or an identification transmitter and / or a mobile communication device, for examining the identity attributes. As a smartphone to be evaluated. For example. the behavioral pattern is checked by a gesture recognition or the like is evaluated. This enables secure, simple and convenient authentication.
Ferner kann im Rahmen der Erfindung vorgesehen sein, dass der Authentifizierungsbereich und/oder die Authentifizierungsvorgabe ausschließlich der einen Identität zugeordnet wird. Furthermore, it can be provided in the context of the invention that the authentication area and / or the authentication specification is assigned exclusively to the one identity.
Damit kann es insbesondere möglich sein, dass der Authentifizierungsbereich und/oder die Authentifizierungsvorgabe keiner weiteren digitalen Identität zugeordnet werden und/oder werden kann. Damit wird gewährleistet, dass ausschließlich der Benutzer Zugriff auf den Authentifizierungsbereich zur inhaltlichen Veränderung hat. Thus, it may be possible, in particular, for the authentication area and / or the authentication specification to not be assigned to any further digital identity and / or be able to be. This ensures that only the user has access to the authentication area for content-related changes.
Ferner kann es im Rahmen der Erfindung vorgesehen sein, dass, vorzugsweise anhand einer Benutzereingabe, eine, insbesondere maximale, Auswahl von Authentifizierungsfaktoren im Authentifizierungsparameter digital hinterlegt wird, wobei die Identitätsauthentifizierung nur dann erfolgreich ist, wenn die Identität anhand der sämtlichen ausgewählten Authentifizierungsfaktoren authentifiziert wird. Die maximale Auswahl ist dabei insbesondere die Auswahl bei einer maximalen Sicherheitsstufe, um die höchste Sicherheit bei der Authentifizierung zu gewährleisten. In einer weiteren Möglichkeit kann vorgesehen sein, dass die Verwaltung und/oder die Identitätsauthentifizierung von einem Sicherheitsdienst (insbesondere Authentifizierungsdienst) ausgeführt werden, wobei der Sicherheitsdienst mit mindestens einem weiteren Drittdienst kommuniziert, um mindestens eine dienstabhängige Identitätsauthentifizierung durchzuführen. Die dienstabhängige Identitätsauthentifizierung kann sich bspw. darauf beziehen, dass für unterschiedliche Dienstarten (z. B. Online- Banking und Internet-Shops) eine unterschiedliche Identitätsauthentifizierung und/oder eine unterschiedliche Sicherheitsstufe bei der Identitätsauthentifizierung verwendet werden. Furthermore, it can be provided within the scope of the invention that, preferably by means of a user input, one, in particular maximum, selection of authentication factors is digitally stored in the authentication parameter, wherein the identity authentication is only successful if the identity is authenticated on the basis of all the selected authentication factors. The maximum selection is in particular the selection at a maximum security level, in order to ensure the highest security during the authentication. In a further possibility it can be provided that the administration and / or the identity authentication are carried out by a security service (in particular authentication service), wherein the security service communicates with at least one further third service in order to carry out at least one service-dependent identity authentication. The service-dependent identity authentication can refer, for example, to the fact that for different types of service (eg, online banking and Internet shops) a different identity authentication and / or a different security level are used in the identity authentication.
Es kann optional möglich sein, dass eine dienstabhängige Identitätsauthentifizierung dadurch erfolgt, dass mindestens ein Drittdienst eine Anfrage an einen, insbesondere zentralen und/oder einzigen, Sicherheitsdienst (insbesondere Authentifizierungsdienst) zur Durchführung der Identitätsauthentifizierung übersendet, insbesondere über eine Internetverbindung, sodass der, insbesondere jeder, Drittdienst, insbesondere ein Internetdienst, nur mittelbar über den Sicherheitsdienst die Identitätsauthentifizierung der Identität durchführt. Insbesondere kann dabei die Übertragung bei der Übersendung der Anfrage verschlüsselt erfolgen, um die Sicherheit zu gewährleisten. Nach einer weiteren Möglichkeit kann vorgesehen sein, dass eine Anfrage eines Drittdienstes zumindest eine Vergleichsinformation umfasst, welche zur dienstabhängigen Identitätsauthentifizierung mit einem Identitätsattribut verglichen wird, sodass nur bei einer Übereinstimmung innerhalb eines Toleranzbereiches die dienstabhängige Identitätsauthentifizierung erfolgreich ist. Der Toleranzbereich kann bspw. eine Toleranz zwischen 0% und 50%, vorzugsweise zwischen 10% und 20% aufweisen, wobei bei einer Toleranz von 0% keine Abweichung zum Identitätsattribut vorliegen darf. Insbesondere kann der Toleranzbereich identitätsattributabhängig sein, sodass bspw. bei einer Passworteingabe die Toleranz bei 0% festgelegt wird und/oder bei der Authentifizierung mittels eines biometrischen Merkmals die Toleranz bei z. B. 20% festgelegt wird. Hierdurch die Robustheit deutlich erhöht. It may optionally be possible for service-dependent identity authentication to take place in that at least one third-party service sends a request to an especially central and / or single security service (in particular authentication service) for performing identity authentication, in particular via an internet connection, so that, in particular everyone , Third party service, especially one Internet service, performing identity identity authentication only indirectly through the security service. In particular, the transmission can be encrypted when the request is sent in order to ensure security. According to a further possibility, it can be provided that a request from a third party service comprises at least one comparison information which is compared with an identity attribute for service-dependent identity authentication so that service-dependent identity authentication is only successful if there is a match within a tolerance range. The tolerance range may, for example, have a tolerance of between 0% and 50%, preferably between 10% and 20%, whereby with a tolerance of 0% no deviation from the identity attribute may be present. In particular, the tolerance range can be dependent on the identity attribute, so that, for example, when a password is entered, the tolerance is set at 0% and / or the tolerance at z. B. 20% is set. This significantly increases the robustness.
Insbesondere ist die Vergleichsinformation eine Information, welche durch den Benutzer zur Authentifizierung (insbesondere bei der Identitätsauthentifizierung) und/oder durch den Drittdienst übertragen wird und/oder welche mit dem Identitätsattribut verglichen wird. Bspw. überträgt der Benutzer zur Authentifizierung bei dem Drittdienst die Vergleichsinformation an den Drittdienst, der Drittdienst überträgt diese wiederum an den Authentifizierungsdienst und der Authentifizierungsdienst prüft die Vergleichsinformation anhand des mindestens einem dem Drittdienst zugeordneten Identitätsattributs, sodass der Authentifizierungsdienst davon abhängig dem Drittdienst eine erfolgreiche oder fehlgeschlagene Authentifizierung meldet. In particular, the comparison information is information which is transmitted by the user for authentication (in particular in the identity authentication) and / or by the third-party service and / or which is compared with the identity attribute. For example. For authentication to the third party service, the user transmits the comparison information to the third-party service, the third-party service transmits it to the authentication service, and the authentication service checks the comparison information based on the at least one identity attribute associated with the third-party service, and the authentication service reports successful or failed authentication to the third-party service ,
So ist bspw. die Vergleichsinformation ein Passwort, welches der Benutzer zur Identifizierung eingegeben hat. Alternativ oder zusätzlich umfasst die Vergleichsinformation Informationen, welche durch eine Benutzereingabe und/oder eine Sensorerfassung ermittelt werden. Dies kann bspw. auch eine Kameraaufnahme und/oder eine akustische Aufzeichnung und/oder die Kombination von einer Auszeichnung einer Sensorik (mit verschiedenen Sensoren) sein. Insbesondere dient dabei die Vergleichsinformation zum Nachweis einer Kenntnis einer Information und/oder einer Verwendung eines Besitztums und/oder einer Gegenwart des Benutzers selbst. Bevorzugt wird dabei die Vergleichsinformation verschlüsselt zum Vergleich mit dem Identitätsattribut übertragen. Insbesondere wird die Vergleichsinformation durch die Sensorik des Endgeräts und/oder eines Smartphones generiert. Bspw. kann die Vergleichsinformation auch eine Information einer Gestenerkennung bei dem Benutzer sein. For example, the comparison information is a password which the user has entered for identification. Alternatively or additionally, the comparison information comprises information which is determined by a user input and / or a sensor detection. This may, for example, also be a camera recording and / or an acoustic recording and / or the combination of an award from a sensor system (with different sensors). In particular, the comparison information serves to prove a knowledge of an information and / or a use of a property and / or a presence of the user himself Encrypted comparison information encrypted for comparison with the identity attribute. In particular, the comparison information is generated by the sensor technology of the terminal and / or a smartphone. For example. For example, the comparison information may also be information of a gesture recognition at the user.
Es ist ferner denkbar, dass ein Toleranzbereich für die dienstabhängige Identitätsauthentifizierung durch eine Benutzereingabe angepasst wird, insbesondere durch Veränderung des, vorzugsweise zumindest eines der, Authentifizierungsparameter(s). Auch hierdurch kann insbesondere die Identitätsauthentifizierung parametrisiert werden. It is also conceivable that a tolerance range for the service-dependent identity authentication is adapted by a user input, in particular by changing the, preferably at least one of the, authentication parameters (s). This, in particular, can also be used to parameterize identity authentication.
Beispielsweise kann es vorgesehen sein, dass bei einer dienstabhängigen Identitätsauthentifizierung eine Antwort an den Drittdienst übertragen wird, welche eine Information umfasst, ob die dienstabhängige Identitätsauthentifizierung erfolgreich oder erfolglos ist, sodass insbesondere in Abhängigkeit von der Information ein Zugangsberechtigungscode durch den Drittdienst, insbesondere für den Benutzer, erzeugt wird. Insbesondere wird dabei die Antwort verschlüsselt von dem Authentifizierungsdienst (Sicherheitsdienst) an den Drittdienst übertragen. For example, it may be provided that in a service-dependent identity authentication, a response is transmitted to the third party service, which includes information whether the service-dependent identity authentication is successful or unsuccessful, so in particular depending on the information, an access authorization code by the third-party service, in particular for the user , is produced. In particular, the answer is encrypted by the authentication service (security service) to the third party service.
Es kann weiter möglich sein, dass, vorzugsweise anhand einer Benutzereingabe und/oder eines Drittdienstes, eine dienstabhängige Auswahl von Authentifizierungsfaktoren, bevorzugt im Authentifizierungsparameter und/oder separat von der Authentifizierungsvorgabe, digital hinterlegt wird, wobei eine dienstabhängige Identitätsauthentifizierung nur dann erfolgreich ist, wenn die Identität anhand der sämtlichen dienstabhängig ausgewählten Authentifizierungsfaktoren authentifiziert wird. Insbesondere umfasst die Auswahl die Anzahl und/oder die Art der Authentifizierungsfaktoren, z. B. die Vorgabe eines minimalen Trustlevels (einer minimalen Sicherheitsstufe) durch den Drittdienst, wobei vorzugsweise der Benutzer die Sicherheitsstufe erhöhen kann. Vorzugsweise muss dabei durch den Drittdienst eine minimale von dem Benutzer vorgegebene Sicherheitsstufe eingehalten werden. Auch ist es optional denkbar, dass neben einer dienstabhängigen Auswahl von Authentifizierungsfaktoren durch den Drittdienst noch eine zusätzliche Auswahl von weiteren Authentifizierungsfaktoren durch eine Benutzereingabe digital hinterlegt wird. Insbesondere kann der Benutzer auf diese Weise eine minimale Sicherheitsstufe vorgeben. Außerdem ist es von Vorteil, wenn ausschließlich durch eine Benutzereingabe, insbesondere durch den Benutzer, insbesondere durch eine Genehmigung durch den Benutzer, eine inhaltliche Veränderung des Authentifizierungsbereichs und/oder der Authentifizierungsvorgabe durchgeführt werden kann, und insbesondere andernfalls, vorzugsweise kryptografisch (kryptografische Sicherung), verhindert wird. Insbesondere kann hierzu eine derartige Verschlüsselung erfolgen, welche lediglich durch den Benutzer entschlüsselt werden kann. Insbesondere kann zur kryptografischen Sicherung, z. B. des Authentifizierungsbereiches und/oder der Authentifizierungsvorgabe, eine Public-Key-Infrastruktur und/oder dergleichen zum Einsatz kommen. Hierzu kann bspw. ein öffentlicher und ein privater Schlüssel erstellt werden, wobei lediglich der Benutzer Zugriff auf den privaten Schlüssel hat. Der öffentliche Schlüssel wird bspw. zur Identitätsauthentifizierung genutzt, und der private Schlüssel wird bspw. zur inhaltlichen Verwaltung (inhaltliche Veränderung) des Authentifizierungsbereiches und/oder der Authentifizierungsvorgabe verwendet. It may also be possible for a service-dependent selection of authentication factors, preferably in the authentication parameter and / or separately from the authentication specification, to be stored digitally, preferably based on user input and / or a third-party service, wherein service-dependent identity authentication is only successful if the Identity is authenticated based on all service-dependent selected authentication factors. In particular, the selection includes the number and / or type of authentication factors, e.g. B. the specification of a minimum trust level (a minimum security level) by the third party service, preferably the user can increase the security level. Preferably, a minimum security level specified by the user must be adhered to by the third-party service. It is also optionally conceivable that, in addition to a service-dependent selection of authentication factors by the third-party service, an additional selection of further authentication factors is digitally stored by a user input. In particular, the user can specify in this way a minimum security level. Moreover, it is advantageous if only a user input, in particular by the user, in particular by a user authorization, a change in content of the authentication area and / or the authentication specification can be performed, and in particular otherwise, preferably cryptographically (cryptographic backup), is prevented. In particular, for this purpose, such an encryption can take place, which can only be decrypted by the user. In particular, for cryptographic security, z. As the authentication area and / or the authentication default, a public-key infrastructure and / or the like are used. For this purpose, for example, a public and a private key can be created, with only the user having access to the private key. The public key is used, for example, for identity authentication, and the private key is used, for example, for content management (content modification) of the authentication area and / or the authentication specification.
Ferner kann es im Rahmen der Erfindung vorgesehen sein, dass bei der Drittauthentifizierung zunächst in Abhängigkeit von der Authentifizierungsvorgabe, insbesondere anhand des Identitätsattributs, vorzugsweise anhand einer Ausweis-ID und/oder einer eindeutigen Account-ID und/oder eines öffentlichen kryptografischen Schlüssels, welcher dem Authentifizierungsbereich fest zugeordnet ist, ein kryptografisches Zertifikat generiert wird. Insbesondere ist dabei die Ausweis-ID eine nummerische ID und/oder eine digitale vorgespeicherte ID, bspw. in einem elektronischen Personalausweis des Benutzers. Hierdurch kann die Sicherheit weiter erhöht werden. Furthermore, it may be provided in the context of the invention that in the third-party authentication first depending on the authentication specification, in particular on the basis of the identity attribute, preferably on the basis of a badge ID and / or a unique account ID and / or a public cryptographic key, which Authentication space is assigned, a cryptographic certificate is generated. In particular, the badge ID is a numerical ID and / or a digital pre-stored ID, for example in an electronic identity card of the user. As a result, the security can be further increased.
Außerdem kann es im Rahmen der Erfindung von Vorteil sein, dass bei der Drittauthentifizierung die Bestätigung dadurch erfolgt, dass ein generiertes kryptografisches Zertifikat digital signiert wird und/oder an den Authentifizierungsbereich übertragen und/oder darin persistent (dauerhaft und/oder nicht-flüchtig) gespeichert wird. Insbesondere kann die Speicherung verschlüsselt und/oder in einer nicht flüchtigen Datenspeichervorrichtung, z. B. eines Servers erfolgen. Dies hat den Vorteil, dass eine sichere und zuverlässige Authentifizierung möglich ist. Gemäß einem weiteren Vorteil kann vorgesehen sein, dass bei ausbleibender oder erfolgloser Drittauthentifizierung nach einer vordefinierten Zeitdauer der Authentifizierungsbereich gelöscht wird. Die Zeitdauer liegt dabei bspw. im Bereich von Tagen oder Wochen oder Monaten oder Jahren. Hierdurch kann gewährleistet werden, dass ein nicht genutzter Authentifizierungsbereich und die darin gespeicherten sensiblen Daten zuverlässig gelöscht werden. In addition, it may be advantageous in the context of the invention that in the case of third-party authentication, the confirmation takes place in that a generated cryptographic certificate is digitally signed and / or transmitted to the authentication area and / or stored therein persistently (permanently and / or non-volatile) becomes. In particular, the storage may be encrypted and / or stored in a non-volatile data storage device, e.g. B. a server. This has the advantage that a secure and reliable authentication is possible. According to a further advantage, it can be provided that, in the event of a lack of or unsuccessful third-party authentication, the authentication area is deleted after a predefined period of time. The duration is, for example, in the range of days or weeks or months or years. This can ensure that an unused authentication area and the sensitive data stored therein are reliably deleted.
Vorteilhafterweise kann im Rahmen der Erfindung vorgesehen sein, dass bei der Identitätsauthentifizierung, insbesondere als eine maximale Identitätsauthentifizierung (insbesondere maximale Sicherheitsstufe), und/oder bei einer dienstabhängigen Identitätsauthentifizierung zumindest eine Zwei-Faktor und/oder eine Drei-Faktor und/oder eine Vier-Faktor und/oder eine Fünf-Faktor Authentifizierung zum Einsatz kommt, sodass vorzugsweise eine Auswahl von mindestens drei oder vier oder fünf Authentifizierungsfaktoren zur Authentifizierung genutzt wird. Insbesondere kann die verwendete Authentifizierung durch den Benutzer vorgegeben werden, um eine minimale Sicherheitsstufe festzulegen, insbesondere auch dienstabhängig. Dies ermöglicht eine zuverlässige Kontrolle über die Sicherheitsstufen durch den Benutzer. Gemäß einer vorteilhaften Weiterbildung der Erfindung kann vorgesehen sein, dass ein erster Authentifizierungsfaktor eine Durchführung einer Fingerabdruckauthentifizierung umfasst, insbesondere anhand eines ersten Identitätsattributs, vorzugsweise in Form mindestens eines Fingerabdrucks, und/oder ein zweiter Authentifizierungsfaktor eine Durchführung einer Stimmenauthentifizierung umfasst, insbesondere anhand eines zweiten Identitätsattributs, vorzugsweise in Form mindestens einer Stimmeninformation. Hierzu kann bspw. eine Vergleichsinformation eine akustische Aufzeichnung umfassen und/oder zumindest ein Sensor ausgewertet werden. Der Sensor ist dabei bspw. als ein akustischer Sensor, z. B. als ein Mikrofon, ausgeführt. Insbesondere kann hierzu auch eine Verarbeitung durch einen digitalen Signalprozessor oder dergleichen erfolgen. Dieser ermöglicht die schnelle und zuverlässige Authentifizierung des Benutzers. Advantageously, it may be provided in the context of the invention that in identity authentication, in particular as maximum identity authentication (in particular maximum security level), and / or in service-dependent identity authentication, at least a two-factor and / or a three-factor and / or a four-factor Factor and / or a five-factor authentication is used, so preferably a selection of at least three or four or five authentication factors is used for authentication. In particular, the authentication used by the user can be specified in order to set a minimum security level, in particular also service-dependent. This allows a reliable control over the security levels by the user. According to an advantageous development of the invention, provision may be made for a first authentication factor to comprise a fingerprint authentication, in particular based on a first identity attribute, preferably in the form of at least one fingerprint, and / or a second authentication factor comprises voice authentication, in particular based on a second identity attribute , preferably in the form of at least one voice information. For this purpose, for example, comparative information can comprise an acoustic recording and / or at least one sensor can be evaluated. The sensor is eg. As an acoustic sensor, z. B. as a microphone. In particular, this can also be done by a processing by a digital signal processor or the like. This allows fast and reliable authentication of the user.
Ferner kann es im Rahmen der Erfindung vorgesehen sein, dass ein erster Authentifizierungsparameter vorgesehen ist, welcher eine erste Sicherheitsstufe definiert, und ein zweiter Authentifizierungsparameter vorgesehen ist, welcher eine zweite Sicherheitsstufe definiert, welche höher als die erste Sicherheitsstufe ist, wobei die Sicherheitsstufen und/oder die Authentifizierungsparameter dynamisch veränderbar ausgeführt sind. Die dynamische Veränderung kann bspw. dadurch erzielt werden, dass ein Benutzer die Authentifizierungsparameter inhaltlich verändern kann. Die inhaltliche Veränderung kann bspw. nur durch den Benutzer und/oder nur in der Identität (d. h. insbesondere bei erfolgreicher Identitätsauthentifizierung) erfolgen. Hierdurch können die sensiblen Daten des Benutzers zuverlässig geschützt werden. Optional kann es vorgesehen sein, dass durch die Sicherheitsstufe eine Auswahl und/oder eine Anzahl und/oder eine Art der bei der Identitätsauthentifizierung zu prüfenden Identitätsattribute festgelegt wird. Diese lassen sich insbesondere durch den Benutzer bei einer erfolgreichen Identitätsauthentifizierung inhaltlich verändern. Damit kann ein höherer Komfort und gleichzeitig eine optimale Gewährleistung der Sicherheit ermöglicht werden. Furthermore, it can be provided within the scope of the invention that a first authentication parameter is provided, which defines a first security level, and a second authentication parameter is provided, which defines a second security level, which is higher than the first security level, wherein the security levels and / or the authentication parameters are executed dynamically changeable. The dynamic change can be achieved, for example, by allowing a user to change the content of the authentication parameters. The change in content can be done, for example, only by the user and / or only in the identity (ie in particular with successful identity authentication). As a result, the sensitive data of the user can be reliably protected. Optionally, it can be provided that the security level defines a selection and / or a number and / or a type of identity attributes to be checked during identity authentication. These can be changed in content, in particular by the user in the event of successful identity authentication. This allows a higher level of comfort and at the same time an optimal guarantee of safety.
Es kann optional möglich sein, dass als Voraussetzung für eine inhaltliche Veränderung der Authentifizierungsvorgabe die Identitätsauthentifizierung als eine maximale Identitätsauthentifizierung durchgeführt wird, sodass eine Sicherheitsstufe und/oder eine Anzahl von zu prüfenden Authentifizierungsfaktoren im Vergleich zu weiteren dienstabhängigen Identitätsauthentifizierung maximal ist. Der Ausdruck „maximal" bezieht sich dabei insbesondere darauf, dass eine maximale Sicherheitsstufe vorgesehen ist. Insbesondere wird die maximale Sicherheitsstufe dabei für besonders sicherheitskritische Drittdienste verwendet und/oder zur inhaltlichen Veränderung des Authentifizierungsbereiches und/oder der Authentifizierungsvorgabe genutzt, um sicherzustellen, dass lediglich der Benutzer in seiner Identität die Veränderungen durchführen kann. It may optionally be possible for identity authentication to be performed as a maximum identity authentication as a prerequisite for changing the content of the authentication specification so that a security level and / or a number of authentication factors to be checked is at a maximum compared to further service-dependent identity authentication. The term "maximum" refers in particular to the provision of a maximum security level, in particular the maximum security level being used for particularly security-critical third-party services and / or for changing the content of the authentication area and / or the authentication specification in order to ensure that only the User in his identity can make the changes.
Nach einer weiteren Möglichkeit kann vorgesehen sein, dass die Identitätsauthentifizierung anhand einer Sensorik durchgeführt wird, insbesondere dadurch, dass eine Kommunikation eines Sicherheitsdienstes mit einer Sensorik erfolgt, wobei vorzugsweise das Endgerät die Sensorik aufweist. Die Sensorik kann dabei bspw. einen oder mehrere Sensoren, insbesondere unterschiedlicher Art umfassen. Dies ermöglicht eine flexible Durchführung der Identitätsauthentifizierung. Es ist ferner denkbar, dass eine Sensorik zur Identitätsauthentifizierung vorgesehen ist, wobei die Sensorik zumindest eine der nachfolgenden Sensorikelemente umfasst: According to a further possibility it can be provided that the identity authentication is carried out on the basis of a sensor system, in particular in that a communication of a security service with a sensor system takes place, wherein preferably the terminal has the sensor system. The sensors may include, for example, one or more sensors, in particular of different types. This allows flexible implementation of identity authentication. It is further conceivable that a sensor system for identity authentication is provided, wherein the sensor system comprises at least one of the following sensor elements:
- zumindest eine Software, vorzugsweise eine Smartphone-App, wobei zur Identitätsauthentifizierung die Software ausgeführt wird, vorzugsweise durch das at least one software, preferably a smartphone app, wherein the software is executed for identity authentication, preferably by the
Endgerät, terminal
- zumindest einen Sensor zur Positionsbestimmung, insbesondere GPS (Global Positioning System) Sensor, wobei zur Identitätsauthentifizierung die Positionsbestimmung und/oder eine Erfassung von Bewegungsmuster insbesondere am Benutzer durchgeführt wird,  at least one sensor for position determination, in particular GPS (Global Positioning System) sensor, wherein for identity authentication the position determination and / or a detection of movement patterns is carried out in particular at the user,
- zumindest ein Mikrofon, welches insbesondere mit einer Elektronik zur Stimmenerkennung verbunden ist, wobei bevorzugt zur Identitätsauthentifizierung die Stimmenerkennung und/oder eine Erfassung einer Stimmenlage insbesondere am Benutzer durchgeführt wird,  at least one microphone, which is in particular connected to an electronic system for voice recognition, voice recognition and / or detection of a voice position being performed preferably on the user, preferably for identity authentication,
- zumindest einen Kamerasensor, wobei insbesondere zur Identitätsauthentifizierung eine Gesichtserkennung durchgeführt wird,  at least one camera sensor, wherein face recognition is performed in particular for identity authentication,
- zumindest einen Fingerabdrucksensor, wobei vorzugsweise zur Identitätsauthentifizierung ein Fingerabdruck insbesondere am Benutzer ermittelt wird,  at least one fingerprint sensor, wherein preferably a fingerprint is determined, in particular for the user, for identity authentication,
- zumindest eine Datenschnittstelle, vorzugsweise eine Netzwerkschnittstelle.  - At least one data interface, preferably a network interface.
Vorzugsweise kann von den Sensorelementen oder der Sensorik eine Vergleichsinformation an den Authentifizierungsdienst und/oder an den Drittdienst übertragen werden, z. B. durch eine drahtlose und/oder drahtgebundene und/oder Netzwerkkommunikation. Hierdurch kann eine umfangreiche Authentifizierung zur Erhöhung der Sicherheit gewährleistet werden.  Preferably, comparison information can be transmitted from the sensor elements or the sensor system to the authentication service and / or to the third-party service, eg By wireless and / or wired and / or network communication. As a result, a comprehensive authentication to increase security can be ensured.
Vorteilhafterweise kann bei der Erfindung vorgesehen sein, dass bei einer erfolgreichen dienstabhängigen Identitätsauthentifizierung ein Zugangssystem eines Fahrzeuges und/oder eine Fahrzeugfunktion und/oder eine Parametrisierung des Fahrzeuges angesteuert wird. So kann bspw. ein Schließsystem des Fahrzeuges angesteuert werden, um bspw. eine Zentralverriegelung zu entriegeln und/oder um Türen und/oder eine Heckklappe des Fahrzeuges zu öffnen. Des Weiteren kann vorgesehen sein, dass die Identitatsauthentifizierung und/oder eine dienstabhängige Identitatsauthentifizierung automatisch regelmäßig, insbesondere zyklisch, bevorzugt über eine Internetverbindung, durch Kommunikation mit einer Sensorik, durchgeführt wird. Hierdurch kann bspw. eine regelmäßige und/oder eine automatisierte Identitätsauthentifizierung stattfinden, vorzugsweise ohne Benutzereingabe und/oder Initiierung durch den Benutzer. Dies ermöglicht es, für viele alltägliche Aufgaben eine Authentifizierung im Hintergrund durchzuführen. Hierdurch lässt sich der Komfort bei der Benutzung der Identitätsauthentifizierung deutlich steigern. Vorteilhafterweise kann im Rahmen der Erfindung vorgesehen sein, dass bei der Identitätsauthentifizierung und/oder einer dienstabhängigen Identitätsauthentifizierung eine, insbesondere durch den Benutzer und/oder durch eine Benutzereingabe übermittelte, Vergleichsinformation mit dem mindestens einen Identitätsattribut, welches durch den Authentifizierungsparameter vorgegeben ist, verglichen wird, sodass insbesondere bei einer Übereinstimmung innerhalb eines Toleranzbereiches die Identitätsauthentifizierung und/oder die dienstabhängige Identitätsauthentifizierung erfolgreich ist, wobei vorzugsweise mehrere Authentifizierungsparameter jeweils unterschiedlichen dienstabhängigen Identitätsauthentifizierung zugeordnet sind und/oder diesen jeweils eine Sicherheitsstufe zuweisen, wobei insbesondere eine dienstabhängige Identitätsauthentifizierung der niedrigsten Sicherheitsstufe ohne Vergleich durchgeführt wird und/oder stets erfolgreich ist. Auch hierdurch lässt sich die Sicherheit bei der Identitätsauthentifizierung weiter erhöhen. Advantageously, it may be provided in the invention that, in the case of a successful service-dependent identity authentication, an access system of a vehicle and / or a vehicle function and / or a parameterization of the vehicle are activated. Thus, for example, a locking system of the vehicle can be activated in order, for example, to unlock a central locking and / or to open doors and / or a tailgate of the vehicle. Furthermore, it can be provided that the identity authentication and / or a service-dependent identity authentication is automatically carried out regularly, in particular cyclically, preferably via an internet connection, by communication with a sensor system. As a result, for example, regular and / or automated identity authentication can take place, preferably without user input and / or initiation by the user. This makes it possible to perform background authentication for many everyday tasks. This significantly increases the convenience of using identity authentication. Advantageously, it can be provided in the context of the invention that in identity authentication and / or service-dependent identity authentication, a comparison information, in particular transmitted by the user and / or user input, is compared with the at least one identity attribute specified by the authentication parameter, such that, in particular within a tolerance range, the identity authentication and / or the service-dependent identity authentication is successful, wherein preferably a plurality of authentication parameters are respectively assigned to different service-dependent identity authentication and / or each assign a security level, wherein in particular a service-dependent identity authentication of the lowest security level is performed without comparison and / or always successful. This, too, further enhances security in identity authentication.
Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung, in der unter Bezugnahme auf die Zeichnungen Ausführungsbeispiele der Erfindung im Einzelnen beschrieben sind. Dabei können die in den Ansprüchen und in der Beschreibung erwähnten Merkmale jeweils einzeln für sich oder in beliebiger Kombination erfindungswesentlich sein. Es zeigen: Further advantages, features and details of the invention will become apparent from the following description in which, with reference to the drawings, embodiments of the invention are described in detail. The features mentioned in the claims and in the description may each be essential to the invention individually or in any desired combination. Show it:
Figur 1 eine schematische Darstellung von Teilen zur Durchführung eines erfindungsgemäßen Authentifizierungsverfahrens, FIG. 1 shows a schematic representation of parts for carrying out an authentication method according to the invention,
Figur 2 eine schematische Darstellung zur Visualisierung eines erfindungsgemäßen Figure 2 is a schematic representation of the visualization of an inventive
Authentifizierungsverfahrens, Figuren 3 - 5 weitere schematische Darstellungen zur Visualisierung eines erfindungsgemäßen Authentifizierungsverfahrens. In den nachfolgenden Figuren werden für die gleichen technischen Merkmale auch von unterschiedlichen Ausführungsbeispielen die identischen Bezugszeichen verwendet. Authentication method Figures 3 - 5 are further schematic representations for visualization of an authentication method according to the invention. In the following figures, the identical reference numerals are used for the same technical features of different embodiments.
In Figur 1 ist schematisch ein Fahrzeug 5 gezeigt, mit welchem bspw. ein Authentifizierungs- verfahren 100 durchgeführt werden kann. So ist es bspw. denkbar, dass bei einer erfolgreichen dienstabhängigen Identitätsauthentifizierung 120 ein Zugangssystem eines Fahrzeuges 5 und/oder eine Fahrzeugfunktion und/oder eine Parametrisierung des Fahrzeuges 5 angesteuert wird. Die Ansteuerung dient dann bspw. dazu, ein bewegliches Teil des Fahrzeuges 5, z. B. eine Tür und/oder Heckklappe, zu öffnen, und/oder eine Zentralverriegelung oder eine Schließvorrichtung und/oder dergleichen des Fahrzeuges 5 anzusteuern. Entsprechend kann es vorgesehen sein, dass das Fahrzeug 5 und/oder die Fahrzeugelektronik einen Drittdienst 60 bildet, welcher bei dem erfindungsgemäßen Authentifizierungsverfahren 100 genutzt wird. Weitere Drittdienste 60 sind bspw. Onlinebanking-Anwendung oder Online-Shopping-Dienste oder dergleichen. Die Identitätsauthentifizierung 1 10 kann bspw. anhand einer Sensorik 10 durchgeführt werden, wobei vorzugsweise ein Endgerät 20, z. B. ein Identifikationsgeber für das Fahrzeug 5, die Sensorik 10 umfasst. Weiter wird die Sensorik 10 bspw. durch einen Benutzer 15 mit sich geführt, wobei eine reale Identität 16 insbesondere auf die Identität des Benutzers 15 im realen Leben bezogen ist. FIG. 1 schematically shows a vehicle 5 with which, for example, an authentication method 100 can be carried out. Thus, it is conceivable, for example, that in the case of a successful service-dependent identity authentication 120, an access system of a vehicle 5 and / or a vehicle function and / or a parameterization of the vehicle 5 are actuated. The control then serves, for example, to a movable part of the vehicle 5, z. As a door and / or tailgate to open, and / or a central locking or a locking device and / or the like of the vehicle 5 to control. Accordingly, provision can be made for the vehicle 5 and / or the vehicle electronics to form a third-party service 60, which is used in the authentication method 100 according to the invention. Further third party services 60 are, for example, online banking application or online shopping services or the like. The identity authentication 1 10 can be carried out, for example, based on a sensor 10, wherein preferably a terminal 20, z. B. an identification transmitter for the vehicle 5, the sensor 10 includes. Furthermore, the sensor system 10 is guided, for example, by a user 15 with it, wherein a real identity 16 is related in particular to the identity of the user 15 in real life.
In Figur 2 ist schematisch ein erfindungsgemäßes Authentifizierungsverfahren 100 visualisiert. Dabei ist gezeigt, dass gemäß einem ersten Verfahrensschritt 100.1 ein digitales Erstellen eines Authentifizierungsbereiches 130 für eine Identität 1 15 erfolgt. Gemäß einem zweiten Verfahrensschritt 100.2 erfolgt ein digitales Hinterlegen einer Authentifizierungs- vorgäbe 140 im Authentifizierungsbereich 130 zur Parametrisierung der Identitätsauthentifizierung 1 10. Gemäß einem dritten Verfahrensschritt 100.3 wird eine Drittauthentifizierung der realen Identität 16 anhand der Authentifizierungsvorgabe 140 durchgeführt. Gemäß einem vierten Verfahrensschritt 100.4 wird ein digitales Hinterlegen mindestens eines Authentifizierungsparameters 142 zur Bestimmung einer Sicherheitsstufe durchgeführt. Gemäß einem fünften Verfahrensschritt 100.5 wird die Identitätsauthentifizierung 1 10 in Abhängigkeit von dem Authentifizierungsparameter 142 und dem Identitätsattribut 141 durchgeführt. FIG. 2 schematically illustrates an authentication method 100 according to the invention. It is shown that according to a first method step 100.1, a digital creation of an authentication area 130 for an identity 15 takes place. In accordance with a second method step 100.2, an authentication element 140 is stored digitally in the authentication area 130 for the parameterization of the identity authentication 1 10. According to a third method step 100.3, a third-party authentication of the real identity 16 is performed on the basis of the authentication default 140. According to a fourth method step 100.4 is a digital deposit at least one authentication parameter 142 for determining a security level. According to a fifth method step 100.5, the identity authentication 110 is performed in dependence on the authentication parameter 142 and the identity attribute 141.
Das erfindungsgemäße Authentifizierungsverfahren 100 ist ferner in den Figuren 3 bis 5 näher dargestellt. Gemäß Figur 3 ist ein Authentifizierungsbereich 130 erkennbar, welcher bspw. in der Form von digitalen Daten z. B. verschlüsselt gespeichert sein kann. Der Authentifizierungsbereich 130 umfasst dabei bspw. eine Authentifizierungsvorgabe 140, welche insbesondere zur Parametrisierung der Identitätsauthentifizierung 1 10 dient. Hierzu umfasst die Authentifizierungsvorgabe 140 inhaltlich mindestens ein Identitätsattribut 141 einer realen Identität 16, wobei die inhaltliche Veränderung der Authentifizierungsvorgabe 140 (d. h. insbesondere des mindestens einen Identitätsattributs 141 ) stets die erfolgreiche Identitätsauthentifizierung 1 10 der Identität 1 15 voraussetzt. Bevorzugt ist die (z. B. digitale) Identität 1 15 fest dem Authentifizierungsbereich 130 zugeordnet, d. h. es kann bspw. einem Authentifizierungsbereich 130 nur eine einzige Identität 1 15 zugeordnet werden. Optional kann es möglich sein, dass eine einzige Identität 1 15 auch mehreren Authentifizierungsbereichen 130 zugeordnet ist, welche dann bspw. redundant vorhanden sind. The authentication method 100 according to the invention is further illustrated in more detail in FIGS. 3 to 5. According to Figure 3, an authentication area 130 can be seen, which, for example. In the form of digital data z. B. can be stored encrypted. In this case, the authentication area 130 includes, for example, an authentication specification 140, which serves, in particular, for the parameterization of the identity authentication 110. In terms of content, the authentication specification 140 comprises at least one identity attribute 141 of a real identity 16, wherein the change in the content of the authentication specification 140 (that is to say in particular of the at least one identity attribute 141) always presupposes the successful identity authentication 110 of the identity 1 15. Preferably, the (eg digital) identity 15 is fixedly assigned to the authentication area 130, i. H. For example, it is possible to assign only a single identity 15 to an authentication area 130. Optionally, it may be possible that a single identity 15 is also assigned to a plurality of authentication areas 130, which are then available redundantly, for example.
Weiter ist es vorgesehen, dass die Authentifizierungsvorgabe 140 mindestens einen Authentifizierungsparameter 142 zur Bestimmung einer Sicherheitsstufe aufweist. Es ist dabei in Figur 3 beispielhaft gezeigt, dass auch ein erstes Identitätsattribut 141 a und ein zweites Identitätsattribut 141 b und ein erster Authentifizierungsparameter 142a und ein zweiter Authentifizierungsparameter 142b vorgesehen sind. Selbstverständlich können auch weitere Identitätsattribute 141 und/oder Authentifizierungsparameter 142 vorgesehen sein. Diese können dann bspw. unterschiedlich kombiniert und/oder ausgewertet werden, z. B. in Abhängigkeit von Drittdiensten 60, um so unterschiedliche Sicherheitsstufen für unterschiedliche Drittdienste 60 bereitzustellen. It is further provided that the authentication specification 140 has at least one authentication parameter 142 for determining a security level. It is shown by way of example in FIG. 3 that a first identity attribute 141a and a second identity attribute 141b and a first authentication parameter 142a and a second authentication parameter 142b are also provided. Of course, further identity attributes 141 and / or authentication parameters 142 may be provided. These can then, for example, be combined differently and / or evaluated, for. Dependent on third party services 60, to provide different levels of security for different third party services 60.
Des Weiteren ist in Figur 3 schematisch angedeutet, dass eine Drittauthentifizierung der realen Identität 16 dadurch durchgeführt wird, dass anhand der Authentifizierungsvorgabe 140 die Drittauthentifizierung erfolgt, und bei erfolgreicher Drittauthentifizierung eine Bestätigung 1 12 erzeugt wird. Diese dient insbesondere dazu, die Authentifizierungsvorgabe 140 zu validieren und/oder zu aktivieren. Furthermore, it is schematically indicated in FIG. 3 that a third-party authentication of the real identity 16 is carried out by virtue of the authentication specification 140, the third-party authentication being carried out, and a successful third-party authentication Confirmation 1 12 is generated. This serves, in particular, to validate and / or activate the authentication specification 140.
In Figur 4 ist schematisch gezeigt, dass auch eine Auswahl von mindestens einem Identitätsattribut 141 möglich ist, welche dann für die Identitätsauthentifizierung 1 10 genutzt wird. Insbesondere kann diese Auswahl, d. h. die ausgewählten Identitätsattribute 141 , durch den Benutzer 15 vorgegeben werden. Dies kann bspw. dadurch erfolgen, dass die ausgewählten Identitätsattribute 141 jeweils als Authentifizierungsfaktoren 143 durch den Authentifizierungsparameter 142 vorgegeben sind. Ein Authentifizierungsparameter 142 kann dann bspw. mehrere Authentifizierungsfaktoren 143 umfassen, z. B. einen ersten Authentifizierungsfaktor 143a und einen zweiten Authentifizierungsfaktor 143b, welche entsprechend dienstabhängig für Drittdienste 60 zur dienstabhängigen Konfiguration der Sicherheitsstufe genutzt werden können. Dies wird in Figur 5 weiter veranschaulicht, so wird bspw. gezeigt, dass die Identitätsauthentifizierung 1 10 zentral von einem Sicherheitsdienst 50 (Authentifizierungsdienst 50) ausgeführt werden kann, wobei der Sicherheitsdienst 50 bspw. mit weiteren Drittdiensten 60 kommuniziert. Dies kann bspw. ein erster Drittdienst 60a und ein zweiter Drittdienst 60b und ein dritter Drittdienst 60c sein, welche sich jeweils voneinander unterscheiden und/oder auch in Bezug auf die für die jeweiligen Drittdienste 60 verwendete Sicherheitsstufe unterscheiden. Es wird dabei für die jeweiligen Drittdienste 60 eine dienstabhängige Identitätsauthentifizierung 120 durchgeführt, bspw. mittels einer Datenkommunikation, insbesondere einer verschlüsselten Datenkommunikation. Insbesondere erfolgt dabei die Identitätsauthentifizierung 1 10 nur zwischen dem Sicherheitsdienst 50 und dem Benutzer 15 und/oder der Identität 1 15 in direkter Weise. Entsprechend erfolgt die Identitätsauthentifizierung 1 10 zwischen dem Benutzer 15 und/oder der Identität 1 15 und den Drittdiensten 60 nur in indirekter Weise dadurch, dass eine dienstabhängige Identitätsauthentifizierung 120, d. h. insbesondere auch eine Datenübertragung, zwischen den jeweiligen Drittdiensten 60 und dem Sicherheitsdienst 50 erfolgt. FIG. 4 schematically shows that a selection of at least one identity attribute 141 is also possible, which is then used for identity authentication 110. In particular, this selection, i. H. the selected identity attributes 141 are given by the user 15. This can be done, for example, by specifying the selected identity attributes 141 as authentication factors 143 by the authentication parameter 142. An authentication parameter 142 may then include, for example, multiple authentication factors 143, e.g. B. a first authentication factor 143a and a second authentication factor 143b, which can be used depending on the service for third-party services 60 for service-dependent configuration of the security level. This is further illustrated in FIG. 5, for example it is shown that the identity authentication 1 10 can be executed centrally by a security service 50 (authentication service 50), wherein the security service 50 communicates with other third-party services 60, for example. This may, for example, be a first third-party service 60a and a second third-party service 60b and a third third service 60c, which each differ from one another and / or also differ with regard to the security level used for the respective third-party services 60. A service-dependent identity authentication 120 is thereby carried out for the respective third-party services 60, for example by means of a data communication, in particular an encrypted data communication. In particular, the identity authentication 110 takes place only between the security service 50 and the user 15 and / or the identity 15 in a direct manner. Accordingly, the identity authentication 110 between the user 15 and / or the identity 15 and the third party services 60 is done only indirectly by virtue of a service-dependent identity authentication 120, e.g. H. in particular also a data transmission, between the respective third-party services 60 and the security service 50 takes place.
Die voranstehende Erläuterung der Ausführungsformen beschreibt die vorliegende Erfindung ausschließlich im Rahmen von Beispielen. Selbstverständlich können einzelne Merkmale der Ausführungsformen, sofern technisch sinnvoll, frei miteinander kombiniert werden, ohne den Rahmen der vorliegenden Erfindung zu verlassen. The above explanation of the embodiments describes the present invention solely by way of example. Of course, individual features of the Embodiments, if technically reasonable, are freely combined with one another, without departing from the scope of the present invention.
B ez u g s ze i c h e n l i s te S e c tio n s ia s
5 Fahrzeug 5 vehicle
10 Sensorik 10 sensors
15 Benutzer  15 users
16 reale Identität  16 real identity
20 Endgerät 20 terminal
50 Sicherheitsdienst 60 Drittdienst 50 Security Service 60 Third Party Service
60a erster Drittdienst  60a first third service
60b zweiter Drittdienst  60b second third service
60c dritter Drittdienst 100 Authentifizierungsverfahren  60c third party service 100 authentication procedures
100.1 erster Verfahrensschritt  100.1 first process step
100.2 zweiter Verfahrensschritt  100.2 second process step
100.3 dritter Verfahrensschritt  100.3 third process step
100.4 vierter Verfahrensschritt  100.4 fourth step
100.5 fünfter Verfahrensschritt 100.5 fifth process step
110 Identitätsauthentifizierung 110 identity authentication
112 Bestätigung 112 confirmation
115 (digitale) Identität 115 (digital) identity
120 dienstabhängige Identitätsauthentifizierung 120 service-dependent identity authentication
130 Authentifizierungsbereich 140 Authentifizierungsvorgabe 130 Authentication area 140 Authentication preset
141 Identitätsattribut 141 Identity attribute
141 a erstes Identitätsattribut 141 a first identity attribute
141 b zweites Identitätsattribut 141 b second identity attribute
142 Authentifizierungsparameter142 Authentication Parameters
142a erster Authentifizierungsparameter142a first authentication parameter
142b zweiter Authentifizierungsparameter 142b second authentication parameter
143 Authentifizierungsfaktor 143 Authentication factor
143a erster Authentifizierungsfaktor 143a first authentication factor
143b zweiter Authentifizierungsfaktor 143b second authentication factor

Claims

P a t e n t a n s p r ü c h e P a n t a n s p r e c h e
Authentifizierungsverfahren (100), insbesondere zur Authentifizierung eines BenutzersAuthentication method (100), in particular for authenticating a user
(15) eines Endgeräts (20), wobei durch eine Identitätsauthentifizierung (1 10) eine(15) of a terminal (20), wherein by an identity authentication (1 10) a
Identität (1 15) authentifiziert wird, Identity (1 15) is authenticated,
gekennzeichnet durch die nachfolgenden Schritte: characterized by the following steps:
digitales Erstellen eines Authentifizierungsbereichs (130) für die Identität (1 15), wobei der Authentifizierungsbereich (130) der Identität (1 15) fest zugeordnet ist, digitales Hinterlegen einer Authentifizierungsvorgabe (140) im Authentifizierungsbereich (130) zur Parametrisierung der Identitätsauthentifizierung (1 10), wobei die Authentifizierungsvorgabe (140) inhaltlich mindestens ein Identitätsattribut (141 ) einer realen Identität (16) umfasst,  digitally creating an authentication area (130) for the identity (1 15), the authentication area (130) being permanently assigned to the identity (1 15), digitally depositing an authentication default (140) in the authentication area (130) for parameterizing the identity authentication (1 10 ), wherein the content of the authentication specification (140) comprises at least one identity attribute (141) of a real identity (16),
Durchführen einer Drittauthentifizierung der realen Identität (16) anhand der Authentifizierungsvorgabe (140), sodass bei erfolgreicher Drittauthentifizierung eine Bestätigung (1 12) erzeugt wird,  Performing a third-party authentication of the real identity (16) based on the authentication specification (140) so that a confirmation (1 12) is generated on successful third-party authentication,
digitales Hinterlegen mindestens eines Authentifizierungsparameters (142) zur Bestimmung einer Sicherheitsstufe,  digitally storing at least one authentication parameter (142) for determining a security level,
Durchführen der Identitätsauthentifizierung (1 10) in Abhängigkeit von dem Authentifizierungsparameter (142) und dem Identitätsattribut (141 ), sodass die Identitätsauthentifizierung (1 10) durch die Authentifizierungsvorgabe (140) parametrisiert wird,  Performing the identity authentication (110) in response to the authentication parameter (142) and the identity attribute (141) such that the identity authentication (110) is parameterized by the authentication template (140),
wobei die Authentifizierungsvorgabe (140) derart geschützt wird, dass eine inhaltliche Veränderung der Authentifizierungsvorgabe (140) stets die erfolgreiche Identitätsauthentifizierung (1 10) der Identität (1 15) voraussetzt. wherein the authentication specification (140) is protected in such a way that a change in content of the authentication specification (140) always requires successful identity authentication (1 10) of the identity (1 15).
Authentifizierungsverfahren (100) nach Anspruch 1 , Authentication method (100) according to claim 1,
dadurch gekennzeichnet, characterized,
dass die Authentifizierungsvorgabe (140) dadurch geschützt wird, dass das Identitätsattribut (141 ) und/oder der Authentifizierungsparameter (142) verschlüsselt gespeichert werden, sodass die Entschlüsselung und/oder eine erneute Verschlüsselung nur dann durchgeführt wird, wenn die Identitätsauthentifizierung (1 10) der Identität (1 15) erfolgreich ist, sodass insbesondere nur dann die inhaltliche Veränderung der Authentifizierungsvorgabe (140) befugt durchgeführt wird. that the authentication specification (140) is protected by the fact that the identity attribute (141) and / or the authentication parameter (142) are stored in encrypted form, so that the decryption and / or re-encryption is performed only if the identity authentication (1 10) of the Identity (1 15) is successful, so that in particular only the substantive change of the authentication specification (140) is performed authorized.
Authentifizierungsverfahren (100) nach Anspruch 1 oder 2, An authentication method (100) according to claim 1 or 2,
dadurch gekennzeichnet, characterized,
dass die Authentifizierungsvorgabe (140) dadurch geschützt wird, dass die inhaltliche Veränderung der Authentifizierungsvorgabe (140) kryptografisch eingeschränkt und/oder überwacht wird, sodass insbesondere eine unbefugte inhaltliche Veränderung durch einen Überwachungsmechanismus, insbesondere zyklisch und/oder regelmäßig, überwacht und/oder detektiert wird, wobei der Überwachungsmechanismus vorzugsweise die Prüfung einer Prüfkennung und/oder einer digitalen Signatur und/oder eines digitalen Zertifikats und/oder anhand eines asymmetrisches Kryptosystems, insbesondere anhand eines geheimen und/oder öffentlichen kryptografischen Schlüssels, umfasst. the authentication specification (140) is protected by cryptographically restricting and / or monitoring the change in content of the authentication specification (140), so that, in particular, an unauthorized change in content is monitored and / or detected by a monitoring mechanism, in particular cyclically and / or regularly in which the monitoring mechanism preferably comprises checking a test identifier and / or a digital signature and / or a digital certificate and / or using an asymmetric cryptosystem, in particular using a secret and / or public cryptographic key.
Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet, characterized,
dass die Identitätsauthentifizierung (1 10) nur dann erfolgreich ist, wenn die Identität (1 15) anhand einer Auswahl von dem mindestens einem Identitätsattribut (141 ), insbesondere der Auswahl von mindestens zwei oder mindestens drei oder mindestens vier Identitätsattributen (141 ), authentifiziert wird, wobei insbesondere die ausgewählten Identitätsattribute (141 ) jeweils als Authentifizierungsfaktoren (143) durch den Authentifizierungsparameter (142) vorgegeben sind. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, the identity authentication (1 10) is only successful if the identity (1 15) is authenticated on the basis of a selection from the at least one identity attribute (141), in particular the selection of at least two or at least three or at least four identity attributes (141) , wherein in particular the selected identity attributes (141) are each predetermined as authentication factors (143) by the authentication parameter (142). Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet, characterized,
dass das digitale Hinterlegen des mindestens einen Authentifizierungsparameters (142) in der Authentifizierungsvorgabe (140) erfolgt, sodass die Authentifizierungsvorgabe (140) inhaltlich den Authentifizierungsparameter (142) umfasst, und die Authentifizierungsvorgabe (140) derart geschützt wird, dass die inhaltliche Veränderung des Authentifizierungsparameters (142) und des Identitätsattributs (141 ) stets die erfolgreiche Identitätsauthentifizierung (1 10) der Identität (1 15) voraussetzt. the digital storage of the at least one authentication parameter (142) takes place in the authentication specification (140) so that the authentication specification (140) comprises the content of the authentication parameter (142) and the authentication specification (140) is protected in such a way that the content-related change of the authentication parameter (140) 142) and the identity attribute (141) always requires the successful identity authentication (1 10) of the identity (1 15).
Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet, characterized,
dass das Identitätsattribut (141 ) zumindest eine der nachfolgenden Attribute, insbesondere des Benutzers (15), umfasst: in that the identity attribute (141) comprises at least one of the following attributes, in particular of the user (15):
mindestens eine kognitive Eigenschaft, insbesondere des Benutzers (15), mindestens eine biometrische Eigenschaft, insbesondere des Benutzers (15), eine Ausweis-ID, insbesondere des Benutzers (15), insbesondere eines Personalausweises,  at least one cognitive property, in particular of the user (15), at least one biometric property, in particular of the user (15), an ID card ID, in particular of the user (15), in particular of an identity card,
mindestens ein Verhaltensmuster, insbesondere des Benutzers (15),  at least one behavior pattern, in particular of the user (15),
eine IMEI- oder SIM-Kartennummer,  an IMEI or SIM card number,
eine Account-ID, welche vorzugsweise dem Authentifizierungsbereich (130) und/oder der Identität (1 15) zugeordnet ist, und bevorzugt bei oder nach der Erstellung des Authentifizierungsbereichs (130) generiert wird.  an account ID, which is preferably assigned to the authentication area (130) and / or the identity (1 15), and is preferably generated during or after the creation of the authentication area (130).
Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet, characterized,
dass der Authentifizierungsbereich (130) und/oder die Authentifizierungsvorgabe (140) ausschließlich der einen Identität (1 15) zugeordnet wird. that the authentication area (130) and / or the authentication default (140) is assigned exclusively to the one identity (1 15).
8. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, 8. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass, vorzugsweise anhand einer Benutzereingabe, eine, insbesondere maximale, Auswahl von Authentifizierungsfaktoren (143) im Authentifizierungsparameter (142) digital hinterlegt wird, wobei die Identitatsauthentifizierung (1 10) nur dann erfolgreich ist, wenn die Identität (1 15) anhand der sämtlichen ausgewählten Authentifizierungsfaktoren (143) authentifiziert wird. 9. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche,  that, preferably based on a user input, one, in particular maximum, selection of authentication factors (143) is stored digitally in the authentication parameter (142), wherein the identity authentication (1 10) is only successful if the identity (1 15) is based on the all selected ones Authentication Factors (143) is authenticated. 9. authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass die Verwaltung und/oder die Identitätsauthentifizierung (1 10) von einem Sicherheitsdienst (50) ausgeführt werden, wobei der Sicherheitsdienst (50) mit mindestens einem weiteren Drittdienst (60) kommuniziert, um mindestens eine dienstabhängige Identitätsauthentifizierung (120) durchzuführen.  the administration and / or the identity authentication (110) are performed by a security service (50), the security service (50) communicating with at least one further third party service (60) to perform at least one service-dependent identity authentication (120).
10. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, 10. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass eine dienstabhängige Identitätsauthentifizierung (120) dadurch erfolgt, dass mindestens ein Drittdienst (60) eine Anfrage an einen, insbesondere zentralen und/oder einzigen, Sicherheitsdienst (50) zur Durchführung der Identitätsauthentifizierung (1 10) übersendet, insbesondere über eine Internetverbindung, sodass der, insbesondere jeder, Drittdienst (60), insbesondere ein Internetdienst, nur mittelbar über den Sicherheitsdienst (50) die Identitätsauthentifizierung (1 10) der Identität (1 15) durchführt.  in that a service-dependent identity authentication (120) takes place in that at least one third-party service (60) sends a request to an especially central and / or single security service (50) for carrying out the identity authentication (110), in particular via an internet connection, so that the in particular each third party service (60), in particular an internet service, carries out identity authentication (1 10) of the identity (1 15) only indirectly via the security service (50).
1 1 . Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, 1 1. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass eine Anfrage eines Drittdienstes (60) zumindest eine Vergleichsinformation umfasst, welche zur dienstabhängigen Identitätsauthentifizierung (120) mit einem Identitätsattribut (141 ) verglichen wird, sodass nur bei einer Übereinstimmung innerhalb eines Toleranzbereiches die dienstabhängige Identitätsauthentifizierung (120) erfolgreich ist. in that a request from a third-party service (60) comprises at least one comparison information which is compared to an identity attribute (141) for service-dependent identity authentication (120), so that service-based identity authentication (120) is successful only if there is a match within a tolerance range.
12. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, 12. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass ein Toleranzbereich für die dienstabhängige Identitatsauthentifizierung (120) durch eine Benutzereingabe angepasst wird, insbesondere durch Veränderung des, vorzugsweise zumindest eines der, Authentifizierungsparameter(s) (142).  in that a tolerance range for the service-dependent identity authentication (120) is adapted by a user input, in particular by changing the, preferably at least one, of the authentication parameter (s) (142).
13. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, 13. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass bei einer dienstabhängigen Identitätsauthentifizierung (120) eine Antwort an den Drittdienst (60) übertragen wird, welche eine Information umfasst, ob die dienstabhängige Identitätsauthentifizierung (120) erfolgreich oder erfolglos ist, sodass insbesondere in Abhängigkeit von der Information ein Zugangsberechtigungscode durch den Drittdienst (60), insbesondere für den Benutzer (15), erzeugt wird. 14. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche,  in the case of service-dependent identity authentication (120), a response is transmitted to the third-party service (60) which includes information as to whether the service-dependent identity authentication (120) is successful or unsuccessful, such that, in particular depending on the information, an access authorization code by the third-party service (60 ), in particular for the user (15). 14. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass, vorzugsweise anhand einer Benutzereingabe und/oder eines Drittdienstes (60), eine dienstabhängige Auswahl von Authentifizierungsfaktoren (143), bevorzugt im Authentifizierungsparameter (142) und/oder separat von der Authentifizierungsvorgabe (140), digital hinterlegt wird, wobei eine dienstabhängige Identitätsauthentifizierung (120) nur dann erfolgreich ist, wenn die Identität (1 15) anhand der sämtlichen dienstabhängig ausgewählten Authentifizierungsfaktoren (143) authentifiziert wird.  in that a service-dependent selection of authentication factors (143), preferably in the authentication parameter (142) and / or separately from the authentication specification (140), is stored digitally, preferably on the basis of a user input and / or a third-party service (60), whereby a service-dependent identity authentication ( 120) is only successful if the identity (1 15) is authenticated on the basis of all the service-dependent selected authentication factors (143).
15. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, 15. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass neben einer dienstabhängigen Auswahl von Authentifizierungsfaktoren (143) durch den Drittdienst (60) noch eine zusätzliche Auswahl von weiteren Authentifizierungsfaktoren (143) durch eine Benutzereingabe digital hinterlegt wird. in addition to a service-dependent selection of authentication factors (143) by the third-party service (60), an additional selection of further authentication factors (143) is digitally stored by a user input.
16. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, 16. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass ausschließlich durch eine Benutzereingabe, insbesondere durch den Benutzer (15), insbesondere durch eine Genehmigung durch den Benutzer (15), eine inhaltliche that only by a user input, in particular by the user (15), in particular by a permit by the user (15), a content
Veränderung des Authentifizierungsbereichs (130) und/oder der Authentifizierungsvorgabe (140) durchgeführt werden kann, und insbesondere andernfalls, vorzugsweise kryptografisch, verhindert wird. 17. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, Modification of the authentication area (130) and / or the authentication specification (140) can be performed, and in particular otherwise, preferably cryptographically prevented. 17. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass bei der Drittauthentifizierung zunächst in Abhängigkeit von der Authentifizierungsvorgabe (140), insbesondere anhand des Identitätsattributs (141 ), vorzugsweise anhand einer Ausweis-ID und/oder einer eindeutigen Account-ID und/oder eines öffentlichen kryptografischen Schlüssels, welcher dem Authentifizierungsbereich (130) fest zugeordnet ist, ein kryptografisch es Zertifikat generiert wird.  in the case of third-party authentication, depending on the authentication default (140), in particular on the basis of the identity attribute (141), preferably on the basis of a badge ID and / or a unique account ID and / or a public cryptographic key which matches the authentication area (130). is assigned a cryptographic certificate is generated.
18. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, 18. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass bei der Drittauthentifizierung die Bestätigung (1 12) dadurch erfolgt, dass ein generiertes kryptografisches Zertifikat digital signiert wird und/oder an den Authentifizierungsbereich (130) übertragen und/oder darin persistent gespeichert wird.  in the case of the third-party authentication, the confirmation (1 12) takes place in that a generated cryptographic certificate is digitally signed and / or transmitted to the authentication area (130) and / or persistently stored therein.
19. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, 19. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass bei ausbleibender oder erfolgloser Drittauthentifizierung nach einer vordefinierten Zeitdauer der Authentifizierungsbereich (130) gelöscht wird. in the event of a failure or unsuccessful third-party authentication after a predefined period of time, the authentication area (130) is deleted.
20. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, 20. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass bei der Identitätsauthentifizierung (1 10), insbesondere als eine maximale Identitätsauthentifizierung (1 10), und/oder bei einer dienstabhängigen that in the identity authentication (1 10), in particular as a maximum identity authentication (1 10), and / or a service-dependent
Identitätsauthentifizierung (120) zumindest eine Zwei-Faktor und/oder eine Drei-Faktor und/oder eine Vier-Faktor und/oder eine Fünf-Faktor Authentifizierung zum Einsatz kommt, sodass vorzugsweise eine Auswahl von mindestens drei oder vier oder fünf Authentifizierungsfaktoren (143) zur Authentifizierung genutzt wird. Identity authentication (120) at least a two-factor and / or a three-factor and / or a four-factor and / or a five-factor authentication is used, so preferably a selection of at least three or four or five authentication factors (143) used for authentication.
21 . Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, 21. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass ein erster Authentifizierungsfaktor (143a) eine Durchführung einer Fingerabdruckauthentifizierung umfasst, insbesondere anhand eines ersten Identitätsattributs (141 a), vorzugsweise in Form mindestens eines Fingerabdrucks, und/oder ein zweiter Authentifizierungsfaktor (143b) eine Durchführung einer Stimmenauthentifizierung umfasst, insbesondere anhand eines zweiten Identitätsattributs (141 b), vorzugsweise in Form mindestens einer Stimmeninformation. 22. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche,  in that a first authentication factor (143a) comprises performing a fingerprint authentication, in particular based on a first identity attribute (141a), preferably in the form of at least one fingerprint, and / or a second authentication factor (143b) performing voice authentication, in particular based on a second identity attribute (141 b), preferably in the form of at least one piece of voice information. 22. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass ein erster Authentifizierungsparameter (142a) vorgesehen ist, welcher eine erste Sicherheitsstufe definiert, und ein zweiter Authentifizierungsparameter (142b) vorgesehen ist, welcher eine zweite Sicherheitsstufe definiert, welche höher als die erste Sicherheitsstufe ist, wobei die Sicherheitsstufen und/oder die Authentifizierungsparameter (142) dynamisch veränderbar ausgeführt sind.  a first authentication parameter (142a) is provided, which defines a first security level, and a second authentication parameter (142b) is provided, which defines a second security level, which is higher than the first security level, wherein the security levels and / or the authentication parameters (142 ) are executed dynamically changeable.
23. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, 23. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass durch die Sicherheitsstufe eine Auswahl und/oder eine Anzahl und/oder eine Art der bei der Identitätsauthentifizierung (1 10) zu prüfenden Identitätsattribute (141 ) festgelegt wird. in that the security level defines a selection and / or a number and / or a type of identity attributes (141) to be checked in identity authentication (110).
24. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, 24. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass als Voraussetzung für eine inhaltliche Veränderung der Authentifizierungsvorgabe (140) die Identitätsauthentifizierung (1 10) als eine maximale Identitätsauthentifizierung (1 10) durchgeführt wird, sodass eine Sicherheitsstufe und/oder eine Anzahl von zu prüfenden Authentifizierungsfaktoren (143) im Vergleich zu weiteren dienstabhängigen Identitätsauthentifizierung (120) maximal ist.  in that as a prerequisite for a change in the content of the authentication specification (140), the identity authentication (110) is performed as a maximum identity authentication (110), so that one security level and / or a number of authentication factors (143) to be checked compared to further service-dependent identity authentication (120) is maximum.
25. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, 25. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass die Identitätsauthentifizierung (1 10) anhand einer Sensorik (10) durchgeführt wird, insbesondere dadurch, dass eine Kommunikation eines Sicherheitsdienstes (50) mit einer Sensorik (10) erfolgt, wobei vorzugsweise das Endgerät (20) die Sensorik (10) aufweist. in that the identity authentication (1 10) is carried out on the basis of a sensor system (10), in particular in that a communication of a security service (50) with a sensor system (10) takes place, wherein preferably the terminal device (20) has the sensor system (10).
26. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, 26. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass eine Sensorik (10) zur Identitatsauthentifizierung (1 10) vorgesehen ist, wobei die Sensorik (10) zumindest eine der nachfolgenden Sensorikelemente umfasst:  in that a sensor system (10) for identity authentication (1 10) is provided, wherein the sensor system (10) comprises at least one of the following sensor elements:
- zumindest eine Software, vorzugsweise eine Smartphone-App, wobei zur - At least one software, preferably a smartphone app, wherein the
Identitatsauthentifizierung (1 10) die Software ausgeführt wird, vorzugsweise durch das Endgerät (20), Identity authentication (1 10) the software is executed, preferably by the terminal (20),
zumindest einen Sensor zur Positionsbestimmung, wobei zur Identitatsauthentifizierung (1 10) die Positionsbestimmung und/oder eine Erfassung von Bewegungsmuster insbesondere am Benutzer (15) durchgeführt wird,  at least one sensor for position determination, wherein for the identity authentication (1 10) the position determination and / or a detection of movement patterns is carried out in particular at the user (15),
zumindest ein Mikrofon, welches insbesondere mit einer Elektronik zur Stimmenerkennung verbunden ist, wobei bevorzugt zur Identitatsauthentifizierung (1 10) die Stimmenerkennung und/oder eine Erfassung einer Stimmenlage insbesondere am Benutzer (15) durchgeführt wird,  at least one microphone, which in particular is connected to an electronic system for voice recognition, voice recognition and / or detection of a voice position being performed preferably on the user (15), preferably for identity authentication (1 10),
zumindest einen Kamerasensor, wobei insbesondere zur Identitatsauthentifizierung (1 10) eine Gesichtserkennung durchgeführt wird, zumindest einen Fingerabdrucksensor, wobei vorzugsweise zur Identitatsauthentifizierung (1 10) ein Fingerabdruck insbesondere am Benutzer (15) ermittelt wird,  at least one camera sensor, wherein in particular for identity authentication (1 10) a facial recognition is performed, at least one fingerprint sensor, wherein preferably for identity authentication (1 10) a fingerprint is determined, in particular at the user (15),
zumindest eine Datenschnittstelle, vorzugsweise eine Netzwerkschnittstelle.  at least one data interface, preferably a network interface.
27. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, 27. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass bei einer erfolgreichen dienstabhängigen Identitätsauthentifizierung (120) ein that upon successful service-dependent identity authentication (120)
Zugangssystem eines Fahrzeuges (5) und/oder eine Fahrzeugfunktion und/oder eine Parametrisierung des Fahrzeuges (5) angesteuert wird. Access system of a vehicle (5) and / or a vehicle function and / or a parameterization of the vehicle (5) is controlled.
28. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, 28. Authentication method (100) according to one of the preceding claims, characterized in that
dass die Identitatsauthentifizierung (1 10) und/oder eine dienstabhängige  that identity authentication (1 10) and / or a service-dependent
Identitatsauthentifizierung (120) automatisch regelmäßig, insbesondere zyklisch, bevorzugt über eine Internetverbindung, durch Kommunikation mit einer Sensorik (10), durchgeführt wird.  Identity authentication (120) automatically regularly, in particular cyclically, preferably via an Internet connection, by communication with a sensor (10) is performed.
29. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, 29. Authentication method (100) according to one of the preceding claims,
dadurch gekennzeichnet,  characterized,
dass bei der Identitätsauthentifizierung (1 10) und/oder einer dienstabhängigen  that in identity authentication (1 10) and / or a service-dependent
Identitätsauthentifizierung (120) eine, insbesondere durch den Benutzer (15) und/oder durch eine Benutzereingabe übermittelte, Vergleichsinformation mit dem mindestens einen Identitätsattribut (141 ), welches durch den Authentifizierungsparameter (142) vorgegeben ist, verglichen wird, sodass insbesondere bei einer Übereinstimmung innerhalb eines Toleranzbereiches die Identitätsauthentifizierung (1 10) und/oder die dienstabhängige Identitätsauthentifizierung (120) erfolgreich ist, wobei vorzugsweise mehrere Authentifizierungsparameter (142) jeweils unterschiedlichen dienstabhängigen Identitätsauthentifizierung (120) zugeordnet sind und/oder diesen jeweils eine  Identity authentication (120) a, in particular by the user (15) and / or transmitted by a user input, comparison information with the at least one identity attribute (141), which is predetermined by the authentication parameter (142) is compared, so in particular in a match within a tolerance range, the identity authentication (1 10) and / or the service-dependent identity authentication (120) is successful, wherein preferably a plurality of authentication parameters (142) are each assigned to different service-dependent identity authentication (120) and / or one each
Sicherheitsstufe zuweisen, wobei insbesondere eine dienstabhängige  Assign security level, in particular a service-dependent
Identitätsauthentifizierung (120) der niedrigsten Sicherheitsstufe ohne Vergleich durchgeführt wird und/oder stets erfolgreich ist.  Identity authentication (120) of the lowest security level is performed without comparison and / or is always successful.
PCT/EP2017/068329 2016-07-21 2017-07-20 Authentication method for authenticating a user of a terminal WO2018015481A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016113499.6A DE102016113499A1 (en) 2016-07-21 2016-07-21 Authentication method for authenticating a user of a terminal
DE102016113499.6 2016-07-21

Publications (1)

Publication Number Publication Date
WO2018015481A1 true WO2018015481A1 (en) 2018-01-25

Family

ID=59383561

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2017/068329 WO2018015481A1 (en) 2016-07-21 2017-07-20 Authentication method for authenticating a user of a terminal

Country Status (2)

Country Link
DE (1) DE102016113499A1 (en)
WO (1) WO2018015481A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112699354A (en) * 2019-10-22 2021-04-23 华为技术有限公司 User authority management method and terminal equipment

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3518190A1 (en) * 2018-01-30 2019-07-31 Bundesdruckerei GmbH Method and device for multi-factor authentication
DE102019131833A1 (en) * 2019-11-25 2021-05-27 Endress + Hauser Wetzer Gmbh + Co. Kg Method for checking the setting of specified safety functions of a field device in process and automation technology
DE102020213522A1 (en) 2020-10-28 2022-04-28 Robert Bosch Gesellschaft mit beschränkter Haftung Method of operating a security system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030115142A1 (en) * 2001-12-12 2003-06-19 Intel Corporation Identity authentication portfolio system
DE102012112808A1 (en) * 2012-12-20 2014-06-26 Huf Hülsbeck & Fürst Gmbh & Co. Kg Mobile telephone for remote control of a function of a safety device of a motor vehicle
US20160205094A1 (en) * 2015-01-09 2016-07-14 Qualcomm Incorporated Mobile device to provide continuous and discrete user authentication

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030115142A1 (en) * 2001-12-12 2003-06-19 Intel Corporation Identity authentication portfolio system
DE102012112808A1 (en) * 2012-12-20 2014-06-26 Huf Hülsbeck & Fürst Gmbh & Co. Kg Mobile telephone for remote control of a function of a safety device of a motor vehicle
US20160205094A1 (en) * 2015-01-09 2016-07-14 Qualcomm Incorporated Mobile device to provide continuous and discrete user authentication

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112699354A (en) * 2019-10-22 2021-04-23 华为技术有限公司 User authority management method and terminal equipment

Also Published As

Publication number Publication date
DE102016113499A1 (en) 2018-01-25

Similar Documents

Publication Publication Date Title
EP3336735B1 (en) Creation of a database for dynamic multi-factor authentication
WO2018073071A1 (en) Providing and checking the validity of a virtual document
EP3256977A1 (en) Computer-implemented method for access control
WO2018015481A1 (en) Authentication method for authenticating a user of a terminal
EP4128695B1 (en) Personalized and server-specific authentication mechanism
EP3528159B1 (en) Method for generating a pseudonym with the help of an id token
EP3685563A1 (en) Method for configuring user authentication on a terminal device by means of a mobile terminal device and for logging a user onto a terminal device
EP3336732B1 (en) User authentication with a plurality of characteristics
EP2965490B1 (en) Method for authenticating persons
EP3882796A1 (en) User authentication using two independent security elements
EP3336736B1 (en) Auxiliary id token for multi-factor authentication
WO2013075799A1 (en) Method for authenticating a person at a server instance
EP3304846B1 (en) Identification of a person on the basis of a transformed biometric reference feature
EP3304807B1 (en) Identifying a person on the basis of a transformed biometric reference feature
EP2270702A1 (en) Device and method for providing secure access to a web-based restricted access service
WO2022175399A1 (en) Reading out identity attributes using a remote security element
EP3289507B1 (en) Id token, system, and method for generating an electronic signature
EP4295536A1 (en) Reading out locally stored encrypted identity attributes
WO2022175396A1 (en) Authentication by means of a plurality of electronic identities
DE102021103993A1 (en) Initializing application-specific cryptographic security functions
EP4327511A1 (en) Personalization of a security applet on a mobile terminal
DE102021103997A1 (en) User authentication using two independent security elements
DE102017104916A1 (en) Method for providing a passphrase and biometric device

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17742422

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17742422

Country of ref document: EP

Kind code of ref document: A1