-
Die
Erfindung betrifft ein Verfahren zum Betreiben eines Systems mit
wenigstens einem Gerät und
wenigstens einer mit der Nutzung des Geräts in Zusammenhang stehenden
Institution.
-
Es
ist bereits bekannt, in einem sicheren Bereich eines Endgeräts, beispielsweise
eines Computers oder eines Mobilfunktelefons, einen Datensatz mit
geheimen Daten wie beispielsweise Passwörtern, Zugangsberechtigungen
usw. zu speichern, die für die
Ausführung
einer Applikation mit dem Endgerät bzw.
zur Herstellung eines Systemzugangs erforderlich sind. Insbesondere
ist es auch bekannt, mehrere Datensätze für unterschiedliche Applikationen
oder Systemzugänge
zu speichern und die Nutzung der Datensätze durch eine gemeinsame Authentisierungsroutine
abzusichern. Dies ermöglicht
zwar einen für
den Benutzer sehr komfortablen Einsatz des Endgeräts, birgt
aber das Risiko, dass bei einem Verlust des Endgeräts der widerrechtliche
Besitzer alle Applikationen nutzen kann bzw. Zugang zu einer Reihe
von Systemen erlangt, wenn ihm eine erfolgreiche Authentisierung
gelingt. Der potentielle Schaden ist somit relativ hoch.
-
Besonders
problematisch kann es werden, wenn das Endgerät mit einem NFC-Baustein ausgerüstet ist,
der eine kontaktlose Datenübertragung
im Nahbereich ermöglicht.
NFC steht für
Near Field Communication und bezieht sich auf eine kontaktlose Datenübertragung
mit einer Reichweite von typischerweise 20 cm. Das dabei eingesetzte
Verfahren zur Datenübertragung
wird in ähnlicher
Form auch bei kontaktlosen Chipkarten angewendet. Daher ist es in
der Regel möglich,
ein Endgerät
mit NFC-Baustein sowohl als Chipkartenleser als auch als Chipkarte
einzusetzen. Daneben besteht noch die Möglichkeit, das Endgerät als einen
direkten Kommunikationspartner eines gleichwertigen Endgeräts zu betreiben.
Diese Funktionsvielfalt bringt entsprechend vielfältige Missbrauchsmöglichkeiten
für einen
unrechtmäßigen Besitzer
des Endgeräts
mit sich.
-
Der
Erfindung liegt die Aufgabe zugrunde, ein System mit wenigstens
einem Gerät
und wenigstens einer mit der Nutzung des Geräts in Zusammenhang stehenden
Institution so zu betreiben, dass eine missbräuchliche Verwendung des Geräts möglichst unterbunden
wird.
-
Diese
Aufgabe wird durch ein Verfahren mit der Merkmalskombination des
Anspruchs 1 gelöst.
-
Die
Erfindung bezieht sich auf ein Verfahren zum Betreiben eines Systems
mit wenigstens einem ersten Gerät,
das über
eine Funktionalität
verfügt,
für deren
Nutzung eine Benutzerauthentisierung erforderlich ist, und wenigstens
einer mit der Nutzung des ersten Geräts in Zusammenhang stehenden
Institution, die entfernt vom ersten Gerät angeordnet ist. Die Besonderheit
des erfindungsgemäßen Verfahrens besteht
darin, dass beim Auftreten eines auslösenden Ereignisses, welches
darauf schließen
lässt, dass
sich das erste Gerät
im Besitz eines Unberechtigten befindet, vom ersten Gerät eine Nachricht
erzeugt wird, die an die Institution gerichtet ist.
-
Die
Erfindung hat den Vorteil, dass bei einem Verlust des ersten Geräts dieses
zuverlässig
vor einer unberechtigten Nutzung geschützt wird, ohne dass es hierzu
eines aktiven Handelns des rechtmäßigen Inhabers des ersten Geräts bedarf.
Der erfindungsgemäß vorgesehene
Schutzmechanismus wird sogar dann wirksam, wenn der rechtmäßige Inhaber
des ersten Geräts
den Verlust nicht bemerkt.
-
Eine
unberechtigte Nutzung des ersten Geräts kann dadurch verhindert
werden, dass beim Auftreten des auslösenden Ereignisses vom ersten
Gerät lokal
wenigstens eine partielle Sperrung durchgeführt wird.
-
In
einem bevorzugten Ausführungsbeispiel des
erfindungsgemäßen Verfahrens
besteht das auslösende
Ereignis in einer Überschreitung
eines vorgegebenen Maximalwerts für die Anzahl von fehlerhaften
Versuchen der Benutzerauthentisierung. Mit diesem Kriterium kann
eine unberechtigte Nutzung sehr einfach festgestellt werden. Die
Benutzerauthentisierung wird vorzugsweise vom ersten Gerät lokal
durchgeführt.
-
Das
auslösende
Ereignis kann auch in einer Aufforderung bestehen, die das erste
Gerät über eine Online-Verbindung
insbesondere vom rechtmäßigen Inhaber
des ersten Geräts
empfängt.
Dies ermöglicht es
den rechtmäßigen Inhaber
bei einem Verlust des ersten Geräts
mit sehr wenig Aufwand sehr umfassende Schutzmaßnahmen einzuleiten. Dies ist
insbesondere dann von Vorteil, wenn das erste Gerät über mehrere
Funktionalitäten
verfügt,
die im Zusammenhang mit unterschiedlichen Institutionen betrieben werden.
In diesem Fall entfällt
durch die Erfindung das Erfordernis, dass der Inhaber jede einzelne
Institution über
den Verlust des Datenträgers
informieren muss.
-
Bei
einer ersten Variante des erfindungsgemäßen Verfahrens wird die Nachricht über die
Online-Verbindung des ersten Geräts
an die Institution übermittelt
wird. Dadurch ist eine sehr rasche und zuverlässige Reaktion unmittelbar
nach dem auslösenden
Ereignis gewährleistet.
-
Bei
einer zweiten Variante des erfindungsgemäßen Verfahrens wird die Nachricht
von wenigsten einem zweiten Gerät über eine
Online-Verbindung an die Institution übertragen, wobei das zweite
Gerät die Nachricht
direkt vom ersten Gerät
oder durch Weiterleitung über
wenigstens ein drittes Gerät
erhält.
Die zweite Variante hat den Vorteil, dass damit auch erste Geräte geschützt werden
können,
die über
keine Online-Verbindung zur Institution verfügen. Die Nachricht kann zwischen
den Geräten
kontaktlos, insbesondere über
eine kontaktlose Nahfeld-Kommunikation, übertragen werden.
-
Um
auch eine indirekte Übertragung
an die Institution zu ermöglichen,
kann die Nachricht vom ersten Gerät mit einer Empfängeradresse
ausgestattet werden. Zudem kann die Nachricht vom ersten Gerät mit einem
Identifikationscode ausgestattet werden. Der Identifikationscode
kann von der Institution beim Eingang der Nachricht ausgewertet
werden, insbesondere um einen mehrfachen Eingang der gleichen Nachricht
zu erkennen. Vorzugsweise wird nur der erstmalige Eingang der Nachricht
von der Institution berücksichtigt.
Dadurch kann unnötige Doppelarbeit
vermieden werden.
-
Auf
den Eingang der Nachricht bei der Institution hin kann die mit der
Institution zusammenhängende
Funktionalität
des ersten Geräts
seitens der Institution gesperrt werden. Dies stellt eine weitere Maßnahme zum
Schutz vor einer unberechtigten Nutzung des ersten Geräts dar,
die mit der Sperrung seitens des ersten Geräts kombiniert werden kann und
dann einen besonders zuverlässigen
Schutz zur Folge hat.
-
Bei
der zweiten Variante des erfindungsgemäßen Verfahrens kann der Eingang
der Nachricht von der Institution durch eine Antwort bestätigt werden,
die an das zweite Gerät übermittelt
wird. Die Antwort kann vom zweiten Gerät auf direktem oder indirektem
Weg an wenigstens ein drittes Gerät übermittelt werden, das daraufhin
die Weitergabe der zugehörigen
Nachricht einstellt. Dies hat den Vorteil, dass nach dem erstmaligen
Eingang der Nachricht bei der Institution zumindest ein Teil der
dann nicht mehr benötigten
Nachrichten aus dem Verkehr gezogen wird. Als Schutz vor Manipulationen
ist es von Vorteil, wenn die Weitergabe der Nachricht nur dann eingestellt
wird, wenn die Antwort vom dritten Gerät als authentisch identifiziert
wurde.
-
Die
Nachricht und/oder die Antwort können kryptographisch
abgesichert werden. Außerdem
können
das erstmalige Absenden und/oder das Weiterleiten der Nachricht
und/oder das Weiterleiten der Antwort jeweils so durchgeführt werden,
dass es vom Benutzer des jeweiligen Geräts nicht erkennbar ist. Diese
Maßnahmen
dienen dazu, insgesamt einen möglichst
guten Schutz vor Manipulationen oder Ausspähung zu erzielen.
-
Die
Erfindung wird nachstehend anhand der in der Zeichnung dargestellten
Ausführungsbeispiele erläutert.
-
Es
zeigen:
-
1 eine
schematische Darstellung für eine
Betriebssituation eines Systems, die bei einem ersten Ausführungsbeispiel
des erfindungsgemäßen Verfahrens
auftreten kann,
-
2 ein
Flussdiagramm zur Darstellung des Ablaufs des erfindungsgemäßen Verfahrens
und
-
3 eine
schematische Darstellung für eine
Betriebssituation des Systems, die bei einem zweiten Ausführungsbeispiel
des erfindungsgemäßen Verfahrens
auftreten kann.
-
1 zeigt
eine schematische Darstellung für
eine Betriebssituation eines Systems, die bei einem ersten Ausführungsbeispiel
des erfindungsgemäßen Verfahrens
auftreten kann. Das System weist ein Endgerät 1 und einen Applikationsanbieter 2 einer
auf dem Endgerät 1 implementierten
Applikation auf. Das Endgerät 1 und
der Applikationsanbieter 2 sind in der dargestellten Betriebssituation über ein Netzwerk 3 miteinander
verbunden. Die Architektur des Endgeräts 1 ist in groben
Zügen insoweit
dargestellt, als dies für
die Erfindung von Bedeutung ist. Das Endgerät 1 weist eine Geräteelektronik 4 auf,
die mit einem Sicherheitsbaustein 5, einen NFC-Baustein 6 mit
einer daran angeschlossenen Antenne 7, einer Tastatur 8 und
eine Schnittstelle 9 verbunden ist. Bei dem Endgerät 1 handelt
es sich beispielsweise um ein Laptop, einen Personal Digital Assistant, ein
Mobilfunktelefon usw. Der Sicherheitsbaustein 5 kann Bestandteil
einer Chipkarte sein, die in das Endgerät 1 eingesteckt ist
und dient der sicheren Speicherung und Verarbeitung von Daten, beispielsweise von
Passwörtern,
Zugangsberechtigungen usw. Mit Hilfe des NFC-Bausteins 6 kann
eine kontaktlose Datenübertragung
im Nahbereich, d: h. eine Near Field Communication oder kurz NFC,
durchgeführt
werden. Dabei handelt es sich um ein Übertragungsverfahren mittels
magnetischer Felder im Frequenzbereich 13,56 MHz. Die typische Reichweite
beträgt
20 cm. Prinzipiell können
auch andere Arten der kontaktlosen Datenübertragung im Nahbereich eingesetzt
werden. Die Tastatur 8 dient der Dateneingabe durch einen
Benutzer, um beispielsweise eine gewünschte Applikation auszuwählen oder
eine persönliche
Geheimzahl einzugeben. Über
die Schnittstelle 9 ist das Endgerät 1 mit dem Netzwerk 3,
beispielsweise einem Mobilfunknetz oder dem Internet, verbunden. Über das
Netzwerk 3 wird eine Online-Verbindung zwischen dem Endgerät 1 und
dem Applikationsanbieter 2 ausgebildet, über die
beispielsweise eine Nachricht 10 vom Endgerät 1 zum Applikationsanbieter 2 übertragen
werden kann. Zusätzlich
zu der Applikation, die dem in 1 dargestellten
Applikationsanbieter 2 zuzurechen ist, können im
Endgerät 1 weitere
Applikationen implementiert sein. Dementsprechend können auch
weitere Applikationsanbieter 2 am Netzwerk 3 angeschlossen
sein. Der Ablauf des erfindungsgemäßen Verfahrens wird im Folgenden
anhand von 2 erläutert.
-
2 zeigt
ein Flussdiagramm zur Darstellung des Ablaufs des erfindungsgemäßen Verfahrens.
Der Durchlauf des Flussdiagramms beginnt mit einem Schritt S1, in
dem vom Benutzer des Endgeräts 1 über die
Tastatur 8 eine persönliche
Geheimzahl eingegeben wird. An Schritt S1 schließt sich ein Schritt S2 an,
in dem vom Sicherheitsbaustein 5 des Endgeräts 1 ein
Fehlbedienungszähler
inkrementiert wird. Auf Schritt S2 folgt ein Schritt S3, in dem
vom Sicherheitsbaustein 5 ein PIN-Vergleich durchgeführt wird,
d. h. die vom Benutzer eingegebene Geheimzahl wird mit einem gespeicherten
Referenzwert verglichen. Falls die Geheimzahl korrekt eingegeben wurde
und somit der PIN-Vergleich positiv verläuft, wird als nächstes ein
Schritt S4 ausgeführt,
in dem der Fehlbedienungszähler
wieder auf Null gesetzt wird. An Schritt S4 schließt sich
ein Schritt S5 an, in dem die vom Benutzer gewünschte Applikation ausgeführt wird.
Nach der Ausführung
der Applikation ist der Durchlauf des Flussdiagramms beendet.
-
Wird
im Schritt S3 festgestellt, dass die eingegebene Geheimzahl nicht
korrekt ist, so schließt sich
an Schritt S3 ein Schritt S6 an. Im Schritt S6 wird vom Sicherheitsbaustein 5 geprüft, ob der
Fehlbedienungszähler
einen Maximalwert überschreitet.
Ist dies mit „nein" zu beantworten,
d. h. es liegt keine Überschreitung
vor, dann wird das Flussdiagramm beginnend mit Schritt S1 erneut
durchlaufen. Ist der Maximalwert für den Fehlbedienungszähler dagegen überschritten,
wird davon ausgegangen, dass sich das Endgerät 1 im Besitz eines
unberechtigten Dritten befindet, der eine missbräuchliche Nutzung des Endgeräts 1 beabsichtigt.
In diesem Fall schließt
sich an Schritt S6 ein Schritt S7 an. Im Schritt S7 wird vom Endgerät 1 die
Nachricht 10 an den Applikationsanbieter 2 abgesendet.
Die Übertragung
der Nachricht 10 erfolgt dabei Online über das Netzwerk 3,
an das sowohl das Endgerät 1 als
auch der Applikationsanbieter 2 angeschlossen ist. Mit
der Nachricht 10 fordert das Endgerät 1 den Applikationsanbieter 2 auf, die
Applikation seitens des Applikationsanbieters 2 für das Endgerät 1 zu
sperren oder eine andere geeignete Maßnahme gegen eine missbräuchliche
Verwendung des Endgeräts 1 vorzunehmen.
Falls mit dem Endgerät 1 Applikationen
mehrere Applikationsanbieter 2 ausführbar sind, kann an jeden Applikationsanbieter 2 eine
derartige Nachricht 10 abgesendet werden. Auf diese Weise
können
z. B. ein Mobilfunkbetreiber zum Sperren einer Telefonapplikation, eine
Bank zum Sperren von Bankkarten oder Kreditkarten, eine Meldebehörde zum
Sperren eines elektronischen Führerscheins,
einer ID-Karte oder eines Ausweises, eine Bücherei zum Sperren eines Leihausweises
usw. veranlasst werden. Die Nachricht 10 wird jeweils vorzugsweise
heimlich abgesendet, um möglichst
zu verhindern, dass sie vom unrechtmäßigen Besitzer des Endgeräts 1 abgefangen
oder manipuliert wird. Durch diese Vorgehensweise wird erreicht,
dass der rechtmäßige Inhaber
bei einem Verlust des Endgeräts 1 nicht
mehr alle Applikationsanbieter 2 manull verständigen muss,
da dies vom Endgerät 1 durchgeführt wird.
-
An
Schritt S7 schließt
sich ein Schritt S8 an, in dem das Endgerät 1 die Applikation
bzw. mehrere Applikationen, für
die der Maximalwert des Fehlbedienungszählers überschritten wurde, seitens
des Endgeräts 1 zeitweise
oder dauerhaft sperrt. Diese lokale Sperrung wird zusätzlich zu
der durch Absenden der Nachricht 10 in Schritt S7 angestoßenen Sperrung
beim Applikationsanbieter 2 bzw. bei mehreren Applikationsanbietern 2 durchgeführt, um
ein möglichst
hohes Sicherheitsniveau zu erreichen. Mit Schritt S8 ist der Durchlauf
des Flussdiagramms beendet.
-
In
Abwandlung des in 2 dargestellten Flussdiagramms
kann das Absenden der Nachricht 10 auch durch andere Ereignisse
als durch die in Schritt S6 festgestellte Überschreitung des Maximalwerts
des Fehlbedienungszählers
ausgelöst
werden. Falls die Möglichkeit
besteht, über
das Netzwerk 3 mit dem Endgerät 1 in Kontakt zu
treten, kann das erfindungsgemäße Verfahren
so abgewandelt werden, dass das Endgerät 1 durch eine derartige
Kontaktaufnahme veranlasst wird, Nachrichten 10 an die
einzelnen Applikationsanbieter 2 abzusenden und auch eine
lokale Sperrung der Applikationen durchzuführen. Diese Option kann sowohl
in Kombination mit der vorstehend beschrienen Vorgehensweise als auch
in Form einer eigenständigen
Variante vorgesehen werden.
-
3 zeigt
eine schematische Darstellung für
eine Betriebssituation des Systems, die bei einem zweiten Ausführungsbeispiel
des erfindungsgemäßen Verfahrens
auftreten kann. Zusätzlich
zum Endgerät 1,
von dem die Nachricht 10 erzeugt wird, sind zwei weitere
Endgeräte 11 und 12 dargestellt.
Im Gegensatz zu 1 verfügt das in 3 dargestellte Ausführungsbeispiel
des Endgeräts 1 nicht über die Schnittstelle 9 zum
Anschluss an das Netwerk 3 oder es besteht zumindest keine
statische Verbindung zum Netzwerk 3. Das Endgerät 1 ist
in diesem Fall somit nicht in der Lage, die Nachricht 10 direkt über das
Netzwerk 3 an den Applikationsbetreiber 2 zu senden.
In entsprechender Weise verfügt
auch das Endgerät 11 nicht über die
Schnittstelle 9 bzw. ist nicht statisch mit dem Netzwerk 3 verbunden.
Das Endgerät 12 weist
dagegen die Schnittstelle 9 auf und ist statisch oder zumindest
zeitweise mit dem Netzwerk 3 verbunden. Ansonsten weisen
alle Endgeräte 1, 11 und 12 die
anhand von 1 erläuterten Elemente auf, wobei
für das
zweite Ausführungsbeispiel
des erfindungsgemäßen Verfahrens
von besonderer Bedeutung ist, dass jeweils der NFC-Baustein 6 mit
zugehöriger
An tenne 7 vorhanden ist. Dadurch ist die Möglichkeit
gegeben, dass die Endgeräte 1,11 und 12 miteinander
kommunizieren können,
wenn sie einander nahe genug angenähert werden. Dabei ist es unerheblich
ob die Endgeräte 1, 11 und 12 gleichartig
ausgeführt
sind. Beispielsweise können die
Endgeräte 1 und 11 jeweils
als ein Laptop und das Endgerät 12 als
ein Mobilfunktelefon ausgeführt sein.
Im Rahmen der in 3 dargestellten Betriebssituation
werden mehrere Aktionen durchgeführt,
die zwar gemeinsam dargestellt sind, in der Regel jedoch zeitlich
nacheinander und zum Teil räumlich
voneinander getrennt ablaufen. Im Einzelnen wird beim zweiten Ausführungsbeispiel
des erfindungsgemäßen Verfahrens
folgendermaßen
vorgegangen:
Im Endgerät 1 wird
das in 2 dargestellte Flussdiagramm abgearbeitet, wobei
der Schritt S7 allerdings in modifizierter Form durchgeführt wird,
da das in 3 dargestellte Ausführungsbeispiel
des Endgeräts 1 nicht über die
Möglichkeit
verfügt,
die Nachricht 10 direkt über das Netzwerk 3 an
den Applikationsanbieter 2 zu übertragen. Stattdessen wird
die Nachricht 10 bzgl. der Überschreitung des Maximalwerts des
Fehlbedienungszählers
erzeugt und gespeichert. Wenn der NFC-Baustein 6 zur Durchführung einer Transaktion
oder aus einem anderen Grund in Kommunikationsreichweite zum Endgerät 1 gelangt,
wird die Nachricht 10 über
den NFC-Baustein 6 kontaktlos an das Endgerät 11 übermittelt.
Analog zur Übertragung über das
Netzwerk 3 beim ersten Ausführungsbeispiel des erfindungsgemäßen Verfahrens
findet das Absenden der Nachricht 10 an das Endgerät 11 vorzugsweise
so statt, dass dies für
den Benutzer nicht erkennbar ist. Das Endgerät 11 speichert die Nachricht 10 und überträgt sie an
das Endgerät 12, sobald
dieses in Kommunikationsreichweite zum Endgerät 11 gelangt. Diese Übertragung
wird in der Regel zu einem späteren
Zeitpunkt und möglicherweise
auch an einem anderen Ort als die Übertragung der Nachricht 10 vom
Endgerät 1 an
das Endgerät 11 stattfinden.
Sowohl das Endgerät 1 als
auch das Endgerät 11 werden
die Nachricht 10 über
ihre NFC-Bausteine 6 je nach Möglichkeit noch an weitere Kommunikationspartner übertragen.
In 3 ist noch eine Übertragung der Nachricht 10 vom
Endgerät 11 an
das Endgerät 12 dargestellt.
Ebenso ist es auch möglich,
dass die Nachricht 10 vom Endgerät 1 direkt zum Endgerät 12 gelangt
oder dass auf dem Weg vom Endgerät 1 zum
Endgerät 12 nicht
nur das Endgerät 11,
sondern noch weitere Kommunikationspartner zwischengeschaltet sind.
Insgesamt wird durch die Endgeräte 1,11 und 12 sowie
ggf. weitere Kommunikationspartner ein ad-hoc-Netz ausgebildet, über das
die Nachricht 10 verbreitet wird. Das Endgerät 12,
das über
die Schnittstelle 9 statisch mit dem Netzwerk 3 verbunden
ist, überträgt die Nachricht 10 schließlich online über das
Netzwerk 3 an den Applikationsanbieter 2. Damit
das Endgerät 12 die
Nachricht 10 zielgerichtet an den vorgesehenen Applikationsanbieter 2 übertragen
kann, stattet das Endgerät 1 die
Nachricht 10 mit einer eindeutigen Empfängeradresse, z. B. einer e-Mail
Adresse, einer URL usw. aus. Falls mehrere Applikationsanbieter 2 benachrichtigt
werden sollen, wird die Nachricht 10 entweder mit mehreren
Adressen versehen oder es werden mehrere Nachrichten 10 mit
unterschiedlichen Adressen abgesendet.
-
Bei
der Einspeisung der Nachricht 10 in das ad-hoc-Netz durch
die Übertragung
der Nachricht 10 vom Endgerät 1 an das Endgerät 11 ist
für das
Endgerät 1 nicht
vorhersehbar, welchen weiteren Weg die Nachricht 10 im
ad-hoc-Netz nehmen
wird und es besteht die Möglichkeit,
dass die Nachricht 10 mehrfach an denselben Applikationsanbieter 2 übertragen wird.
Es ist daher erfindungsgemäß vorgesehen,
die Nachricht 10 mit einer eindeutigen Identifikationsnummer
zu versehen, so dass der Applikationsanbieter 2 den ersten
Erhalt der Nachricht 10 in eine Liste oder eine Datenbank
eintragen kann. Alle danach eingehenden Nachrichten 10 werden
anhand ihrer Identifikationsnummern daraufhin überprüft, ob sie bereits zuvor empfangen
wurden.
-
Auf
diese Weise ist es möglich
jeweils nur beim ersten Eingang der Nachricht 10 die erforderlichen
Vorkehrungen, wie beispielsweise die Veranlassung einer Sperrung,
zu treffen und alle folgenden Eingänge der Nachricht 10 zu
ignorieren.
-
Weiterhin
besteht seitens des Applikationsanbieters 2 die Möglichkeit,
bei Eingang der Nachricht 10 über das Netzwerk 3 eine
Antwort 13 an das Endgerät 12 zu senden, die
dann im ad-hoc-Netz verteilt wird. Die Antwort 13 ist so
ausgebildet, dass jeder am ad-hoc-Netz beteiligte Kommunikationspartner,
der die Antwort 13 empfängt,
prüft,
ob er eine zur Antwort 13 korrespondierende Nachricht 10 gespeichert
hat und diese Nachricht 10 ggf. löscht. Ebenso kann die Antwort 13 den
Kommunikationspartner dazu veranlassen, zukünftig empfangene Nachrichten 10,
die mit der Antwort 13 korrespondieren, sofort aus dem
Posteingang zu löschen
oder deren Annahme zu verweigern. Durch diese Maßnahmen kann zumindest ein
Teil der im ad-hoc-Netz
noch nach Eingang der Nachricht 10 beim Applikationsanbieter 2 umlaufenden
Nachrichten 10 gelöscht
werden, und dadurch die Anzahl der beim Applikationsanbieter 2 eingehenden
identischen Nachrichten 10 reduziert werden. Um Manipulationen
zu erschweren, erfolgt auch die Weitergabe der Antwort 13 vorzugsweise so,
dass dies für
denn Benutzer nicht erkennbar ist.
-
Um
einen möglichst
hohen Sicherheitsstandard zu erreichen, ist es bei einer Weiterbildung
der Erfindung vorgesehen, die Nachrichten 10 und/oder die
Antworten 13 zu signieren und zertifizierte Schlüsselsätze zur
Verfügung
zu stellen. Dadurch werden die Nachrichten 10 bzw. Antworten 13 gegen Manipulationen
abgesichert und können
jeweils eindeutig einem ursprünglichen
Absender zugeordnet werden. Außerdem
besteht im Rahmen der Erfindung die Möglichkeit, die Nachrichten 10 und/oder die
Antworten 13 zum Schutz vor Ausspähung durch unberechtigte Dritte
zu verschlüsseln.
Sowohl beim Signieren als auch beim Verschlüsseln können beispielsweise Public-Key-Verfahren
eingesetzt werden. Insbesondere kann auch vorgesehen werden, die
Antwort 13 jeweils vor dem Löschen einer dazu korrespondierenden
Nachricht 10 und/oder vor einer Weiterleitung der Antwort 13 auf
ihre Authentizität
hin zu überprüfen. Dadurch
soll verhindert werden, dass eine Benachrichtigung des Applikationsanbieters 2 durch
manipulierte Antworten 13 verhindert wird.