DE102005001107A1 - Access connection`s secured configuration providing method for Internet service provider network, involves transferring authentication protocol with access data to network for configuration of access connection to network - Google Patents

Access connection`s secured configuration providing method for Internet service provider network, involves transferring authentication protocol with access data to network for configuration of access connection to network Download PDF

Info

Publication number
DE102005001107A1
DE102005001107A1 DE200510001107 DE102005001107A DE102005001107A1 DE 102005001107 A1 DE102005001107 A1 DE 102005001107A1 DE 200510001107 DE200510001107 DE 200510001107 DE 102005001107 A DE102005001107 A DE 102005001107A DE 102005001107 A1 DE102005001107 A1 DE 102005001107A1
Authority
DE
Germany
Prior art keywords
access
terminal
network
isp network
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE200510001107
Other languages
German (de)
Inventor
Manfred Baumkötter
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Telekom AG
Original Assignee
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Telekom AG filed Critical Deutsche Telekom AG
Priority to DE200510001107 priority Critical patent/DE102005001107A1/en
Publication of DE102005001107A1 publication Critical patent/DE102005001107A1/en
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

The method involves transferring an authentication protocol with access data, which is assigned to the user, to an Internet service provider (ISP) network using a network access interface mechanism by a terminal device for configuration of an access connection to the network. An access secured data set of a data register is cancelled or used as specific access secured data sets by the device and/or the network. An independent claim is also included for a system with a device for executing a method for providing a secured configuration of an access connection to a network of an Internet service provider (ISP).

Description

Die Erfindung betrifft Verfahren und Vorrichtungen zum gesicherten Aufbauen einer Zugangsverbindung zu einem Netz eines Internetservice-Providers (ISP), bei welcher von einer ISP-Netz zugangsfähigen Endeinrichtung eines ISP-Netz zugangsberechtigten Nutzers ein Authentifikationsprotokoll mit dem Nutzer zugeordneten Zugangsdaten von der Endeinrichtung über eine Netzzugangsschnittstelleneinrichtung an das ISP-Netz übertragen wird.The The invention relates to methods and devices for secure construction an access connection to a network of an Internet service provider (ISP), in which of an ISP network accessible terminal of a ISP network authorized user an authentication protocol access data associated with the user from the terminal via a Network access interface device is transmitted to the ISP network.

Nach dem Stand der Technik wird herkömmlicherweise bei allen oder vielen Internetservice-Providern ein jeweiliges, gegebenenfalls auch ISP-Netz spezifisches, Authentifikationsprotokoll mit einem Nutzer zugeordneten, an und für sich geheimen Zugangsdaten zur Authentifikation unverschlüsselt übertragen. Diese Zugangsdaten können somit jedoch z.B. bei ISDN-Anschlüssen unter Umständen mit gelesen werden. Auch bei DSL-Lösungen besteht häufig keine Verschlüsselung, was gegebenenfalls ein Mitlesen ermöglichen kann.To The prior art conventionally with all or many Internet service providers a respective, possibly also ISP network specific, authentication protocol associated with a user, in and of itself secret access data transmitted unencrypted for authentication. This access data can thus, however, e.g. possibly with ISDN connections to be read. Also with DSL solutions is often no encryption, which may possibly enable reading.

Die Übertragungsverfahren sind in der Regel jedoch im heimischen und also kontrollierten Bereich unproblematisch, da der Nutzer sehen bzw. bestimmen kann, wer sich wo anschaltet und wer welche Programme betreibt. Kritisch werden diese Verfahren jedoch beim Einbuchen bzw. Netzzugang über fremde Umgebungen. Insbesondere, wenn sich ein Nutzer beispielsweise bei einem fremden WLAN-Access-Point mit seinen eigenen Zugangsdaten innerhalb eines Authentifikationsprotokolls anmeldet, besteht häufig die Gefahr, dass mitgelesen wird, welches zum Missbrauch der Zugangsdaten führen kann.The transmission method are usually in the domestic and thus controlled area without problems, since the user can see or determine who turns on where and who runs which programs. However, these methods become critical when booking or network access via foreign environments. In particular, if a user, for example at a foreign WLAN access point with its own access data within an authentication protocol logs in often the risk that is read along, which misuse the access data can lead.

Die Missbrauchsgefahr wird um so höher, wenn beispielsweise die Abrechnung des genutzten Internetzugangs nicht mehr, wie es bisher im Wesentlichen üblich war, unter Zuordnung des jeweils verwendeten Festnetz- oder auch Mobilfunk-Anschlusses erfolgt, sondern unter Zuordnung einer auf den geheimen Zugangsdaten des Authentifikationsprotokolls basierten Abrechnungsadresse erfolgt.The Risk of abuse becomes higher, if For example, the billing of the Internet access not used more, as it was previously common practice, under assignment the respectively used fixed or mobile connection takes place, but under assignment one on the secret access data of the Authentication Protocol based billing address is done.

Im Bereich des Homebanking ist ein Verfahren bekannt, bei dem mit sog. Transaktionsnummern (TAN) gearbeitet wird. Ein Kunde erhält hierbei eine Liste mit beispielsweise einhundert TANs per Post zugeschickt, von denen er bei jeder Überweisung jeweils eine eingibt. Da eine TAN nur jeweils für eine Aktion funktioniert bzw. gültig ist, wird hierbei im Wesentlichen ausgeschlossen, dass bei unberechtigtem Mitlesen ein Schaden entsteht, weil die TAN nicht ein zweites Mal verwertbar ist.in the Area of home banking, a method is known in which with so-called. Transaction numbers (TAN) is being worked on. A customer receives here a list of, for example, one hundred TANs sent by post, of which he at each transfer enter one each. Since a TAN only works for one action at a time or valid is, this is essentially excluded that in case of unauthorized reading Damage occurs because the TAN is not reusable a second time is.

Zur Sicherstellung, dass bei Nutzung einer Netzzugangsschnittstelleneinrichtung in Art eines WLAN-Access-Points unberechtigte Dritte den WLAN-Service nicht auf Kosten eines WLAN-Access-Point-Berechtigten nutzen, ist ein Verfahren bekannt, bei welchem für jede neue Nutzung des WLAN-Services durch den Berechtigten, diesem auf sein Mobiltelefon vorab vom ISP ein Einmalpasswort mittels SMS übertragen wird.to Ensuring that when using a network access interface device in the nature of a wireless access point Unauthorized third parties do not charge for the WLAN service at the expense of a WLAN access point holder use, a method is known in which for each new use of the wireless service by the claimant, this on his mobile phone in advance by the ISP transfer a one-time password by SMS becomes.

Nachteilig hierbei ist jedoch, dass folglich im Wesentlichen stets das Mobiltelefon bereit gehalten werden muss, auch wenn die Zugangsverbindung, wie herkömmlicherweise üblich, über ein Notebook oder ähnliches erfolgt. Auch ist nicht gewährleistet, dass nach einem abrupten, ungewollten Verbindungsabbau sofort eine neue Zugangsverbindung aufgebaut werden kann, da zunächst auf das neue Einmal-Passwort via SMS gewartet werden muss.adversely However, in this case, therefore, that is essentially always the mobile phone must be kept ready, even if the access connection, such as conventionally customary over a Notebook or similar he follows. Also is not guaranteed that immediately after a sudden, unintentional disconnection a new one Access connection can be established because first to the new one-time password must be maintained via SMS.

Ferner sind Verfahren bekannt, bei welchen auf Seiten des berechtigten Nutzers mittels einer Chip-Karte und einem Chip-Kartenleser jeweils ein Einmal-Passwort auf Basis einer gültigen persönlichen Identifikationsnummer der Chip-Karte berechnet und dem Nutzer angezeigt wird, so dass diese für den gesicherten Verbindungsaufbau über eine Benutzermakse, die mittels einer in der Endeinrichtung implementierten ISP-spezifischen Zugangsoftware bereit gestellt wird, eingegeben werden muss. Auch hierbei ist somit eine. Mehrzahl von Vorrichtungen auf Seiten des Nutzers erforderlich, um einen gesicherten Zugangsverbindungsaufbau zu gewährleisten.Further Methods are known in which on the part of the authorized User by means of a chip card and a chip card reader respectively a one-time password based on a valid personal identification number the chip card is calculated and the user is displayed so that they for the secure connection via a User mails implemented by means of one in the terminal ISP-specific access software is provided must become. Also here is thus one. Plurality of devices Pages of the user required to secure access connection setup to ensure.

Aufgabe der Erfindung ist es, einen technischen Weg aufzuzeigen, mit welchem ein gesichertes Aufbauen einer ISP-Netzzugangsverbindung unter ausschließlicher oder zusätzlicher Verwendung von nur einmal verwendbaren, dem Nutzer zugeordneten Zugangssicherungsdaten im Authentifikationsprotokoll gegenüber dem Stand der Technik in wesentlich vereinfachter Weise sichergestellt wird und, insbesondere auf Seiten des Nutzers, die Anzahl der hierbei notwendigen separaten Einrichtungen deutlich reduziert wird.task The invention is to show a technical way with which a secure establishment of an ISP network access connection under exclusive or additional Use of single use, assigned to the user Secure Access Data in the Authentication Protocol Versus the State of the art ensured in a much simplified manner will and, in particular on the part of the user, the number of this necessary separate facilities is significantly reduced.

Die Lösung der Aufgabe ist auf überraschende Weise bereits durch einen Gegenstand nach einem der anhängenden unabhängigen Ansprüche gegeben.The solution The task is surprising Already by an object according to one of the attached independent claims given.

Vorteilhafte und/oder bevorzugte Ausführungsformen und Weiterentwicklungen sind Gegenstand der Unteransprüche.advantageous and / or preferred embodiments and further developments are the subject of the dependent claims.

Erfindungsgemäß ist somit zum gesicherten Aufbauen einer Zugangsverbindung zu einem Netz eines Internetservice-Providers (ISP) von einer ISP-Netz zugangsfähigen Endeinrichtung eines ISP-Netz zugangsberechtigten Nutzers, bei welcher zum Aufbauen der Zugangsverbindung ein Authentifikationsprotokoll mit dem Nutzer zugeordneten Zugangsdaten von der Endeinrichtung über eine Netzzugangsschnittstelleneinrichtung an das ISP-Netz übertragen wird, vorgesehen, dass das Authentifikationsprotokoll vor Übertragung unter Verwendung wenigstens eines Zugangssicherungsdatensatzes aus einer in einer Datenbank der Endeinrichtung gespeicherten Liste von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen komplettiert wird, dass anhand des übertragenen Authentifikationsprotokolls durch eine Authentifikationseinrichtung des ISP-Netzes unter Zugriff auf eine in einer dem ISP-Netz zugeordneten Datenbank gespeicherten Liste von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen der Nutzer und/oder die Endeinrichtung verifiziert wird und, dass der wenigstens eine im Authentifikationsprotokoll verwendete Zugangssicherungsdatensatz in wenigstens einer der, in der Datenbank der Endeinrichtung und der dem ISP-Netz zugeordneten Datenbank gespeicherten Listen von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen, in besonders zweckmäßiger Weise in beiden Listen, automatisch als entsprechend verbraucht markiert oder gelöscht wird.According to the invention is thus for secure establishment of an access connection to a network an Internet service provider (ISP) of an ISP network accessible terminal of an ISP network authorized user in which an authentication protocol with the user associated access data is transmitted from the terminal via a network access interface device to the ISP network to establish the access connection, provided the authentication protocol is completed prior to transmission using at least one access backup data set from a list stored in a database of the terminal device specific to the ISP network specific access backup data sets and that based on the transmitted authentication protocol by an authentication device of the ISP network Access to a list stored in a database assigned to the ISP network by ISP network-specific access security data uniquely assigned to the terminal device and / or the user sets of users and / or the terminal is verified and that the at least one used in the authentication protocol access backup record in at least one, in the database of the terminal and the ISP network associated database stored lists of the terminal and / or the user uniquely assigned ISP network specific access backup records, most suitably in both lists, are automatically marked as being consumed or deleted.

Ein entsprechend angepasstes System umfasst folglich eine ISP-Netz fähige Endeinrichtung mit einer Datenbank zur Speicherung einer Liste von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen, wobei die Endeinrichtung Mittel zum Aufbauen einer Zugangsverbindung zu dem ISP-Netz durch Übertragen eines Authentifikationsprotokoll mit dem Nutzer zugeordneten Zugangsdaten an das ISP-Netz umfasst, wobei die Mittel ausgebildet sind, das Authentifikationsprotokoll vor Übertragung unter Verwendung wenigstens eines Zugangssicherungsdatensatzes aus der Datenbank automatisiert zu komplettieren.One accordingly adapted system thus includes an ISP network capable terminal with a database for storing a list from the terminal and / or the user uniquely associated ISP network specific Access security records wherein the terminal means for establishing an access connection to the ISP network by transmitting an authentication protocol with the user associated access data to the ISP network, wherein the means are designed, the Authentication protocol before transmission using at least one access protection record automated completion of the database.

Die Authentifikationseinrichtung des ISP-Netzes und/oder die dem ISP-Netz zugeordnete Datenbank können ferner Teil eines ISP-Netz Zugangsservers sein oder zum Zusammenwirken mit diesem ausgebildet sein.The Authentication device of the ISP network and / or the ISP network associated database can be part of an ISP network access server or to interact be formed with this.

Durch das Löschen oder als entsprechend verbraucht Markieren des wenigstens einen im Authentifikationsprotokoll verwendeten Zugangssicherungsdatensatzes in wenigstens einer der, in der Datenbank der Endeinrichtung und/oder der dem ISP-Netz zugeordneten Datenbank gespeicherten Listen von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen wird bereits grundsätzlich gewährleistet, dass jeder Zugangssicherungsdatensatz zumindest von der entsprechenden Endeinrichtung aus nur einmal verwendbar ist.By the deleting or as appropriately consumed marking the at least one access security record used in the authentication protocol in at least one of the, in the database of the terminal and / or of the database associated with the ISP network the terminal equipment and / or ISP network uniquely assigned to the user specific access security records are already guaranteed in principle, that each access security record at least from the corresponding Terminal is used only once.

Werden die eingesetzten Zugangssicherungsdatensätze zumindest in der gespeicherten Liste der dem ISP-Netz zugeordneten Datenbank entsprechend automatisch als verbraucht markiert oder gelöscht, so ist darüber hinaus auch im Wesentlichen jeglicher anderweitige Missbrauch ausgeschlossen.Become the used access backup records at least in the stored List of the database assigned to the ISP network accordingly automatically marked as used or deleted, that's about it In addition, essentially any other misuse excluded.

Durch die Speicherung der verwendbaren Zugangssicherungsdatensätze in einer Datenbank der Endeinrichtung selbst entfällt darüber hinaus die Notwendigkeit, auf eine weitere Einrichtung zurückgreifen zu müssen, um einen gesicherten Zugangsverbindungsaufbau zu bewirken.By storing the useable access backup records in one Database of the terminal itself also eliminates the need to resort to another facility to have to, to effect a secure access connection setup.

In vorteilhafter Weiterbildung ist ferner vorgesehen, dass zur jeweiligen Komplettierung des Authentifikationsprotokolls durch Verwendung eines Zugangssicherungsdatensatzes lediglich dem Nutzer zugeordnete Zugangsdaten innerhalb des Authentifikationsprotokolls jeweils ersetzt werden, so dass die Erfindung auf einfachste Weise auch auf bereits bestehende Authentifikationsprotokolle/-routinen zur praktischen Umsetzung anwendbar ist.In Advantageous development is further provided that the respective Completion of the authentication protocol by use an access backup record only associated with the user Access data within the authentication protocol respectively replaced so that the invention in the simplest way to already existing authentication protocols / routines for practical use Implementation is applicable.

Anwendungsspezifisch werden somit bevorzugt Daten ersetzt, die entweder den Benutzernamen (Peer-ID) betreffen, sofern dieser Datenbereich vom ISP nicht unveränderbar vorgegeben bzw. vergeben ist, und/oder die ein individuell vom Nutzer im wesentlichen beliebig auswählbares Kenn- oder Passwort betreffen.application-specific Thus, preferably data are replaced, either the username (Peer ID), unless this data area is unchangeable by the ISP is given or assigned, and / or the one individually by the user essentially arbitrarily selectable Password or password.

Werden ferner bei der erfindungsgemäßen Komplettierung die jeweils verwendeten Zugangssicherungsdatensätze in Reaktion hierauf aus der in der Datenbank der Endeinrichtung gespeicherten Liste von Zugangssicherungsdatensätzen automatisch als verbraucht markiert oder gelöscht, wird das Übertragen von bereits verbrauchten und folglich nicht mehr verifizierbaren Zugangssicherungsdatensätzen von vornherein ausgeschlossen und somit eine Erhöhung der Kapazitäts- und Zeitbeanspruchung beim gesicherten Aufbau einer Zugangsverbindung gegenüber einem Aufbau ohne Zugangssicherungsdaten im Wesentlichen stets ausgeschlossen.Become further in the completion of the invention the respective access security records used in response thereto the list stored in the database of the terminal Access security records automatically marked as used or deleted, the transfer is already consumed and therefore no longer verifiable Access security records excluded from the outset and thus an increase in capacity and Time exposure for the secure establishment of an access connection across from a structure without access security data essentially always excluded.

Zur Gewährleistung einander entsprechender Listen und, dass eine Kenntnisnahme durch Dritte ausgeschlossen wird, ist in zweckmäßiger Weise ferner vorgesehen, dass jeweils eine bestimmte Anzahl von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen durch eine dem ISP-Netz zugeordnete Einheit generiert und durch diese sowohl an die dem ISP-Netz zugeordnete Datenbank als auch unmittelbar an die Endeinrichtung, also bei bestehender Zugangsverbindung, zur dortigen Speicherung übertragen wird.To ensure corresponding lists and that a notice is excluded by third parties, it is expediently further provided that in each case a specific number of ISP network uniquely assigned to the terminal device and / or the user generated by a ISP network associated unit and transmitted by them both to the ISP network associated database as well as directly to the terminal, so with an existing access connection to the local storage.

Zweckmäßig ist ferner, dass unter Ansprechen auf den Empfang einer neuen Anzahl von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen alle vorherigen noch in der jeweiligen Liste der dem ISP-Netz zugeordneten Datenbank und der Datenbank der Endeinrichtung enthaltenen Zugangssicherungsdatensätze gelöscht und die neue Anzahl von Zugangssicherungsdatensätzen in der jeweiligen Liste gespeichert wird.Is appropriate further, that in response to the receipt of a new number uniquely assigned by the terminal and / or the user ISP network specific access backup records all previous still in the respective list of the database assigned to the ISP network and the access protection records contained in the database of the terminal are deleted and the new number of access backup records in the respective list is stored.

Die Übertragung von Zugangssicherungsdatensätzen, insbesondere durch die dem ISP-Netz zugeordnete Generierungseinheit an die Endeinrichtung, und/oder die Speicherung von Zugangssicherungsdatensätzen in der Endeinrichtung erfolgen zur weiteren Erhöhung der Sicherung vorzugsweise verschlüsselt. Auch kann hierüber durch entsprechend geeignete Verschlüsselung im Wesentlichen jeder Art von zweckwidriger Einsichtnahme der Zugangssicherungsdatensätze an der Endeinrichtung entgegengewirkt werden. Die Entschlüsselung findet somit erst im Zuge der Komplettierung des Authentifikationsprotokolls durch die Zugangssoftware oder erst nach Übertragung auf Seite des ISP-Netzes im Zuge der Verifikation statt.The transfer access security records, in particular by the generation unit assigned to the ISP network to the terminal, and / or the storage of access backup records in The terminal device is preferably made to further increase the backup encrypted. Also, about this by appropriately suitable encryption essentially everyone Type of inappropriate inspection of the access security records on the Terminal equipment be counteracted. The decryption thus takes place only during the completion of the authentication protocol through the access software or only after transmission on the ISP network side in the course of verification.

Darüber hinaus ist vorgeschlagen, dass die ISP-Netz zugeordnete Generierungseinheit die Zugangssicherungsdatensätze applikationsbedingt mit einer vorbestimmten Nutzungszeit zu belegt, so dass durch jeweilige Verwendung eines Zugangssicherungsdatensatzes lediglich eine zeitlich limitierte Zugangsverbindung aufbaubar ist.Furthermore It is proposed that the ISP network associated generation unit the access protection records application-dependent with a predetermined period of use, such that by respective use of an access protection record only a time-limited access connection is buildable.

Ergänzend oder alternativ ist vorgesehen, dass vor einer oder unter Ansprechen auf eine Übertragung einer Anzahl von Zugangssicherungsdatensätzen an die Endeinrichtung die ISP-Netz zugeordnete Generierungseinheit bereits das Generieren eines der Endeinrichtung und/oder dem Nutzer zugeordneten Rechnungsdatensatzes einleitet, so dass bisher gegebenenfalls zeitlich nachgeordnete Abrechnungsprozeduren von in Anspruch genommenen Zugangsverbindungen reduziert und gegebenenfalls ganz entfallen können. Auch können die Zugangssicherungsdatensätze zur Gewährleistung einer sicheren Zugangsverbindung mit individuellen, insbesondere auch höheren, Kosten pro Zeiteinheit, z.B. zur Vergütung individueller Sicherheitsaufwendungen, belegt werden.Complementary or alternatively, it is provided that before or under response on a transmission a number of access backup records to the terminal associated with the ISP network Generation unit already generating one of the terminal equipment and / or billing record associated with the user, so that hitherto possibly temporally downstream settlement procedures reduced from claimed access connections and, where appropriate completely eliminated. Also can the access protection records to guarantee a secure access connection with individual, in particular even higher, Cost per unit time, e.g. to pay for individual security expenses, be occupied.

Für eine einfache Umsetzung der Erfindung in jeweilige ISP-Netz-Umgebungen ist ferner von Vorteil, dass applikationsabhängig die Generierung einer neuen Anzahl von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen durch Nutzeranforderung und/oder automatisiert unter Ansprechen auf das Unterschreiten einer minimalen Zahl von noch nicht als verbraucht markierten oder gelöschten Zugangssicherungsdatensätzen aus wenigstens einer der gespeicherten Listen von Zugangssicherungsdatensätzen eingeleitet werden kann.For a simple Implementation of the invention in respective ISP network environments is also advantageous, that application-dependent the generation of a new number from the terminal and / or the Users uniquely assigned ISP network specific access backup records through User request and / or automated in response to the Falling below a minimum number of not yet consumed marked or deleted Access security records initiated from at least one of the stored lists of access backup records can be.

Für ein automatisiertes Einleiten ist insbesondere vorgesehen, dass die Authentifikationseinrichtung in Zusammenwirken mit der dem ISP-Netz zugeordneten Datenbank oder unmittelbar die dem ISP-Netz zugeordnete Datenbank das jeweilige Löschen oder Markieren eines Zugangssicherungsdatensatzes oder das Unterschreiten einer vorgegebenen minimalen Zahl von noch nicht als verbraucht markierten oder gelöschten Zugangssicherungsdatensätzen der ISP-Netz Generierungseinheit signalisiert und/oder, dass die Endeinrichtung das Unterschreiten einer vorgegebenen minimalen Zahl von noch nicht als verbraucht markierten oder gelöschten Zugangssicherungsdatensätzen der ISP-Netz Generierungseinheit bei einer bestehenden Zugangsverbindung signalisiert.For an automated Initiation is in particular provided that the authentication device in cooperation with the database assigned to the ISP network or directly the database assigned to the ISP network the respective Clear or marking an access protection record or falling below a predetermined minimum number of not yet marked as consumed or deleted Access security records the ISP network generation unit signals and / or that the Terminal falls below a predetermined minimum number of as yet marked as used or deleted access backup records the ISP network generation unit for an existing access connection signaled.

Eine jeweilige Verwendung wenigstens eines Zugangssicherungsdatensatzes aus der in der Datenbank der Endeinrichtung gespeicherten Anzahl von Zugangssicherungsdatensätzen wird in besonders zweckmäßiger Weise unter Ansprechen auf das Vorliegen einer ungesicherten Netzzugangsschnittstelle automatisiert eingeleitet oder bewirkt.A respective use of at least one access assurance record from the number stored in the database of the terminal Access security records will be in a particularly convenient way in response to the presence of an unsecured network access interface automatically initiated or effected.

Das Vorliegen einer ungesicherten Netzzugangsschnittstelle wird gemäß einer Ausführungsform unter Ansprechen auf ein Nutzerbasiertes Bestätigungssignal beim Aufbau einer Zugangsverbindung erkannt, wobei z.B. unter Ansprechen auf das Einleiten eines Zugangsverbindungsaufbaus dem Nutzer eine Benutzereingabemaske bereitgestellt wird, über welche das Bestätigungssignal eingebbar ist.The There is an unsecured network access interface according to a embodiment in response to a user-based acknowledgment signal when establishing a Access connection recognized, e.g. in response to the initiation an access connection set up a user input mask to the user is provided over which the confirmation signal is entered.

In ergänzender oder alternativer Ausführung wird auf das Vorliegen einer ungesicherten Netzzugangsschnittstelleneinrichtung unter Ansprechen von in der Endeinrichtung integrierter Hardware und/oder implementierter Software, insbesondere Zugangssoftware, auf ein Standortprofil der zu verwendenden Netzzugangsschnittstelleneinrichtung erkannt, welches der in der Endeinrichtung integrierten Hardware und/oder implementierter Zugangssoftware unbekannt oder als ungesichert vordefiniert ist.In supplementary or alternative execution to the presence of an unsecured network access interface device in response to hardware integrated in the terminal and / or implemented software, in particular access software, to a location profile of the network access interface device to be used recognized which of the integrated in the terminal hardware and / or Implemented access software unknown or predefined as unsecured is.

Die Erfindung betrifft somit ferner ein Speichermedium mit elektronisch auslesbaren Daten, die, ausgelesen durch eine ISP-Netz zugangsfähige Endeinrichtung mit der Endeinrichtung zum Aufbauen einer Zugangsverbindung zu dem ISP-Netz zur Durchführung des erfindungsgemäßen Verfahrens zusammenwirken.The invention thus further relates to a Spei chermedium with electronically readable data, which, read-out by an ISP network accessible terminal device with the terminal to cooperate for establishing an access connection to the ISP network for performing the method according to the invention.

Die Erfindung betrifft somit ferner Vorrichtungen, insbesondere ISP-Netz-zugangsfähige Nutzerendeinrichtungen oder einem ISP-Netz zuordenbare Einrichtungen umfassend, welche zur Durchführung des erfindungsgemäßen Verfahrens angepasste Einheiten umfassen.The The invention thus further relates to devices, in particular ISP network-accessible user terminals or an ISP network assignable devices comprising to carry out the inventive method include adjusted units.

Weitere Vorteile und Merkmale der Erfindung werden anhand der nachfolgenden Beschreibung bevorzugter, jedoch lediglich beispielhafter Ausführungsformen unter Bezugnahme auf die beigefügten Zeichnungen ersichtlich. In den Zeichnungen zeigen:Further Advantages and features of the invention will become apparent from the following Description of preferred, but merely exemplary embodiments with reference to the accompanying drawings seen. In the drawings show:

1 eine schematische Prinzipskizze einer Anordnung zum Bereitstellen eines Netzzugangs für eine Vielzahl von netzzugangsfähigen Endeinrichtungen unter Verwendung einer ungesicherten Netzzugangsschnittstelleneinrichtung, in welcher die Erfindung zweckmäßig einsetzbar ist, 1 1 is a schematic schematic diagram of an arrangement for providing network access for a multiplicity of network-accessible terminal devices using an unsecured network access interface device in which the invention can be suitably used;

2 ein Flussdiagramm betreffend ein bevorzugtes Bereitstellen einer Liste mit einer Anzahl von einem Nutzer zugeordneten Zugangssicherungsdaten in einer Authentifikationseinrichtung eines Netzzugangsservers eines ISP-Netzes und in einer netzzugangsfähigen Nutzerendeinrichtung gemäß der Erfindung, und 2 a flowchart relating to a preferred provision of a list with a number of user-assigned access protection data in an authentication device of a network access server of an ISP network and in a network access user terminal device according to the invention, and

3 ein Flussdiagramm betreffend einzelne Schritte beim gesicherten Aufbau einer Netzzungangsverbindung von einer netzzugangsfähigen Endeinrichtung über eine ungesicherte Netzzugangsschnittstelleneinrichtung gemäß einer bevorzugten Ausführungsform der Erfindung, unter Verwendung von gemäß 2 eingesetzten Einheiten und bereitgestellten Zugangssicherungsdaten. 3 a flowchart relating to individual steps in the secure construction of a Netzzungangsverbindung of a network access terminal via an unsecured network access interface device according to a preferred embodiment of the invention, using according to 2 deployed units and provided access protection data.

Dargestellt ist bei 1 eine Netzumgebung mit einem Netz 300 eines Internetservice-Providers, welches über eine Netzzugangsschnittstelleneinrichtung in Art eines WLAN-Access-Points 200 einer öffentlichen Lokalisation von mehreren netzzugangsfähigen Endeinrichtungen 100 nutzbar ist. Hierbei werden herkömmlicher Weise die jeweils den Nutzern der Endeinrichtungen 100 zugeordneten ISP-Zugangsdaten verwendet.Shown is at 1 a network environment with a network 300 an Internet service provider, which via a network access interface device in the manner of a wireless access point 200 a public localization of several network-accessible terminals 100 is usable. In this case, conventionally, the respective users of the terminal equipment 100 assigned ISP access data used.

Da in einem solchen Fall bei einem Internetservice-Provider (ISP) die Datenübertragung für die Authentifaktionsprozedur in der Regel unverschlüsselt erfolgt, besteht somit die Gefahr der Ausspähung und somit des Missbrauchs der jeweiligen ISP-Zugangsdaten.There in such a case with a InterNet service Provider (ISP) the data transfer for the authentication procedure usually unencrypted Thus, there is the danger of spying and thus of abuse the respective ISP access data.

Bekanntermaßen bestehen die Zugangsdaten zu einem Internetservice-Provider in der Regel aus einem festen vom Internetservice-Provider vorgegebenen und einem variablen Anteil. Der variable Anteil ist üblicherweise das persönliche Kennwort, welches der Netznutzer aus Sicherheitsgründen beliebig ändern kann.As is known, exist the access data to an Internet service provider usually off a fixed predetermined by the Internet service provider and one variable share. The variable portion is usually the personal password which the network user for security reasons change as desired can.

Durch Einsatz des erfindungsgemäßen Verfahrens werden nun die ISP-Zugangsdaten innerhalb des Authentifikationsprotokolls zumindest teilweise und vorzugsweise aus dem variablen Anteil durch vom ISP bezogene Zugangssicherungsdaten, die der Endeinrichtung 100 und/oder dem Nutzer zugeordnet sind und beispielsweise in Form von Kennwörtern bereit gestellt werden, beim Einbuchen in derartigen fremden und/oder unsicheren Umgebungen ersetzt, wobei alle Zugangssicherungsdaten oder ein jeweils hierdurch repräsentierter Zeit- und/oder Guthabenwert insgesamt nur jeweils einmal verwendbar sind.By using the method according to the invention, the ISP access data within the authentication protocol now at least partially and preferably from the variable portion by ISP-related access protection data, the terminal 100 and / or are assigned to the user and, for example, provided in the form of passwords, are replaced when they are registered in such foreign and / or insecure environments, wherein all access security data or a respective time and / or credit value respectively represented thereby can only be used once in total.

Hierzu wird vorab während eines bestehenden Netzzuganges eine Anzahl von der Endeinrichtung 100 und/oder dem Nutzer zugeordneten Zugangssicherungsdaten von einer dem Netz 300 zugeordneten Generierungseinheit 370 auf die Endeinrichtung 100, beispielsweise ein Laptop, übertragen bzw. herunter geladen, wie mit dem mit T markierten Doppelpfeil angedeutet, und in einer Datenbank der Endeinrichtung 100 gespeichert, wobei diese Übertragung und Speicherung vorzugsweise verschlüsselt erfolgt.For this purpose, a number of the terminal device is in advance during an existing network access 100 and / or access security data associated with the user from one of the network 300 associated generation unit 370 on the terminal device 100 , For example, a laptop, transferred or downloaded, as indicated by the double arrow marked T, and in a database of the terminal 100 stored, this transmission and storage is preferably encrypted.

Soll bei erneutem Aufbauen einer Zugangsverbindung ein gesicherter Aufbau durchgeführt werden, kann in einer Ausführungsform über die auf der Endeinrichtung 100 implementierte Zugangssoftware des ISP, welche eine Benutzereingabemaske z.B. mit Schaltflächen "Verbindung ins Internet" und "Zugangssichere Verbindung ins Internet" bereitstellt, der gesicherte Aufbau eingeleitet werden. In alternativer oder ergänzender Ausführung kann z.B. auch eine Abfrage über die Benutzereingabemaske erfolgen.If, when rebuilding an access connection, a secured configuration is to be carried out, in one embodiment, it can be implemented via the one on the terminal device 100 implemented access software of the ISP, which provides a user input mask eg with buttons "Connect to the Internet" and "secure connection to the Internet", the secure structure will be initiated. In an alternative or supplementary embodiment, for example, a query can also be made via the user input mask.

In weiterer alternativer und/oder ergänzender Ausführung leitet die Zugangssoftware oder in Zusammenwirken mit einer intelligenten Logik der Endeinrichtung 100, automatisch bei einem unbekanntem Standortprofil einer zu verwendenden Netzzugangsschnittstelleneinrichtung und/oder bei Detektieren eines Standortprofils, welches der in der Endeinrichtung integrierten Hardware und/oder implementierte Software als ungesichert vordefiniert ist, den gesicherten Aufbau einer Verbindung ins Internet ein.In a further alternative and / or supplementary embodiment, the access software or in conjunction with intelligent logic conducts the terminal device 100 , automatically with an unknown location profile of a network access interface device to be used and / or upon detection of a location profile, which is integrated in the terminal integrated hardware and / or implemented software as unsecured, the secure establishment of a connection to the Internet.

Wird ein gesicherter Verbindungsaufbau ins Internet eingeleitet, werden automatisch je nach verwendeter ISP-Zugangssoftware und/oder verwendetem Authentifikationsprotokoll Zugangssicherungsdaten aus der gespeicherten Liste von der Endeinrichtung und/oder dem Nutzer zugeordneten Zugangssicherungsdaten ausgelesen und zur Komplettierung des Authentifikationsprotokolls eingesetzt. Anschließend werden die ausgelesenen und eingesetzten Zugangssicherungsdaten aus der gespeicherten Liste von Zugangssicherungsdaten gelöscht oder als entsprechend verbraucht markiert.Becomes initiated a secure connection to the Internet automatically depending on the ISP access software used and / or used Authentication protocol access backup data stored in the List of access security data associated with the terminal device and / or the user read out and complete the authentication protocol used. Subsequently become the read-out and used access security data deleted from the saved list of access backup data or marked as consumed accordingly.

Das komplettierte Authentifikationsprotokoll wird an eine, zweckmäßigerweise auf einem Zugangsserver des ISP-Netzes bereitgestellte, Authentifikationseinrichtung 350 übertragen und dort verifiziert. Hierzu ist in einer Datenbank 320 des ISP-Netzes, auf welche die Authentifikationseinrichtung 350 Zugriff hat, eine der in der Endeinrichtung gespeicherten Liste entsprechende Liste gespeichert. Diese entsprechende Liste wird zweckmäßig zur gleichen Zeit, wenn eine jeweilige neue Anzahl von Zugangssicherungsdaten von der dem Netz 300 zugeordneten Generierungseinheit 370 auf die Endeinrichtung 100 übertragen wird, auch von der Generierungseinheit 370 an die Datenbank 320, wie mit dem Einfachpfeil T gekennzeichnet, übertragen. Einmal verifizierte Zugangssicherungsdaten werden von der Authentifikationseinrichtung 350 aus der in der Datenbank 320 gespeicherten Liste von Zugangssicherungsdaten gelöscht oder als entsprechend verbraucht markiert
Durch ausschließliche Variation beispielsweise eines Teils der dem Nutzer zugeordneten Zugangsdaten innerhalb des Authentifikationsprotokolls, z.B. der festen und/oder eines Teils der variablen Zugangsdaten kann das Authentifikationsprotokoll im Aufbau unverändert bleiben, welches einen großen Vorteil hinsichtlich der Implementierung des erfindungsgemäßen Verfahrens selbst in bereits angewandte Authentifizierungsprozeduren gewährleistet.The completed authentication protocol is sent to an authentication device, expediently provided on an access server of the ISP network 350 transferred and verified there. This is in a database 320 of the ISP network to which the authentication device 350 Access has saved one of the list stored in the terminal. This corresponding list will be useful at the same time if a respective new number of access protection data from the network 300 associated generation unit 370 on the terminal device 100 is transmitted, even from the generation unit 370 to the database 320 , as indicated by the single arrow T transferred. Once verified access protection data is provided by the authentication device 350 from the in the database 320 stored list of access protection data deleted or marked as consumed accordingly
By exclusively varying, for example, part of the access data associated with the user within the authentication protocol, eg the fixed and / or a part of the variable access data, the authentication protocol can remain unchanged in structure, which ensures a great advantage with regard to the implementation of the inventive method even in already used authentication procedures ,

Hierfür stehen somit üblicherweise zwei verschiedene Bereiche mit dem Nutzer zugeordneten Zugangsdaten zur Verfügung. Zum Einen ein den Benutzernamen (Peer-ID) betreffender Zugangsdatenbereich, welcher z.B. eine Anschlusskennung, eine spezielle ISP-Netz-Kennung und eine Nutzerkennung umfassen kann. Dieser Bereich kann, da er wesentlich zur Identifikation beträgt, häufig vom Nutzer nicht ohne Weiteres verändert werden. Zum Anderen ein Bereich mit einem individuellen Kenn-/Passwort, das üblicherweise beliebig vom Nutzer bestimmbar ist.Stand for this thus usually two different areas with access data assigned to the user to disposal. On the one hand the user name (peer ID) access data area, which e.g. a port identifier, a special ISP network identifier and may include a user identifier. This area can, since he is essential for identification, often not without the user Other changes become. On the other hand, an area with an individual password / password, which is usually arbitrarily determined by the user.

Wird ausschließlich das Kenn-/Passwort durch Zugangssicherungsdaten ersetzt, bleibt der Nutzer somit weiterhin im Wesentlichen durch den Benutzernamen-Bereich identifizierbar. Eine mögliche Verrechnung kann somit anhand dieses Bereichs erfolgen.Becomes exclusively the passphrase replaced by passport backup data remains the user thus continues to be essentially identifiable by the username range. A possible Allocation can thus be made on the basis of this area.

Wird ergänzend oder alternativ zumindest teilweise auch der Benutzernamen-Bereich durch Zugangssicherungsdaten ersetzt, ist auch für die Nutzeridentifizierung und somit mögliche Verrechnung die Zuordnung zwischen den Zugangssicherungsdaten und dem Nutzer maßgebend.Becomes additional or alternatively at least partially also the user name area replaced by access security data, is also for user identification and thus possible Offsetting the assignment between the access insurance data and the user.

Die Liste von Zugangssicherungsdaten kann z.B. ferner einen, einen Guthabenwert eines Online-Bezahlungssystems repräsentierenden Datensatz, wie beispielsweise eine sogenannte "Micro-Money Nummer" von T-Pay umfassen. Werden der Kenn-/Passwort und/oder der Benutzernamen-Bereich durch eine solche "Wertdaten" ersetzt, wird das Vorhandensein eines ausreichenden Guthabens im Zuge der Authentifikationsprozedur durch eine entsprechend zugeordnete (Server-)einrichtung geprüft und nach Beendigung, entweder vom Nutzer oder vom ISP-Netz ausgehend, der Zugangsverbindung, wird der entsprechend verbrauchte Guthabenwert als verbraucht markiert. Da ein solcher, einen Guthabenwert repräsentierender Datensatz häufig bis zum vollständigem Aufbrauch des repräsentierten Guthabens in unveränderter Weise einsetzbar ist und sich erst bei "Neuerwerb" ändert, ist zwar ein Missbrauch durch Mitlesen nicht vollständig ausgeschlossen, jedoch hält sich ein möglicher Schaden innerhalb der Grenzen des noch repräsentierten bzw. gebuchten Guthabens.The List of access protection data may e.g. furthermore, a credit value of an online payment system representing record, such as For example, a so-called "micro-money Number "from T-Pay include. Be the password / password and / or user name range replaced by such a "value data", the presence sufficient credit in the course of the authentication procedure checked by an appropriately assigned (server) device and after Termination, either by the user or the ISP network, the Access connection, the corresponding used credit value marked as used up. Because such, representing a credit value Record frequently until complete Abuse of the represented Balance in unchanged Can be used and changes only when "Neuerwerb" Although misuse by Mitlesen is not completely excluded, but stops a possible one Damage within the limits of the still represented or booked credit.

Einzelne, vorstehend beschriebene Schritte eines erfindungsgemäß implementierten Systemen sind in den 2 und 3 schematisch zur Übersicht in Form von beispielhaften Flussdiagrammen zusammengefasst.Individual, above-described steps of an inventively implemented systems are in the 2 and 3 schematically summarized to overview in the form of exemplary flow charts.

2 betrifft hierbei ein erfindungsgemäßes Bereitstellen einer Liste mit einer Anzahl von, einem Nutzer zugeordneten Zugangssicherungsdaten durch einen, eine Generierungseinheit 370 umfassenden ISP-Server für einen, eine Authentifikationseinrichtung 350 und eine Datenbank 320 umfassenden Netzzugangsservers eines ISP-Netzes und für eine netzzugangsfähige Nutzerendeinrichtung 100, wobei auch eine durch den gestrichelten Pfeil angezeigte alternative Übertragung der Zugangssicherungsdaten an die Nutzerendeinrichtung 100 über den Netzzugangsserver dargestellt ist. 2 hereby relates to providing a list according to the invention with a number of access assurance data assigned to a user by means of a generation unit 370 comprehensive ISP server for one, an authentication device 350 and a database 320 comprehensive network access server of an ISP network and for a network-accessible user terminal 100 , wherein also indicated by the dashed arrow alternative transmission of access security data to the user terminal 100 is represented over the network access server.

3 betrifft ein erfindungsgemäß gesichertes Aufbauen einer Netzzungangsverbindung von einer netzzugangsfähigen Endeinrichtung 100 über eine ungesicherte Netzzugangsschnittstelleneinrichtung unter Verwendung von gemäß 2 eingesetzten Einheiten und bereitgestellten Zugangssicherungsdaten. 3 relates to an inventively secured building a Netzzungangsverbindung of a network access terminal 100 via an unsecured network access interface device using according to 2 deployed units and provided access protection data.

Um die Generierung einer neuen Anzahl von der Endeinrichtung 100 und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen rechtzeitig einzuleiten, kann dem Benutzer über die Benutzereingabemaske eine entsprechende Aufforderung zum Aktivieren eines Anforderungssignals, welches nach entsprechender Aktivierung an die Generierungseinheit 370 übertragen (Doppelpfeil T, 1) wird, angezeigt werden.To generate a new number from the terminal 100 and / or the ISP network uniquely assigned to the user can initiate specific access security data records in good time, the user can use the user input mask to request a corresponding request for activating a request signal, which after appropriate activation to the generation unit 370 transferred (double arrow T, 1 ) will be displayed.

In alternativer Ausführung ist jedoch zweckmäßigerweise die Authentifikationseinrichtung 350 derart konfiguriert und/oder wirkt die in der Endeinrichtung 100 implementierte Zugangssoftware mit dieser derart zusammen, dass das jeweilige Löschen oder Markieren eines Zugangssicherungsdatensatzes oder das Unterschreiten einer vorgegebenen minimalen Zahl von noch nicht als verbraucht markierten oder gelöschten Zugangssicherungsdatensätzen der Generierungseinheit 370 automatisiert signalisiert (Pfeil T, Doppelpfeil T, 1) wird. Die Generierungseinheit 370 erzeugt daraufhin unter Ansprechen auf die Signalisierung bei Unterschreiten der minimalen Zahl von noch nicht als verbraucht markierten oder gelöschten Zugangssicherungsdatensätzen eine neue Anzahl von der Endeinrichtung 100 und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen. Nach Übertragung der neuen Anzahl von eindeutigen Zugangssicherungsdatensätzen werden gegebenenfalls noch gespeicherte zuvor gültige Zugangssicherungsdatensätzen zweckmäßiger Weise gelöscht bzw. durch die neuen ersetzt.In an alternative embodiment, however, is expediently the authentication device 350 configured and / or acts in the terminal 100 implemented access software with this together so that the respective deletion or marking an access backup data set or falling below a predetermined minimum number of not yet marked as deleted or deleted access backup data sets of the generation unit 370 automatically signaled (arrow T, double arrow T, 1 ) becomes. The generation unit 370 then generates a new number from the terminal in response to the signaling falling below the minimum number of access backup records not yet marked as used or deleted 100 and / or the user uniquely associated ISP network specific access backup records. After transmission of the new number of unique access backup records still stored previously valid access backup records are expediently deleted or replaced by the new.

Ferner eignet sich die Erfindung auch zur Abrechnung eines höheren Zugangsaufwandes, gerade bei WLAN-Access-Points, da es dem Internetservice-Provider leicht möglich ist, anhand der jeweils geänderten Zugangssicherungsdaten die Berechnung der Nutzungszeit entsprechend anzupassen. In weiterer bevorzugter Anwendung ist ferner der Erhalt von Zugangssicherungsdaten durch Generierung eines dem Nutzer zugeordneten Rechnungsdatensatzes abrechenbar und/oder den Zugangssicherungsdaten ist eine jeweils begrenzte Nutzungsdauer zuordenbar. Eine begrenzte Nutzungsdauer kann auch unter Sicherheitsaspekten dahingehend vorteilhaft sein, dass beispielsweise im Falle der Benutzung einer erfindungsgemäß eingerichteten Endeinrichtung durch einen unberechtigten Nutzer der Schaden für den berechtigten bzw.Further the invention is also suitable for billing a higher access costs, especially with wireless access points, as it is the internet service provider easily possible is, on the basis of each changed Access security data the calculation of the usage time accordingly adapt. In a further preferred application is also the receipt of Access security data by generating a user assigned to the Billing data set billable and / or the access security data is a limited period of use can be assigned. A limited Useful life may also be advantageous from a safety point of view, that, for example, in the case of use of an inventively established Terminal device by an unauthorized user of the damage to the authorized respectively.

beim ISP registrierten Nutzer zumindest hinsichtlich eines abzurechnenden Netzzugangs in überschaubarem Rahmen bleibt.at the ISP registered users at least with regard to a billable Network access in manageable Frame remains.

Claims (23)

Verfahren zum Bereitstellen eines gesicherten Aufbauens einer Zugangsverbindung zu einem Netz (300) eines Internet Service Providers (ISP) von einer ISP-Netz zugangsfähigen Endeinrichtung (100) eines ISP-Netz zugangsberechtigten Nutzers, wobei zum Aufbauen der Zugangsverbindung ein Authentifikationsprotokoll mit dem Nutzer zugeordneten Zugangsdaten von der Endeinrichtung über eine Netzzugangsschnittstelleneinrichtung (200) an das ISP-Netz übertragen wird, dadurch gekennzeichnet, dass das Authentifikationsprotokoll vor Übertragung unter Verwendung wenigstens eines Zugangssicherungsdatensatzes aus einer in einer Datenbank der Endeinrichtung gespeicherten Liste von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen komplettiert wird, basierend auf dem übertragenen Authentifikationsprotokoll durch eine Authentifikationseinrichtung (350) des ISP-Netzes unter Zugriff auf eine in einer dem ISP-Netz zugeordneten Datenbank (320) gespeicherten Liste von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen der Nutzer und/oder die Endeinrichtung verifiziert (A) wird, und der wenigstens eine im Authentifikationsprotokoll verwendete Zugangssicherungsdatensatz in wenigstens einer der, in der Datenbank der Endeinrichtung und/oder der dem ISP-Netz zugeordneten Datenbank gespeicherten Listen von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen als entsprechend verbraucht markiert oder gelöscht wird.Method for providing a secure establishment of an access connection to a network ( 300 ) of an Internet service provider (ISP) from an ISP network-accessible terminal ( 100 ) of an ISP network authorized user, wherein for establishing the access connection an authentication protocol with the user associated access data from the terminal via a network access interface device ( 200 ) is transmitted to the ISP network, characterized in that the authentication protocol before transmission using at least one access backup data set from a stored in a database of the terminal device list is completed by the terminal and / or the user uniquely associated ISP network specific access backup records based on the transmitted authentication protocol by an authentication device ( 350 ) of the ISP network with access to a database assigned to the ISP network ( 320 ) and the terminal is verified (A), and the at least one access protection record used in the authentication protocol is stored in at least one of the terminal's and user's access security records / or the ISP network associated with the ISP network stored lists of the terminal and / or the user uniquely assigned ISP network specific access backup records is marked as deleted or deleted accordingly. Verfahren nach vorstehendem Anspruch, ferner dadurch, dass zur Komplettierung des Authentifikationsprotokolls dem Nutzer zugeordnete Zugangsdaten ersetzt werden.Method according to the preceding claim, further characterized that to complete the authentication protocol to the user assigned access data are replaced. Verfahren nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass der wenigstens eine im Authentifikationsprotokoll verwendete Zugangssicherungsdatensatz wenigstens aus der in der Datenbank der Endeinrichtung gespeicherten Liste von Zugangssicherungsdatensätzen als entsprechend verbraucht markiert oder gelöscht wird.The method of any one of the preceding claims, further characterized in that the at least one in the authentication protocol used access security record at least from in the Database of the terminal device stored list of access backup records as consumed accordingly marked or deleted. Verfahren nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass jeweils eine bestimmte Anzahl von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen durch eine dem ISP-Netz zugeordnete Einheit (370) generiert und an die dem ISP-Netz zugeordnete Datenbank und an die Endeinrichtung zur Speicherung übertragen (T) wird.Method according to one of the preceding claims, further characterized in that in each case a specific number of ISP networks uniquely assigned to the terminal device and / or the user are assigned to specific access backup data records by a unit (ISP network) ( 370 ) and transmitted to the ISP network associated database and to the terminal device for storage (T) is. Verfahren nach vorstehendem Anspruch, ferner dadurch gekennzeichnet, dass die Generierung einer neuen Anzahl von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen durch Nutzeranforderung und/oder unter Ansprechen auf das Unterschreiten einer minimalen Zahl von noch nicht als verbraucht markierten oder gelöschten Zugangssicherungsdatensätzen aus wenigstens einer der gespeicherten Listen von Zugangssicherungsdatensätzen eingeleitet wird.Method according to the preceding claim, further characterized in that the generation a new number of ISP network-unique access assurance records uniquely assigned to the terminal and / or the user is initiated by user request and / or in response to the falling below a minimum number of not yet marked or deleted access backup records from at least one of the stored access protection record lists , Verfahren nach vorstehendem Anspruch, ferner dadurch gekennzeichnet, dass die Authentifikationseinrichtung in Zusammenwirken mit der dem ISP-Netz zugeordneten Datenbank oder unmittelbar die dem ISP-Netz zugeordnete Datenbank das jeweilige Löschen oder entsprechende Markieren eines Zugangssicherungsdatensatzes oder das Unterschreiten der minimalen Zahl von noch nicht als verbraucht markierten oder gelöschten Zugangssicherungsdatensätzen der dem ISP-Netz zugeordneten Generierungseinheit signalisiert (S).A method according to the preceding claim, further characterized in that the authentication device interacts with the ISP network associated database or directly the database assigned to the ISP network, the respective deletion or corresponding marking of an access backup data record or falling below the minimum number of not yet consumed marked or deleted Access security records the generation unit assigned to the ISP network signals (S). Verfahren nach einem der zwei vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass die Endeinrichtung das Unterschreiten der minimalen Zahl von noch nicht als verbraucht markierten oder gelöschten Zugangssicherungsdatensätzen der dem ISP-Netz zugeordneten Generierungseinheit bei einer bestehenden Zugangsverbindung signalisiert (S).Method according to one of the two preceding claims, further characterized in that the terminal device falls below the minimum number of access security records not yet marked as used or deleted the ISP network associated generation unit in an existing Access connection signals (S). Verfahren nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass unter Ansprechen auf den Empfang einer neuen Anzahl von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen alle vorherigen noch in der jeweiligen Liste der dem ISP-Netz zugeordneten Datenbank und der Datenbank der Endeinrichtung enthaltenen Zugangssicherungsdatensätze gelöscht und die neue Anzahl von Zugangssicherungsdatensätzen in der jeweiligen Liste gespeichert wird.The method of any one of the preceding claims, further characterized in that in response to the receipt of a new number of the terminal and / or the user clearly associated ISP network specific access backup records all previous still in the respective list of the ISP network assigned Database and the database of the terminal are deleted the new number of access backup records in the respective list is stored. Verfahren nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass die Verwendung wenigstens eines Zugangssicherungsdatensatzes aus der in der Datenbank der Endeinrichtung gespeicherten Anzahl von Zugangssicherungsdatensätzen unter Ansprechen auf das Vorliegen einer ungesicherten Netzzugangsschnittstelleneinrichtung erfolgt.The method of any one of the preceding claims, further characterized in that the use of at least one access assurance record from the number stored in the database of the terminal of access backup records in response to the presence of an unsecured network access interface device he follows. Verfahren nach vorstehendem Anspruch, ferner dadurch gekennzeichnet, dass auf das Vorliegen einer ungesicherten Netzzugangsschnittstelleneinrichtung unter Ansprechen auf ein Nutzerbasiertes Bestätigungssignal beim Einleiten eines Zugangsverbindungsaufbaus erkannt wird.A method according to the preceding claim, further characterized characterized in that the presence of an unsecured network access interface device in response to a user-based acknowledgment signal on initiation an access connection structure is detected. Verfahren nach vorstehendem Anspruch, ferner dadurch gekennzeichnet, dass unter Ansprechen auf das Einleiten eines Zugangsverbindungsaufbaus dem Nutzer eine Benutzereingabemaske bereitgestellt wird, über welche das Bestätigungssignal eingegeben wird.A method according to the preceding claim, further characterized characterized in that in response to the initiation of an access connection setup the A user input mask is provided via which the confirmation signal is entered. Verfahren nach einem der drei vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass auf das Vorliegen einer ungesicherten Netzzugangsschnittstelleneinrichtung unter Ansprechen von in der Endeinrichtung integrierter Hardware und/oder implementierter Software, insbesondere Zugangssoftware, auf ein Standortprofil der zu verwendenden Netzzugangsschnittstelleneinrichtung erkannt wird, welches der in der Endeinrichtung integrierten Hardware und/oder implementierter Zugangssoftware unbekannt oder als ungesichert vordefiniert ist.Method according to one of the three preceding claims, further characterized in that the presence of an unsecured Network access interface device in response to in the terminal integrated hardware and / or implemented software, in particular Access software, to a location profile of the network access interface device to be used It detects which of the hardware integrated in the terminal equipment and / or implemented access software unknown or unsecured is predefined. Verfahren nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass Zugangssicherungsdatensätze verschlüsselt übertragen und/oder verschlüsselt in der Endeinrichtung gespeichert werden.The method of any one of the preceding claims, further characterized in that access backup records transmit encrypted and / or encrypted stored in the terminal. Verfahren nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass durch die jeweilige Verwendung eines Zugangssicherungsdatensatzes eine zeitliche limitierte, vordefinierte Zugangsverbindung aufgebaut wird.The method of any one of the preceding claims, further characterized in that by the respective use of a Access backup record a time-limited, predefined Access connection is established. Verfahren nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass Zugangssicherungsdatensätze verwendet werden, die einen abbuchbaren bzw. verbrauchbaren Guthabenwert repräsentieren.The method of any one of the preceding claims, further characterized in that use access security records which represent a debit or consumable credit value. Verfahren nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass vor einer oder unter Ansprechen auf eine Übertragung einer Anzahl von Zugangssicherungsdatensätzen an die Endeinrichtung ein der Endeinrichtung und/oder dem Nutzer zugeordneter Rechnungsdatensatzes generiert wird.The method of any one of the preceding claims, further characterized in that before or in response to a transmission a number of access backup records to the terminal one of the terminal and / or the user associated billing record generated becomes. Verfahren nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass bei jeweiliger Nutzung eines Zugangssicherungsdatensatzes aus der Liste ein der Endeinrichtung und/oder dem Nutzer zugeordneter Rechnungsdatensatzes generiert wird.The method of any one of the preceding claims, further characterized in that with respective use of an access security record from the list one of the terminal and / or the user assigned Billing record is generated. Vorrichtung, gekennzeichnet durch wenigstens eine zur Durchführung des Verfahrens nach einem der vorstehenden Ansprüche angepasste Einheit.Device characterized by at least one to carry out the method according to any one of the preceding claims adapted unit. Vorrichtung nach vorstehendem Anspruch, wobei die Vorrichtung ein Speichermedium mit elektronisch auslesbaren Daten ist oder umfasst, die, ausgelesen durch eine ISP-Netz zugangsfähige Endeinrichtung mit der Endeinrichtung zum gesicherten Aufbauen einer Zugangsverbindung zu dem ISP-Netz nach einem der vorstehenden Ansprüche zusammenwirken.Device according to the preceding claim, wherein the device is or comprises a storage medium with electronically readable data, which, readable by an ISP network accessible terminal device with the terminal to the secured Establishing an access connection to the ISP network according to one of the preceding claims cooperate. Vorrichtung nach einem der vorstehenden Ansprüche 18 bis 19, umfassend eine zur Durchführung des Verfahrens nach einem der vorstehenden Ansprüche angepasste Authentifikationseinrichtung.Device according to one of the preceding claims 18 to 19, comprising one for implementation The method according to any one of the preceding claims adapted authentication device. Vorrichtung nach vorstehendem Anspruch, wobei die Authentifikationseinrichtung Teil eines ISP-Netz-Zugangsservers ist oder mit einem eines ISP-Netz-Zugangsservers zusammenwirkt.Device according to the preceding claim, wherein the Authentication device is part of an ISP network access server or cooperates with one of an ISP network access server. Vorrichtung nach einem der vorstehenden Ansprüche 18 bis 21, umfassend eine zur Durchführung des Verfahrens nach einem der vorstehenden Ansprüche angepasste Nutzer-Endeinrichtung, welche Mittel zum gesicherten Aufbauen einer Zugangsverbindung zu einem ISP-Netz nach einem der vorstehenden Ansprüche aufweist.Device according to one of the preceding claims 18 to 21, comprising one for implementation the method according to any one of the preceding claims adapted user terminal equipment, which means for the secure establishment of an access connection to an ISP network according to one of the preceding claims. System mit wenigstens einer Vorrichtung nach, einem der vorstehenden Ansprüche 18 bis 22, umfassend eine ISP-Netz fähige Endeinrichtung mit einer Datenbank zur Speicherung einer Liste von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen, wobei die Endeinrichtung Mittel zum Aufbauen einer Zugangsverbindung zu dem ISP-Netz durch Übertragen eines Authentifikationsprotokolls an das ISP-Netz umfasst, die ausgebildet sind, das Authentifikationsprotokoll vor Übertragung unter Verwendung wenigstens eines Zugangssicherungsdatensatzes aus der Datenbank zu komplettieren.System with at least one device after, one of the preceding claims 18 to 22, comprising an ISP network able Terminal with a database for storing a list of the terminal equipment and / or ISP network uniquely assigned to the user specific access backup records, the terminal equipment Means for establishing an access connection to the ISP network by transmitting an authentication protocol to the ISP network that are trained the authentication protocol before transmission using at least one access backup record from the database to complete.
DE200510001107 2005-01-08 2005-01-08 Access connection`s secured configuration providing method for Internet service provider network, involves transferring authentication protocol with access data to network for configuration of access connection to network Ceased DE102005001107A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200510001107 DE102005001107A1 (en) 2005-01-08 2005-01-08 Access connection`s secured configuration providing method for Internet service provider network, involves transferring authentication protocol with access data to network for configuration of access connection to network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200510001107 DE102005001107A1 (en) 2005-01-08 2005-01-08 Access connection`s secured configuration providing method for Internet service provider network, involves transferring authentication protocol with access data to network for configuration of access connection to network

Publications (1)

Publication Number Publication Date
DE102005001107A1 true DE102005001107A1 (en) 2006-07-20

Family

ID=36642953

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200510001107 Ceased DE102005001107A1 (en) 2005-01-08 2005-01-08 Access connection`s secured configuration providing method for Internet service provider network, involves transferring authentication protocol with access data to network for configuration of access connection to network

Country Status (1)

Country Link
DE (1) DE102005001107A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009050007A1 (en) * 2007-10-15 2009-04-23 Sony Ericsson Mobile Communications Ab Method for wan access to network using one-time password
CN115118517A (en) * 2022-07-20 2022-09-27 国家信息中心 Cross-link application access application authentication method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1255392A2 (en) * 2001-04-30 2002-11-06 Matsushita Electric Industrial Co., Ltd. Computer network security system employing portable storage device
JP2003030146A (en) * 2001-07-17 2003-01-31 Nec Corp Network system with terminal authenticating function, and terminal authenticating method and authentication control program used for the same system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1255392A2 (en) * 2001-04-30 2002-11-06 Matsushita Electric Industrial Co., Ltd. Computer network security system employing portable storage device
JP2003030146A (en) * 2001-07-17 2003-01-31 Nec Corp Network system with terminal authenticating function, and terminal authenticating method and authentication control program used for the same system

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
RAEPPLE,M.: Sicherheitskonzepte für das Internet.dpunkt-Verlag, 1.Aufl.,1998.ISBN 3-932588-14-2,S.181-185 *
RAEPPLE,M.: Sicherheitskonzepte für das Internet.dpunkt-Verlag, 1.Aufl.,1998.ISBN 3-932588-14-2,S.181-185;

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009050007A1 (en) * 2007-10-15 2009-04-23 Sony Ericsson Mobile Communications Ab Method for wan access to network using one-time password
CN115118517A (en) * 2022-07-20 2022-09-27 国家信息中心 Cross-link application access application authentication method

Similar Documents

Publication Publication Date Title
DE112008000298B4 (en) A method for generating a digital fingerprint by means of a pseudorandom number code
WO2009003605A2 (en) Virtual prepaid or credit card and method and system for providing such and for electronic payment transactions
EP1264490A2 (en) Method for establishing the authenticity of the identity of a service user and device for carrying out the method
DE102014216080A1 (en) Electronic payment system and electronic payment method
WO2007073842A1 (en) Method for the preparation of a chip card for electronic signature services
WO2005031667A1 (en) Method for carrying out an electronic transaction
WO2013152986A1 (en) Secure generation of a user account in a service server
WO2013011043A1 (en) Mobile system for financial transactions
EP2199944A2 (en) Method for authenticating a person for an electronic data processing assembly with an electronic key
DE102005001107A1 (en) Access connection`s secured configuration providing method for Internet service provider network, involves transferring authentication protocol with access data to network for configuration of access connection to network
EP3107029B1 (en) Method and device for customized electronically signing of a document, and computer program product
EP3289509A1 (en) Method for generating an electronic signature
DE19818998B4 (en) Method for protecting against attacks on the authentication algorithm or the secret key of a chip card
WO2003017612A2 (en) Computer system and method for data access control
WO2004063952A2 (en) Cashless payment method for goods or services using a mobile radio telephone
CH713528A2 (en) Procedure for checking the identity of a person on a server.
DE10218729B4 (en) Methods for authenticating and / or authorizing people
EP3198546A1 (en) Transaction method
EP3435697B1 (en) Method for authenticating a user against a service provider and authentication system
EP1533973B1 (en) System and method to detect a subscriber authorization in the Internet
DE102020134933A1 (en) Procedure for creating a qualified electronic signature
AT518222A1 (en) Method and system for generating an electronic batch signature
DE102020121666A1 (en) Onboarding procedure for a digital user group
DE102018133380A1 (en) Process for creating a qualified electronic signature
EP2645670A1 (en) Provision of the identity attributes of a user

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
R012 Request for examination validly filed

Effective date: 20110604

R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final