DE102005001107A1 - Access connection`s secured configuration providing method for Internet service provider network, involves transferring authentication protocol with access data to network for configuration of access connection to network - Google Patents
Access connection`s secured configuration providing method for Internet service provider network, involves transferring authentication protocol with access data to network for configuration of access connection to network Download PDFInfo
- Publication number
- DE102005001107A1 DE102005001107A1 DE200510001107 DE102005001107A DE102005001107A1 DE 102005001107 A1 DE102005001107 A1 DE 102005001107A1 DE 200510001107 DE200510001107 DE 200510001107 DE 102005001107 A DE102005001107 A DE 102005001107A DE 102005001107 A1 DE102005001107 A1 DE 102005001107A1
- Authority
- DE
- Germany
- Prior art keywords
- access
- terminal
- network
- isp network
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
Description
Die Erfindung betrifft Verfahren und Vorrichtungen zum gesicherten Aufbauen einer Zugangsverbindung zu einem Netz eines Internetservice-Providers (ISP), bei welcher von einer ISP-Netz zugangsfähigen Endeinrichtung eines ISP-Netz zugangsberechtigten Nutzers ein Authentifikationsprotokoll mit dem Nutzer zugeordneten Zugangsdaten von der Endeinrichtung über eine Netzzugangsschnittstelleneinrichtung an das ISP-Netz übertragen wird.The The invention relates to methods and devices for secure construction an access connection to a network of an Internet service provider (ISP), in which of an ISP network accessible terminal of a ISP network authorized user an authentication protocol access data associated with the user from the terminal via a Network access interface device is transmitted to the ISP network.
Nach dem Stand der Technik wird herkömmlicherweise bei allen oder vielen Internetservice-Providern ein jeweiliges, gegebenenfalls auch ISP-Netz spezifisches, Authentifikationsprotokoll mit einem Nutzer zugeordneten, an und für sich geheimen Zugangsdaten zur Authentifikation unverschlüsselt übertragen. Diese Zugangsdaten können somit jedoch z.B. bei ISDN-Anschlüssen unter Umständen mit gelesen werden. Auch bei DSL-Lösungen besteht häufig keine Verschlüsselung, was gegebenenfalls ein Mitlesen ermöglichen kann.To The prior art conventionally with all or many Internet service providers a respective, possibly also ISP network specific, authentication protocol associated with a user, in and of itself secret access data transmitted unencrypted for authentication. This access data can thus, however, e.g. possibly with ISDN connections to be read. Also with DSL solutions is often no encryption, which may possibly enable reading.
Die Übertragungsverfahren sind in der Regel jedoch im heimischen und also kontrollierten Bereich unproblematisch, da der Nutzer sehen bzw. bestimmen kann, wer sich wo anschaltet und wer welche Programme betreibt. Kritisch werden diese Verfahren jedoch beim Einbuchen bzw. Netzzugang über fremde Umgebungen. Insbesondere, wenn sich ein Nutzer beispielsweise bei einem fremden WLAN-Access-Point mit seinen eigenen Zugangsdaten innerhalb eines Authentifikationsprotokolls anmeldet, besteht häufig die Gefahr, dass mitgelesen wird, welches zum Missbrauch der Zugangsdaten führen kann.The transmission method are usually in the domestic and thus controlled area without problems, since the user can see or determine who turns on where and who runs which programs. However, these methods become critical when booking or network access via foreign environments. In particular, if a user, for example at a foreign WLAN access point with its own access data within an authentication protocol logs in often the risk that is read along, which misuse the access data can lead.
Die Missbrauchsgefahr wird um so höher, wenn beispielsweise die Abrechnung des genutzten Internetzugangs nicht mehr, wie es bisher im Wesentlichen üblich war, unter Zuordnung des jeweils verwendeten Festnetz- oder auch Mobilfunk-Anschlusses erfolgt, sondern unter Zuordnung einer auf den geheimen Zugangsdaten des Authentifikationsprotokolls basierten Abrechnungsadresse erfolgt.The Risk of abuse becomes higher, if For example, the billing of the Internet access not used more, as it was previously common practice, under assignment the respectively used fixed or mobile connection takes place, but under assignment one on the secret access data of the Authentication Protocol based billing address is done.
Im Bereich des Homebanking ist ein Verfahren bekannt, bei dem mit sog. Transaktionsnummern (TAN) gearbeitet wird. Ein Kunde erhält hierbei eine Liste mit beispielsweise einhundert TANs per Post zugeschickt, von denen er bei jeder Überweisung jeweils eine eingibt. Da eine TAN nur jeweils für eine Aktion funktioniert bzw. gültig ist, wird hierbei im Wesentlichen ausgeschlossen, dass bei unberechtigtem Mitlesen ein Schaden entsteht, weil die TAN nicht ein zweites Mal verwertbar ist.in the Area of home banking, a method is known in which with so-called. Transaction numbers (TAN) is being worked on. A customer receives here a list of, for example, one hundred TANs sent by post, of which he at each transfer enter one each. Since a TAN only works for one action at a time or valid is, this is essentially excluded that in case of unauthorized reading Damage occurs because the TAN is not reusable a second time is.
Zur Sicherstellung, dass bei Nutzung einer Netzzugangsschnittstelleneinrichtung in Art eines WLAN-Access-Points unberechtigte Dritte den WLAN-Service nicht auf Kosten eines WLAN-Access-Point-Berechtigten nutzen, ist ein Verfahren bekannt, bei welchem für jede neue Nutzung des WLAN-Services durch den Berechtigten, diesem auf sein Mobiltelefon vorab vom ISP ein Einmalpasswort mittels SMS übertragen wird.to Ensuring that when using a network access interface device in the nature of a wireless access point Unauthorized third parties do not charge for the WLAN service at the expense of a WLAN access point holder use, a method is known in which for each new use of the wireless service by the claimant, this on his mobile phone in advance by the ISP transfer a one-time password by SMS becomes.
Nachteilig hierbei ist jedoch, dass folglich im Wesentlichen stets das Mobiltelefon bereit gehalten werden muss, auch wenn die Zugangsverbindung, wie herkömmlicherweise üblich, über ein Notebook oder ähnliches erfolgt. Auch ist nicht gewährleistet, dass nach einem abrupten, ungewollten Verbindungsabbau sofort eine neue Zugangsverbindung aufgebaut werden kann, da zunächst auf das neue Einmal-Passwort via SMS gewartet werden muss.adversely However, in this case, therefore, that is essentially always the mobile phone must be kept ready, even if the access connection, such as conventionally customary over a Notebook or similar he follows. Also is not guaranteed that immediately after a sudden, unintentional disconnection a new one Access connection can be established because first to the new one-time password must be maintained via SMS.
Ferner sind Verfahren bekannt, bei welchen auf Seiten des berechtigten Nutzers mittels einer Chip-Karte und einem Chip-Kartenleser jeweils ein Einmal-Passwort auf Basis einer gültigen persönlichen Identifikationsnummer der Chip-Karte berechnet und dem Nutzer angezeigt wird, so dass diese für den gesicherten Verbindungsaufbau über eine Benutzermakse, die mittels einer in der Endeinrichtung implementierten ISP-spezifischen Zugangsoftware bereit gestellt wird, eingegeben werden muss. Auch hierbei ist somit eine. Mehrzahl von Vorrichtungen auf Seiten des Nutzers erforderlich, um einen gesicherten Zugangsverbindungsaufbau zu gewährleisten.Further Methods are known in which on the part of the authorized User by means of a chip card and a chip card reader respectively a one-time password based on a valid personal identification number the chip card is calculated and the user is displayed so that they for the secure connection via a User mails implemented by means of one in the terminal ISP-specific access software is provided must become. Also here is thus one. Plurality of devices Pages of the user required to secure access connection setup to ensure.
Aufgabe der Erfindung ist es, einen technischen Weg aufzuzeigen, mit welchem ein gesichertes Aufbauen einer ISP-Netzzugangsverbindung unter ausschließlicher oder zusätzlicher Verwendung von nur einmal verwendbaren, dem Nutzer zugeordneten Zugangssicherungsdaten im Authentifikationsprotokoll gegenüber dem Stand der Technik in wesentlich vereinfachter Weise sichergestellt wird und, insbesondere auf Seiten des Nutzers, die Anzahl der hierbei notwendigen separaten Einrichtungen deutlich reduziert wird.task The invention is to show a technical way with which a secure establishment of an ISP network access connection under exclusive or additional Use of single use, assigned to the user Secure Access Data in the Authentication Protocol Versus the State of the art ensured in a much simplified manner will and, in particular on the part of the user, the number of this necessary separate facilities is significantly reduced.
Die Lösung der Aufgabe ist auf überraschende Weise bereits durch einen Gegenstand nach einem der anhängenden unabhängigen Ansprüche gegeben.The solution The task is surprising Already by an object according to one of the attached independent claims given.
Vorteilhafte und/oder bevorzugte Ausführungsformen und Weiterentwicklungen sind Gegenstand der Unteransprüche.advantageous and / or preferred embodiments and further developments are the subject of the dependent claims.
Erfindungsgemäß ist somit zum gesicherten Aufbauen einer Zugangsverbindung zu einem Netz eines Internetservice-Providers (ISP) von einer ISP-Netz zugangsfähigen Endeinrichtung eines ISP-Netz zugangsberechtigten Nutzers, bei welcher zum Aufbauen der Zugangsverbindung ein Authentifikationsprotokoll mit dem Nutzer zugeordneten Zugangsdaten von der Endeinrichtung über eine Netzzugangsschnittstelleneinrichtung an das ISP-Netz übertragen wird, vorgesehen, dass das Authentifikationsprotokoll vor Übertragung unter Verwendung wenigstens eines Zugangssicherungsdatensatzes aus einer in einer Datenbank der Endeinrichtung gespeicherten Liste von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen komplettiert wird, dass anhand des übertragenen Authentifikationsprotokolls durch eine Authentifikationseinrichtung des ISP-Netzes unter Zugriff auf eine in einer dem ISP-Netz zugeordneten Datenbank gespeicherten Liste von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen der Nutzer und/oder die Endeinrichtung verifiziert wird und, dass der wenigstens eine im Authentifikationsprotokoll verwendete Zugangssicherungsdatensatz in wenigstens einer der, in der Datenbank der Endeinrichtung und der dem ISP-Netz zugeordneten Datenbank gespeicherten Listen von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen, in besonders zweckmäßiger Weise in beiden Listen, automatisch als entsprechend verbraucht markiert oder gelöscht wird.According to the invention is thus for secure establishment of an access connection to a network an Internet service provider (ISP) of an ISP network accessible terminal of an ISP network authorized user in which an authentication protocol with the user associated access data is transmitted from the terminal via a network access interface device to the ISP network to establish the access connection, provided the authentication protocol is completed prior to transmission using at least one access backup data set from a list stored in a database of the terminal device specific to the ISP network specific access backup data sets and that based on the transmitted authentication protocol by an authentication device of the ISP network Access to a list stored in a database assigned to the ISP network by ISP network-specific access security data uniquely assigned to the terminal device and / or the user sets of users and / or the terminal is verified and that the at least one used in the authentication protocol access backup record in at least one, in the database of the terminal and the ISP network associated database stored lists of the terminal and / or the user uniquely assigned ISP network specific access backup records, most suitably in both lists, are automatically marked as being consumed or deleted.
Ein entsprechend angepasstes System umfasst folglich eine ISP-Netz fähige Endeinrichtung mit einer Datenbank zur Speicherung einer Liste von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen, wobei die Endeinrichtung Mittel zum Aufbauen einer Zugangsverbindung zu dem ISP-Netz durch Übertragen eines Authentifikationsprotokoll mit dem Nutzer zugeordneten Zugangsdaten an das ISP-Netz umfasst, wobei die Mittel ausgebildet sind, das Authentifikationsprotokoll vor Übertragung unter Verwendung wenigstens eines Zugangssicherungsdatensatzes aus der Datenbank automatisiert zu komplettieren.One accordingly adapted system thus includes an ISP network capable terminal with a database for storing a list from the terminal and / or the user uniquely associated ISP network specific Access security records wherein the terminal means for establishing an access connection to the ISP network by transmitting an authentication protocol with the user associated access data to the ISP network, wherein the means are designed, the Authentication protocol before transmission using at least one access protection record automated completion of the database.
Die Authentifikationseinrichtung des ISP-Netzes und/oder die dem ISP-Netz zugeordnete Datenbank können ferner Teil eines ISP-Netz Zugangsservers sein oder zum Zusammenwirken mit diesem ausgebildet sein.The Authentication device of the ISP network and / or the ISP network associated database can be part of an ISP network access server or to interact be formed with this.
Durch das Löschen oder als entsprechend verbraucht Markieren des wenigstens einen im Authentifikationsprotokoll verwendeten Zugangssicherungsdatensatzes in wenigstens einer der, in der Datenbank der Endeinrichtung und/oder der dem ISP-Netz zugeordneten Datenbank gespeicherten Listen von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen wird bereits grundsätzlich gewährleistet, dass jeder Zugangssicherungsdatensatz zumindest von der entsprechenden Endeinrichtung aus nur einmal verwendbar ist.By the deleting or as appropriately consumed marking the at least one access security record used in the authentication protocol in at least one of the, in the database of the terminal and / or of the database associated with the ISP network the terminal equipment and / or ISP network uniquely assigned to the user specific access security records are already guaranteed in principle, that each access security record at least from the corresponding Terminal is used only once.
Werden die eingesetzten Zugangssicherungsdatensätze zumindest in der gespeicherten Liste der dem ISP-Netz zugeordneten Datenbank entsprechend automatisch als verbraucht markiert oder gelöscht, so ist darüber hinaus auch im Wesentlichen jeglicher anderweitige Missbrauch ausgeschlossen.Become the used access backup records at least in the stored List of the database assigned to the ISP network accordingly automatically marked as used or deleted, that's about it In addition, essentially any other misuse excluded.
Durch die Speicherung der verwendbaren Zugangssicherungsdatensätze in einer Datenbank der Endeinrichtung selbst entfällt darüber hinaus die Notwendigkeit, auf eine weitere Einrichtung zurückgreifen zu müssen, um einen gesicherten Zugangsverbindungsaufbau zu bewirken.By storing the useable access backup records in one Database of the terminal itself also eliminates the need to resort to another facility to have to, to effect a secure access connection setup.
In vorteilhafter Weiterbildung ist ferner vorgesehen, dass zur jeweiligen Komplettierung des Authentifikationsprotokolls durch Verwendung eines Zugangssicherungsdatensatzes lediglich dem Nutzer zugeordnete Zugangsdaten innerhalb des Authentifikationsprotokolls jeweils ersetzt werden, so dass die Erfindung auf einfachste Weise auch auf bereits bestehende Authentifikationsprotokolle/-routinen zur praktischen Umsetzung anwendbar ist.In Advantageous development is further provided that the respective Completion of the authentication protocol by use an access backup record only associated with the user Access data within the authentication protocol respectively replaced so that the invention in the simplest way to already existing authentication protocols / routines for practical use Implementation is applicable.
Anwendungsspezifisch werden somit bevorzugt Daten ersetzt, die entweder den Benutzernamen (Peer-ID) betreffen, sofern dieser Datenbereich vom ISP nicht unveränderbar vorgegeben bzw. vergeben ist, und/oder die ein individuell vom Nutzer im wesentlichen beliebig auswählbares Kenn- oder Passwort betreffen.application-specific Thus, preferably data are replaced, either the username (Peer ID), unless this data area is unchangeable by the ISP is given or assigned, and / or the one individually by the user essentially arbitrarily selectable Password or password.
Werden ferner bei der erfindungsgemäßen Komplettierung die jeweils verwendeten Zugangssicherungsdatensätze in Reaktion hierauf aus der in der Datenbank der Endeinrichtung gespeicherten Liste von Zugangssicherungsdatensätzen automatisch als verbraucht markiert oder gelöscht, wird das Übertragen von bereits verbrauchten und folglich nicht mehr verifizierbaren Zugangssicherungsdatensätzen von vornherein ausgeschlossen und somit eine Erhöhung der Kapazitäts- und Zeitbeanspruchung beim gesicherten Aufbau einer Zugangsverbindung gegenüber einem Aufbau ohne Zugangssicherungsdaten im Wesentlichen stets ausgeschlossen.Become further in the completion of the invention the respective access security records used in response thereto the list stored in the database of the terminal Access security records automatically marked as used or deleted, the transfer is already consumed and therefore no longer verifiable Access security records excluded from the outset and thus an increase in capacity and Time exposure for the secure establishment of an access connection across from a structure without access security data essentially always excluded.
Zur Gewährleistung einander entsprechender Listen und, dass eine Kenntnisnahme durch Dritte ausgeschlossen wird, ist in zweckmäßiger Weise ferner vorgesehen, dass jeweils eine bestimmte Anzahl von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen durch eine dem ISP-Netz zugeordnete Einheit generiert und durch diese sowohl an die dem ISP-Netz zugeordnete Datenbank als auch unmittelbar an die Endeinrichtung, also bei bestehender Zugangsverbindung, zur dortigen Speicherung übertragen wird.To ensure corresponding lists and that a notice is excluded by third parties, it is expediently further provided that in each case a specific number of ISP network uniquely assigned to the terminal device and / or the user generated by a ISP network associated unit and transmitted by them both to the ISP network associated database as well as directly to the terminal, so with an existing access connection to the local storage.
Zweckmäßig ist ferner, dass unter Ansprechen auf den Empfang einer neuen Anzahl von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen alle vorherigen noch in der jeweiligen Liste der dem ISP-Netz zugeordneten Datenbank und der Datenbank der Endeinrichtung enthaltenen Zugangssicherungsdatensätze gelöscht und die neue Anzahl von Zugangssicherungsdatensätzen in der jeweiligen Liste gespeichert wird.Is appropriate further, that in response to the receipt of a new number uniquely assigned by the terminal and / or the user ISP network specific access backup records all previous still in the respective list of the database assigned to the ISP network and the access protection records contained in the database of the terminal are deleted and the new number of access backup records in the respective list is stored.
Die Übertragung von Zugangssicherungsdatensätzen, insbesondere durch die dem ISP-Netz zugeordnete Generierungseinheit an die Endeinrichtung, und/oder die Speicherung von Zugangssicherungsdatensätzen in der Endeinrichtung erfolgen zur weiteren Erhöhung der Sicherung vorzugsweise verschlüsselt. Auch kann hierüber durch entsprechend geeignete Verschlüsselung im Wesentlichen jeder Art von zweckwidriger Einsichtnahme der Zugangssicherungsdatensätze an der Endeinrichtung entgegengewirkt werden. Die Entschlüsselung findet somit erst im Zuge der Komplettierung des Authentifikationsprotokolls durch die Zugangssoftware oder erst nach Übertragung auf Seite des ISP-Netzes im Zuge der Verifikation statt.The transfer access security records, in particular by the generation unit assigned to the ISP network to the terminal, and / or the storage of access backup records in The terminal device is preferably made to further increase the backup encrypted. Also, about this by appropriately suitable encryption essentially everyone Type of inappropriate inspection of the access security records on the Terminal equipment be counteracted. The decryption thus takes place only during the completion of the authentication protocol through the access software or only after transmission on the ISP network side in the course of verification.
Darüber hinaus ist vorgeschlagen, dass die ISP-Netz zugeordnete Generierungseinheit die Zugangssicherungsdatensätze applikationsbedingt mit einer vorbestimmten Nutzungszeit zu belegt, so dass durch jeweilige Verwendung eines Zugangssicherungsdatensatzes lediglich eine zeitlich limitierte Zugangsverbindung aufbaubar ist.Furthermore It is proposed that the ISP network associated generation unit the access protection records application-dependent with a predetermined period of use, such that by respective use of an access protection record only a time-limited access connection is buildable.
Ergänzend oder alternativ ist vorgesehen, dass vor einer oder unter Ansprechen auf eine Übertragung einer Anzahl von Zugangssicherungsdatensätzen an die Endeinrichtung die ISP-Netz zugeordnete Generierungseinheit bereits das Generieren eines der Endeinrichtung und/oder dem Nutzer zugeordneten Rechnungsdatensatzes einleitet, so dass bisher gegebenenfalls zeitlich nachgeordnete Abrechnungsprozeduren von in Anspruch genommenen Zugangsverbindungen reduziert und gegebenenfalls ganz entfallen können. Auch können die Zugangssicherungsdatensätze zur Gewährleistung einer sicheren Zugangsverbindung mit individuellen, insbesondere auch höheren, Kosten pro Zeiteinheit, z.B. zur Vergütung individueller Sicherheitsaufwendungen, belegt werden.Complementary or alternatively, it is provided that before or under response on a transmission a number of access backup records to the terminal associated with the ISP network Generation unit already generating one of the terminal equipment and / or billing record associated with the user, so that hitherto possibly temporally downstream settlement procedures reduced from claimed access connections and, where appropriate completely eliminated. Also can the access protection records to guarantee a secure access connection with individual, in particular even higher, Cost per unit time, e.g. to pay for individual security expenses, be occupied.
Für eine einfache Umsetzung der Erfindung in jeweilige ISP-Netz-Umgebungen ist ferner von Vorteil, dass applikationsabhängig die Generierung einer neuen Anzahl von der Endeinrichtung und/oder dem Nutzer eindeutig zugeordneten ISP-Netz spezifischen Zugangssicherungsdatensätzen durch Nutzeranforderung und/oder automatisiert unter Ansprechen auf das Unterschreiten einer minimalen Zahl von noch nicht als verbraucht markierten oder gelöschten Zugangssicherungsdatensätzen aus wenigstens einer der gespeicherten Listen von Zugangssicherungsdatensätzen eingeleitet werden kann.For a simple Implementation of the invention in respective ISP network environments is also advantageous, that application-dependent the generation of a new number from the terminal and / or the Users uniquely assigned ISP network specific access backup records through User request and / or automated in response to the Falling below a minimum number of not yet consumed marked or deleted Access security records initiated from at least one of the stored lists of access backup records can be.
Für ein automatisiertes Einleiten ist insbesondere vorgesehen, dass die Authentifikationseinrichtung in Zusammenwirken mit der dem ISP-Netz zugeordneten Datenbank oder unmittelbar die dem ISP-Netz zugeordnete Datenbank das jeweilige Löschen oder Markieren eines Zugangssicherungsdatensatzes oder das Unterschreiten einer vorgegebenen minimalen Zahl von noch nicht als verbraucht markierten oder gelöschten Zugangssicherungsdatensätzen der ISP-Netz Generierungseinheit signalisiert und/oder, dass die Endeinrichtung das Unterschreiten einer vorgegebenen minimalen Zahl von noch nicht als verbraucht markierten oder gelöschten Zugangssicherungsdatensätzen der ISP-Netz Generierungseinheit bei einer bestehenden Zugangsverbindung signalisiert.For an automated Initiation is in particular provided that the authentication device in cooperation with the database assigned to the ISP network or directly the database assigned to the ISP network the respective Clear or marking an access protection record or falling below a predetermined minimum number of not yet marked as consumed or deleted Access security records the ISP network generation unit signals and / or that the Terminal falls below a predetermined minimum number of as yet marked as used or deleted access backup records the ISP network generation unit for an existing access connection signaled.
Eine jeweilige Verwendung wenigstens eines Zugangssicherungsdatensatzes aus der in der Datenbank der Endeinrichtung gespeicherten Anzahl von Zugangssicherungsdatensätzen wird in besonders zweckmäßiger Weise unter Ansprechen auf das Vorliegen einer ungesicherten Netzzugangsschnittstelle automatisiert eingeleitet oder bewirkt.A respective use of at least one access assurance record from the number stored in the database of the terminal Access security records will be in a particularly convenient way in response to the presence of an unsecured network access interface automatically initiated or effected.
Das Vorliegen einer ungesicherten Netzzugangsschnittstelle wird gemäß einer Ausführungsform unter Ansprechen auf ein Nutzerbasiertes Bestätigungssignal beim Aufbau einer Zugangsverbindung erkannt, wobei z.B. unter Ansprechen auf das Einleiten eines Zugangsverbindungsaufbaus dem Nutzer eine Benutzereingabemaske bereitgestellt wird, über welche das Bestätigungssignal eingebbar ist.The There is an unsecured network access interface according to a embodiment in response to a user-based acknowledgment signal when establishing a Access connection recognized, e.g. in response to the initiation an access connection set up a user input mask to the user is provided over which the confirmation signal is entered.
In ergänzender oder alternativer Ausführung wird auf das Vorliegen einer ungesicherten Netzzugangsschnittstelleneinrichtung unter Ansprechen von in der Endeinrichtung integrierter Hardware und/oder implementierter Software, insbesondere Zugangssoftware, auf ein Standortprofil der zu verwendenden Netzzugangsschnittstelleneinrichtung erkannt, welches der in der Endeinrichtung integrierten Hardware und/oder implementierter Zugangssoftware unbekannt oder als ungesichert vordefiniert ist.In supplementary or alternative execution to the presence of an unsecured network access interface device in response to hardware integrated in the terminal and / or implemented software, in particular access software, to a location profile of the network access interface device to be used recognized which of the integrated in the terminal hardware and / or Implemented access software unknown or predefined as unsecured is.
Die Erfindung betrifft somit ferner ein Speichermedium mit elektronisch auslesbaren Daten, die, ausgelesen durch eine ISP-Netz zugangsfähige Endeinrichtung mit der Endeinrichtung zum Aufbauen einer Zugangsverbindung zu dem ISP-Netz zur Durchführung des erfindungsgemäßen Verfahrens zusammenwirken.The invention thus further relates to a Spei chermedium with electronically readable data, which, read-out by an ISP network accessible terminal device with the terminal to cooperate for establishing an access connection to the ISP network for performing the method according to the invention.
Die Erfindung betrifft somit ferner Vorrichtungen, insbesondere ISP-Netz-zugangsfähige Nutzerendeinrichtungen oder einem ISP-Netz zuordenbare Einrichtungen umfassend, welche zur Durchführung des erfindungsgemäßen Verfahrens angepasste Einheiten umfassen.The The invention thus further relates to devices, in particular ISP network-accessible user terminals or an ISP network assignable devices comprising to carry out the inventive method include adjusted units.
Weitere Vorteile und Merkmale der Erfindung werden anhand der nachfolgenden Beschreibung bevorzugter, jedoch lediglich beispielhafter Ausführungsformen unter Bezugnahme auf die beigefügten Zeichnungen ersichtlich. In den Zeichnungen zeigen:Further Advantages and features of the invention will become apparent from the following Description of preferred, but merely exemplary embodiments with reference to the accompanying drawings seen. In the drawings show:
Dargestellt
ist bei
Da in einem solchen Fall bei einem Internetservice-Provider (ISP) die Datenübertragung für die Authentifaktionsprozedur in der Regel unverschlüsselt erfolgt, besteht somit die Gefahr der Ausspähung und somit des Missbrauchs der jeweiligen ISP-Zugangsdaten.There in such a case with a InterNet service Provider (ISP) the data transfer for the authentication procedure usually unencrypted Thus, there is the danger of spying and thus of abuse the respective ISP access data.
Bekanntermaßen bestehen die Zugangsdaten zu einem Internetservice-Provider in der Regel aus einem festen vom Internetservice-Provider vorgegebenen und einem variablen Anteil. Der variable Anteil ist üblicherweise das persönliche Kennwort, welches der Netznutzer aus Sicherheitsgründen beliebig ändern kann.As is known, exist the access data to an Internet service provider usually off a fixed predetermined by the Internet service provider and one variable share. The variable portion is usually the personal password which the network user for security reasons change as desired can.
Durch
Einsatz des erfindungsgemäßen Verfahrens
werden nun die ISP-Zugangsdaten innerhalb des Authentifikationsprotokolls
zumindest teilweise und vorzugsweise aus dem variablen Anteil durch vom
ISP bezogene Zugangssicherungsdaten, die der Endeinrichtung
Hierzu
wird vorab während
eines bestehenden Netzzuganges eine Anzahl von der Endeinrichtung
Soll
bei erneutem Aufbauen einer Zugangsverbindung ein gesicherter Aufbau
durchgeführt
werden, kann in einer Ausführungsform über die
auf der Endeinrichtung
In
weiterer alternativer und/oder ergänzender Ausführung leitet
die Zugangssoftware oder in Zusammenwirken mit einer intelligenten
Logik der Endeinrichtung
Wird ein gesicherter Verbindungsaufbau ins Internet eingeleitet, werden automatisch je nach verwendeter ISP-Zugangssoftware und/oder verwendetem Authentifikationsprotokoll Zugangssicherungsdaten aus der gespeicherten Liste von der Endeinrichtung und/oder dem Nutzer zugeordneten Zugangssicherungsdaten ausgelesen und zur Komplettierung des Authentifikationsprotokolls eingesetzt. Anschließend werden die ausgelesenen und eingesetzten Zugangssicherungsdaten aus der gespeicherten Liste von Zugangssicherungsdaten gelöscht oder als entsprechend verbraucht markiert.Becomes initiated a secure connection to the Internet automatically depending on the ISP access software used and / or used Authentication protocol access backup data stored in the List of access security data associated with the terminal device and / or the user read out and complete the authentication protocol used. Subsequently become the read-out and used access security data deleted from the saved list of access backup data or marked as consumed accordingly.
Das
komplettierte Authentifikationsprotokoll wird an eine, zweckmäßigerweise
auf einem Zugangsserver des ISP-Netzes bereitgestellte, Authentifikationseinrichtung
Durch ausschließliche Variation
beispielsweise eines Teils der dem Nutzer zugeordneten Zugangsdaten
innerhalb des Authentifikationsprotokolls, z.B. der festen und/oder
eines Teils der variablen Zugangsdaten kann das Authentifikationsprotokoll
im Aufbau unverändert
bleiben, welches einen großen
Vorteil hinsichtlich der Implementierung des erfindungsgemäßen Verfahrens
selbst in bereits angewandte Authentifizierungsprozeduren gewährleistet.The completed authentication protocol is sent to an authentication device, expediently provided on an access server of the ISP network
By exclusively varying, for example, part of the access data associated with the user within the authentication protocol, eg the fixed and / or a part of the variable access data, the authentication protocol can remain unchanged in structure, which ensures a great advantage with regard to the implementation of the inventive method even in already used authentication procedures ,
Hierfür stehen somit üblicherweise zwei verschiedene Bereiche mit dem Nutzer zugeordneten Zugangsdaten zur Verfügung. Zum Einen ein den Benutzernamen (Peer-ID) betreffender Zugangsdatenbereich, welcher z.B. eine Anschlusskennung, eine spezielle ISP-Netz-Kennung und eine Nutzerkennung umfassen kann. Dieser Bereich kann, da er wesentlich zur Identifikation beträgt, häufig vom Nutzer nicht ohne Weiteres verändert werden. Zum Anderen ein Bereich mit einem individuellen Kenn-/Passwort, das üblicherweise beliebig vom Nutzer bestimmbar ist.Stand for this thus usually two different areas with access data assigned to the user to disposal. On the one hand the user name (peer ID) access data area, which e.g. a port identifier, a special ISP network identifier and may include a user identifier. This area can, since he is essential for identification, often not without the user Other changes become. On the other hand, an area with an individual password / password, which is usually arbitrarily determined by the user.
Wird ausschließlich das Kenn-/Passwort durch Zugangssicherungsdaten ersetzt, bleibt der Nutzer somit weiterhin im Wesentlichen durch den Benutzernamen-Bereich identifizierbar. Eine mögliche Verrechnung kann somit anhand dieses Bereichs erfolgen.Becomes exclusively the passphrase replaced by passport backup data remains the user thus continues to be essentially identifiable by the username range. A possible Allocation can thus be made on the basis of this area.
Wird ergänzend oder alternativ zumindest teilweise auch der Benutzernamen-Bereich durch Zugangssicherungsdaten ersetzt, ist auch für die Nutzeridentifizierung und somit mögliche Verrechnung die Zuordnung zwischen den Zugangssicherungsdaten und dem Nutzer maßgebend.Becomes additional or alternatively at least partially also the user name area replaced by access security data, is also for user identification and thus possible Offsetting the assignment between the access insurance data and the user.
Die Liste von Zugangssicherungsdaten kann z.B. ferner einen, einen Guthabenwert eines Online-Bezahlungssystems repräsentierenden Datensatz, wie beispielsweise eine sogenannte "Micro-Money Nummer" von T-Pay umfassen. Werden der Kenn-/Passwort und/oder der Benutzernamen-Bereich durch eine solche "Wertdaten" ersetzt, wird das Vorhandensein eines ausreichenden Guthabens im Zuge der Authentifikationsprozedur durch eine entsprechend zugeordnete (Server-)einrichtung geprüft und nach Beendigung, entweder vom Nutzer oder vom ISP-Netz ausgehend, der Zugangsverbindung, wird der entsprechend verbrauchte Guthabenwert als verbraucht markiert. Da ein solcher, einen Guthabenwert repräsentierender Datensatz häufig bis zum vollständigem Aufbrauch des repräsentierten Guthabens in unveränderter Weise einsetzbar ist und sich erst bei "Neuerwerb" ändert, ist zwar ein Missbrauch durch Mitlesen nicht vollständig ausgeschlossen, jedoch hält sich ein möglicher Schaden innerhalb der Grenzen des noch repräsentierten bzw. gebuchten Guthabens.The List of access protection data may e.g. furthermore, a credit value of an online payment system representing record, such as For example, a so-called "micro-money Number "from T-Pay include. Be the password / password and / or user name range replaced by such a "value data", the presence sufficient credit in the course of the authentication procedure checked by an appropriately assigned (server) device and after Termination, either by the user or the ISP network, the Access connection, the corresponding used credit value marked as used up. Because such, representing a credit value Record frequently until complete Abuse of the represented Balance in unchanged Can be used and changes only when "Neuerwerb" Although misuse by Mitlesen is not completely excluded, but stops a possible one Damage within the limits of the still represented or booked credit.
Einzelne,
vorstehend beschriebene Schritte eines erfindungsgemäß implementierten
Systemen sind in den
Um
die Generierung einer neuen Anzahl von der Endeinrichtung
In
alternativer Ausführung
ist jedoch zweckmäßigerweise
die Authentifikationseinrichtung
Ferner eignet sich die Erfindung auch zur Abrechnung eines höheren Zugangsaufwandes, gerade bei WLAN-Access-Points, da es dem Internetservice-Provider leicht möglich ist, anhand der jeweils geänderten Zugangssicherungsdaten die Berechnung der Nutzungszeit entsprechend anzupassen. In weiterer bevorzugter Anwendung ist ferner der Erhalt von Zugangssicherungsdaten durch Generierung eines dem Nutzer zugeordneten Rechnungsdatensatzes abrechenbar und/oder den Zugangssicherungsdaten ist eine jeweils begrenzte Nutzungsdauer zuordenbar. Eine begrenzte Nutzungsdauer kann auch unter Sicherheitsaspekten dahingehend vorteilhaft sein, dass beispielsweise im Falle der Benutzung einer erfindungsgemäß eingerichteten Endeinrichtung durch einen unberechtigten Nutzer der Schaden für den berechtigten bzw.Further the invention is also suitable for billing a higher access costs, especially with wireless access points, as it is the internet service provider easily possible is, on the basis of each changed Access security data the calculation of the usage time accordingly adapt. In a further preferred application is also the receipt of Access security data by generating a user assigned to the Billing data set billable and / or the access security data is a limited period of use can be assigned. A limited Useful life may also be advantageous from a safety point of view, that, for example, in the case of use of an inventively established Terminal device by an unauthorized user of the damage to the authorized respectively.
beim ISP registrierten Nutzer zumindest hinsichtlich eines abzurechnenden Netzzugangs in überschaubarem Rahmen bleibt.at the ISP registered users at least with regard to a billable Network access in manageable Frame remains.
Claims (23)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200510001107 DE102005001107A1 (en) | 2005-01-08 | 2005-01-08 | Access connection`s secured configuration providing method for Internet service provider network, involves transferring authentication protocol with access data to network for configuration of access connection to network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200510001107 DE102005001107A1 (en) | 2005-01-08 | 2005-01-08 | Access connection`s secured configuration providing method for Internet service provider network, involves transferring authentication protocol with access data to network for configuration of access connection to network |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102005001107A1 true DE102005001107A1 (en) | 2006-07-20 |
Family
ID=36642953
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE200510001107 Ceased DE102005001107A1 (en) | 2005-01-08 | 2005-01-08 | Access connection`s secured configuration providing method for Internet service provider network, involves transferring authentication protocol with access data to network for configuration of access connection to network |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102005001107A1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009050007A1 (en) * | 2007-10-15 | 2009-04-23 | Sony Ericsson Mobile Communications Ab | Method for wan access to network using one-time password |
CN115118517A (en) * | 2022-07-20 | 2022-09-27 | 国家信息中心 | Cross-link application access application authentication method |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1255392A2 (en) * | 2001-04-30 | 2002-11-06 | Matsushita Electric Industrial Co., Ltd. | Computer network security system employing portable storage device |
JP2003030146A (en) * | 2001-07-17 | 2003-01-31 | Nec Corp | Network system with terminal authenticating function, and terminal authenticating method and authentication control program used for the same system |
-
2005
- 2005-01-08 DE DE200510001107 patent/DE102005001107A1/en not_active Ceased
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1255392A2 (en) * | 2001-04-30 | 2002-11-06 | Matsushita Electric Industrial Co., Ltd. | Computer network security system employing portable storage device |
JP2003030146A (en) * | 2001-07-17 | 2003-01-31 | Nec Corp | Network system with terminal authenticating function, and terminal authenticating method and authentication control program used for the same system |
Non-Patent Citations (2)
Title |
---|
RAEPPLE,M.: Sicherheitskonzepte für das Internet.dpunkt-Verlag, 1.Aufl.,1998.ISBN 3-932588-14-2,S.181-185 * |
RAEPPLE,M.: Sicherheitskonzepte für das Internet.dpunkt-Verlag, 1.Aufl.,1998.ISBN 3-932588-14-2,S.181-185; |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009050007A1 (en) * | 2007-10-15 | 2009-04-23 | Sony Ericsson Mobile Communications Ab | Method for wan access to network using one-time password |
CN115118517A (en) * | 2022-07-20 | 2022-09-27 | 国家信息中心 | Cross-link application access application authentication method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE112008000298B4 (en) | A method for generating a digital fingerprint by means of a pseudorandom number code | |
WO2009003605A2 (en) | Virtual prepaid or credit card and method and system for providing such and for electronic payment transactions | |
EP1264490A2 (en) | Method for establishing the authenticity of the identity of a service user and device for carrying out the method | |
DE102014216080A1 (en) | Electronic payment system and electronic payment method | |
WO2007073842A1 (en) | Method for the preparation of a chip card for electronic signature services | |
WO2005031667A1 (en) | Method for carrying out an electronic transaction | |
WO2013152986A1 (en) | Secure generation of a user account in a service server | |
WO2013011043A1 (en) | Mobile system for financial transactions | |
EP2199944A2 (en) | Method for authenticating a person for an electronic data processing assembly with an electronic key | |
DE102005001107A1 (en) | Access connection`s secured configuration providing method for Internet service provider network, involves transferring authentication protocol with access data to network for configuration of access connection to network | |
EP3107029B1 (en) | Method and device for customized electronically signing of a document, and computer program product | |
EP3289509A1 (en) | Method for generating an electronic signature | |
DE19818998B4 (en) | Method for protecting against attacks on the authentication algorithm or the secret key of a chip card | |
WO2003017612A2 (en) | Computer system and method for data access control | |
WO2004063952A2 (en) | Cashless payment method for goods or services using a mobile radio telephone | |
CH713528A2 (en) | Procedure for checking the identity of a person on a server. | |
DE10218729B4 (en) | Methods for authenticating and / or authorizing people | |
EP3198546A1 (en) | Transaction method | |
EP3435697B1 (en) | Method for authenticating a user against a service provider and authentication system | |
EP1533973B1 (en) | System and method to detect a subscriber authorization in the Internet | |
DE102020134933A1 (en) | Procedure for creating a qualified electronic signature | |
AT518222A1 (en) | Method and system for generating an electronic batch signature | |
DE102020121666A1 (en) | Onboarding procedure for a digital user group | |
DE102018133380A1 (en) | Process for creating a qualified electronic signature | |
EP2645670A1 (en) | Provision of the identity attributes of a user |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OM8 | Search report available as to paragraph 43 lit. 1 sentence 1 patent law | ||
R012 | Request for examination validly filed |
Effective date: 20110604 |
|
R002 | Refusal decision in examination/registration proceedings | ||
R003 | Refusal decision now final |