-
Die
Erfindung betrifft ein Verfahren zur Legitimierung eines Nutzers
zum Zugriff auf eine Datenbank, insbesondere eine über das
Internet zugängliche
Datenbank.
-
Öffentlich
zugängliche
Datenbanken, die vertrauliche Informationen enthalten, sind gewöhnlich passwortgeschützt. Ein
Nutzer, der auf die Datenbank zugreifen möchte, muss also über ein
Passwort übermitteln,
das ausschließlich
diesem speziellen Nutzer zugeordnet ist und diesen zum Zugriff auf die
Datenbank legitimiert. Eine wirkungsvolle Zugriffssicherung ist
insbesondere bei solchen Datenbanken wichtig, die über das
Internet und somit für
einen unbeschränkten
Personenkreis zugänglich
sind.
-
In
manchen Anwendungen besteht ein Problem darin, dass ein befugter
Nutzer sein Passwort freiwillig einer anderen Person offenbart,
damit diese ebenso Zugriff auf die Datenbank erhält. Der Datenbankanbieter kann
somit anhand des übermittelten Passworts
nicht zwischen befugten und unbefugten Nutzern unterscheiden und
kann insbesondere nicht feststellen, ob ein unbefugter Nutzer auf
vertrauliche Daten zugreift. Dieses Problem besteht beispielsweise
im Zusammenhang mit Kundendaten, die passwortgeschützt über das
Internet aufgerufen werden können,
wobei diese Kundendaten nur für
die speziellen Kunden zugänglich
sein und bleiben sollen.
-
Es
ist eine Aufgabe der Erfindung, ein Legitimierungsverfahren zu schaffen,
das den Zugriff auf eine Datenbank durch unbefugte Nutzer wirkungsvoll einschränkt.
-
Diese
Aufgabe wird durch ein Verfahren mit den Merkmalen des Anspruchs
1 gelöst
und insbesondere dadurch, dass der Nutzer mittels eines Mobiltelefons
eine vorbestimmte Telefonnummer anruft, wobei eine Anschlusskennung
des Mobiltelefons übertragen
wird, dass die übertragene
Anschlusskennung mit wenigstens einer gespeicherten Anschlusskennung
verglichen wird, und dass lediglich bei Übereinstimmung der übertragenen
Anschlusskennung mit der gespeicherten Anschlusskennung der Zugriff
auf die Datenbank freigegeben wird.
-
Bei
diesem Verfahren erfolgt die Legitimationsprüfung anhand einer Anschlusskennung
eines Mobiltelefons, die einem speziellen Nutzer der Datenbank zugeordnet
ist und durch Aufbau einer Telefonverbindung zwischen dem Mobiltelefon
des Nutzers und einem Telefonanschluss des Datenbankanbieters automatisch übertragen
wird. Seitens des Datenbankanbieters wird die übertragene Anschlusskennung
mit einer Kennung verglichen, die zu einem früheren Zeitpunkt als eine korrekte
Anschlusskennung des betreffenden Nutzers gespeichert worden ist.
Sofern hierbei eine Übereinstimmung
der übertragenen
Anschlusskennung mit der gespeicherten Anschlusskennung festgestellt
wird, darf der Nutzer auf die Datenbank zugreifen.
-
Ein
besonderer Vorteil dieses Verfahrens besteht darin, dass für die Legitimationsprüfung eine nutzerspezifische
Anschlusskennung eines Mobiltelefons verwendet wird. Diese Anschlusskennung
wird nämlich
als einmalig vergebene Kennung des Mobilfunkabonnenten automatisch übertragen.
Vor allem ist diese Kennung hinreichend manipulationssicher, da
die Übertragung
der Kennung zwar wahlweise aktiv unterdrückt, jedoch nicht – wie beispielsweise
bei festnetzgebundenen Telefonanlagen – manipuliert werden kann.
Diese Kennung ist bei Mobiltelefonen des GSM-Standards beispielsweise
in der SIM-Karte festgelegt (Subscriber Identification Module).
-
Eine
unbefugte Person kann somit nicht allein durch Kenntnis eines Passworts
Zugriff auf die Datenbank erhalten. Stattdessen bleibt der Datenbankzugriff
derjenigen Person vorbehalten, die über das Mobiltelefon (bzw.
dessen SIM-Karte) verfügt, dessen
Anschlusskennung gespeichert worden ist. Auf die Verwendung eines
Passworts kann sogar vollständig
verzichtet werden.
-
Die Übertragung
der zur Legitimationsprüfung
herangezogenen Anschlusskennung des Mobiltelefons erfolgt demnach über eine
Mobilfunkverbindung, und somit separat und zusätzlich zu der Datenverbindung
für den
erwünschten
Zugriff auf die Datenbank (z.B. Internetverbindung). Diese Verknüpfung zweier
verschiedener Verbindungsarten trägt ebenfalls zur Manipulationssicherheit
bei.
-
Die
Anschlusskennung des Mobiltelefons kann an den Telefonanschluss
des Datenbankanbieters übertragen
werden, ohne dass eine Sprachverbindung erstellt wird. Somit fallen
für das
erläuterte Legitimierungsverfahren
auch keine Verbindungskosten im Mobilfunknetz an.
-
Gemäß einer
vorteilhaften Ausführungsform des
erläuterten
Verfahrens wird der Zugriff auf die Datenbank lediglich dann freigegeben,
wenn die Anschlusskennung des Mobiltelefons innerhalb eines vorbestimmten
Zeitfensters nach oder vor einem Aufruf der Datenbank übertragen
wird. Als Aufruf der Datenbank ist in diesem Zusammenhang eine Übertragung
vorbestimmter Daten über
eine Datenschnittstelle der Datenbank zu verstehen. Insbesondere
ist der Beginn oder das Ende des genannten Zeitfensters an einen
Aufruf einer vorbestimmten Internet-Seite oder an das Auswählen eines
Hyperlinks einer Internet-Seite gekoppelt. Bei dieser Ausführungsform
wird die Möglichkeit
eines Zugriffs auf die Datenbank also davon abhängig gemacht, dass nicht nur über die
Mobilfunkverbindung die korrekte Anschlusskennung übertragen
wird, sondern in vorbestimmter zeitlicher Beziehung hierzu auch
eine Übertragung
vorbestimmter Daten über
eine zusätzliche Datenverbindung
zu der Datenbank erfolgt. Hierdurch wird die Manipulationssicherheit
noch weiter erhöht.
-
Das
Legitimierungsverfahren kann – wie
bereits erwähnt – sogar
ohne eine Eingabe und Überprüfung eines
Passworts durchgeführt
werden. Insbesondere kann das Ergebnis des erläuterten Vergleichs der übertragenen
Anschlusskennung des Mobiltelefons mit der gespeicherten Anschlusskennung
das einzige Kriterium für
die Entscheidung über die
Freigabe des Zugriffs auf die Datenbank bilden, wobei allenfalls
das bereits erläuterte
Zeitfenster zusätzlich
berücksichtigt
wird. Eine weitere Legitimationsprüfung ist bei dieser Ausführungsform
jedoch nicht vorgesehen, so dass der Datenbankzugriff für den Nutzer
besonders komfortabel ist.
-
Alternativ
hierzu kann als zusätzliches
Kriterium für
die Freigabe der Datenbank berücksichtigt werden,
ob der Nutzer – zusätzlich zu
der Über tragung
der korrekten Anschlusskennung – ein
vorbestimmtes Passwort über
eine separate Datenverbindung überträgt. Das
Passwort wird mit einem zu einem früheren Zeitpunkt gespeicherten
Passwort des betreffenden Nutzers verglichen, wobei die Datenbank
lediglich dann für
den Zugriff freigegeben wird, wenn auch hinsichtlich des Passworts
eine Übereinstimmung
der übertragenen
Daten mit den gespeicherten Daten festgestellt wird. Hierdurch kann
ebenfalls eine Erhöhung
der Manipulationssicherheit bewirkt werden.
-
Bezüglich der
vorstehend erläuterten
Ausführungsform
ist es besonders vorteilhaft, wenn der Zugriff auf die Datenbank
lediglich dann freigegeben wird, wenn die Übertragung der Anschlusskennung des
Mobiltelefons des Nutzers einerseits und die Übertragung des Passworts des
Nutzers andererseits innerhalb eines vorbestimmten Zeitfensters
erfolgen.
-
Gemäß einer
weiteren vorteilhaften Ausführungsform
ist vorgesehen, dass der Zugriff auf die Datenbank stets lediglich
für eine
vorbestimmte Zeitdauer freigegeben wird, wobei nach Ablauf dieser Zeitdauer
eine neuerliche Legitimierung durchgeführt werden muss. Auch hierdurch
werden die Missbrauchsmöglichkeiten
eingeschränkt.
-
Weiterhin
ist es bevorzugt, wenn bei den verschiedenen Ausführungsformen
des erläuterten
Legitimierungsverfahrens der Zugriff lediglich zu einer vorbestimmten
Auswahl von Inhalten der Datenbank freigegeben wird, die dem Nutzer
bzw. der übertragenen
Anschlusskennung seines Mobiltelefons zugeordnet ist. Mit anderen
Worten ist selbst bei erfolgreicher Legitimierung über die
Mobilfunkverbindung lediglich ein eingeschränkter Zugriff auf die Datenbank möglich.
-
Ferner
kann vorgesehen sein, dass jedem Nutzer der Datenbank eine eigene
vorbestimmte Telefonnummer des Datenbankanbieters zugeordnet ist,
um über
eine Mobilfunkverbindung zu dem betreffenden Telefonanschluss die
nutzerspezifische Anschlusskennung zu übertragen. Auch hierdurch werden
die Missbrauchsmöglichkeiten
eingeschränkt,
da die nutzerspezifische Telefonnummer allenfalls einem eingeschränkten Personenkreis
bekannt ist.
-
Die
Erfindung bezieht sich auch auf eine Vorrichtung zur Überprüfung der
Legitimierung eines Nutzers zum Zugriff auf eine Datenbank, insbesondere
auf eine über
das Internet zugängliche
Datenbank, wobei diese Vorrichtung eine Anschlusskennungs-Analyseeinrichtung
besitzt, die an einen Telefonanschluss anschließbar ist und mittels derer
eine Anschlusskennung eines an dem Telefonanschluss eingehenden
Mobiltelefonanrufs identifizierbar ist, und wobei die Vorrichtung
eine Steuereinrichtung besitzt, mittels derer eine von der Anschlusskennungs-Analyseeinrichtung
identifizierte Anschlusskennung mit einer gespeicherten Anschlusskennung vergleichbar
ist und in Abhängigkeit
von dem Ergebnis des Vergleichs der Zugriff auf die Datenbank steuerbar
ist.
-
Weitere
Ausführungsformen
der Erfindung sind in den Unteransprüchen genannt.
-
Die
Erfindung wird nachfolgend lediglich beispielhaft unter Bezugnahme
auf die Zeichnungen erläutert.
-
1 zeigt
in einem Blockschaltbild den Aufbau einer erfindungsgemäßen Datenbankanlage.
-
2 und 3 zeigen
Flussdiagramme verschiedener Ausführungsformen des erfindungsgemäßen Legitimierungsverfahrens.
-
1 zeigt
eine Datenbankanlage 11 mit einem Datenbankserver 13.
Dieser speichert und verwaltet Daten, die für befugte Nutzer zugänglich sein und
vor einem Zugriff durch unbefugte Nutzer geschützt werden sollen (z.B. kundenspezifische
Informationen). Der Datenbankserver 13 ist über eine Steuereinrichtung 15 mit
einem Internetserver 17 verbunden. Die Steuereinrichtung 15 ist
mit einer Anschlusskennungs-Analyseeinrichtung 19 verbunden, die
wiederum mit einem Telefonanschluss 21 verbunden ist.
-
1 zeigt
ferner einen Personalcomputer 23, der über eine Internetverbindung 25 mit
dem Internetserver 17 verbunden ist. Ein Nutzer 27 des
Personalcomputers 23 besitzt ein Mobiltelefon 29,
beispielsweise des GSM-Standards. Mittels des Mobiltelefons 29 und
der entsprechenden Infrastruktur des betreffenden Mobilfunk-Netzbetreibers
kann der Nutzer 27 zusätzlich
zu der Internetverbindung 25 auch eine Mobilfunkverbindung 31 zu
dem Telefonanschluss 21 der Datenbankanlage 11 herstellen.
-
Während in 1 der
besseren Übersicht halber
der Datenbankserver 13, die Steuereinrichtung 15,
der Internetserver 17, die Anschlusskennungs-Analyseeinrichtung 19 und
der Telefonanschluss 21 als separate Einhei ten gezeigt
sind, können
diese Bestandteile der Datenbankanlage 11 auch teilweise
oder vollständig
in eine einzige Recheneinheit integriert sein.
-
Die
Steuereinrichtung 15 und die Anschlusskennungs-Analyseeinrichtung 19 bilden
gemeinsam eine Vorrichtung zur Überprüfung der
Legitimierung des Nutzers 27 zum Zugriff auf die Datenbank
des Datenbankservers 13, wie nachfolgend anhand der 2 und 3 für verschiedene
mögliche
Legitimierungsverfahren erläutert
wird.
-
2 zeigt
ein Flussdiagramm einer ersten möglichen
Ausführungsform
des erfindungsgemäßen Legitimierungsverfahrens.
-
In
einem Schritt S1 wird die Datenbank aufgerufen. Dies kann beispielsweise
dadurch erfolgen, dass der Nutzer 27 über den Personalcomputer 23 eine
Internetverbindung 25 zu dem Internetserver 17 gemäß 1 aufbaut,
der über
die Steuereinrichtung 15 mit dem Datenbankserver 13 verbunden
ist. Zum Beispiel kann der Nutzer 27 auf diese Weise eine
bestimmte Internet-Seite auswählen,
die als öffentlicher Zugang
zu der von dem Datenbankserver 13 verwalteten Datenbank
dient. Auf dieser Internet-Seite kann ein Hinweis enthalten sein,
dass nun eine Legitimierung des Nutzers 27 zu erfolgen
hat.
-
Zu
diesem Zweck baut der Nutzer 27 in einem nachfolgenden
Schritt S3 mittels seines Mobiltelefons 29 eine Mobilfunkverbindung 31 zu
dem Telefonanschluss 21 der Datenbankanlage 11 auf.
Hierfür genügt es, dass
der Nutzer 27 mittels des Mobiltelefons 29 eine
vorbestimmte Telefonnummer anwählt. Ohne
dass hierfür
eine Sprachverbindung aufgebaut werden muss, vermag die Anschlusskennungs-Analyseeinrichtung 19 die Anschlusskennung
des Mobiltelefons 29 des Nutzers 27 – beispielsweise
die Telefonnummer des Mobiltelefons 29 bzw. der darin enthaltenen
SIM-Karte – zu erkennen.
Die identifizierte Anschlusskennung wird an die Steuereinrichtung 15 weitergeleitet.
-
In
einem nachfolgenden Schritt S4 vergleicht die Steuereinrichtung 15 die übertragene
Anschlusskennung des Mobiltelefons 29 mit wenigstens einer Anschlusskennung,
die zu einem früheren
Zeitpunkt als korrekte Anschlusskennung des Nutzers 27 registriert
worden ist.
-
Sofern
die Steuereinrichtung 15 die Übereinstimmung der beiden Anschlusskennungen
feststellt, gilt der Nutzer 27 als legitimiert, und in
einem Schritt S5 wird die Datenbank für den Nutzer 27 freigegeben,
d.h. der Nutzer 27 kann nun über die Internetverbindung 25 auf
den Datenbankserver 13 zugreifen. Beispielsweise kann der
Internetserver 17 an den Personalcomputer 23 des
Nutzers 27 eine Freigabebestätigung übermitteln bzw. die aufgerufene
Internet-Seite entsprechend ändern.
Oder der Nutzer 27 vermag ab dem Zeitpunkt der Freigabe
einen Hyperlink der aufgerufenen Internet-Seite anzuklicken, der
vor der Freigabe der Datenbank noch gesperrt ist und nun jedoch
zu einer Folgeseite für
den Zugriff auf den Datenbankserver 13 führt.
-
Falls
in dem Schritt S4 dagegen festgestellt wird, dass die übertragene
Anschlusskennung nicht mit der gespeicherten Anschlusskennung übereinstimmt,
verhindert die Steuereinrichtung 15 einen Zugriff auf den
Datenbankserver 13. Der Nutzer 27 kann über den
Internetserver 17 eine entsprechende Negativmeldung erhalten,
und/oder der fehlgeschlagene Zugriffsversuch wird von der Steuereinrichtung 15 registriert,
beispiels weise um sämtliche
Zugriffsversuche hinsichtlich systematischer Fehlversuche auswerten
und gegebenenfalls zusätzliche
Sicherungsmaßnahmen
einleiten zu können.
-
Optional
kann bei dem Verfahren gemäß 2 in
dem Schritt S4 zusätzlich überprüft werden, ob
der Aufruf der Datenbank gemäß Schritt
S1 und die Übertragung
der Anschlusskennung gemäß Schritt
S3 innerhalb eines vorbestimmten Zeitfensters erfolgen, wobei die
Freigabe der Datenbank gemäß Schritt
S5 nur dann erfolgt, wenn zusätzlich auch
das vorbestimmte Zeitfenster eingehalten wird.
-
Alternativ
oder zusätzlich
kann abweichend von der Darstellung gemäß 2 vorgesehen
sein, dass die Schritte S1 und S3 in umgekehrter Reihenfolge erfolgen
müssen.
-
3 zeigt
eine weitere mögliche
Ausführungsform
des erfindungsgemäßen Legitimierungsverfahrens.
Gleichartige Schritte wie bei dem Verfahren gemäß 2 sind mit
denselben Bezugszeichen gekennzeichnet.
-
Im
Unterschied zu dem Verfahren gemäß 2 muss
der Nutzer 27 in einem Schritt S2 ein Passwort eingeben.
Dieses wird beispielsweise über eine
Eingabemaske der aufgerufenen Internet-Seite abgefragt. In dem Schritt
S4 wird nicht nur die übertragene
Anschlusskennung mit der gespeicherten Anschlusskennung verglichen,
sondern es wird auch überprüft, ob das
eingegebene Passwort mit einem zu einem früheren Zeitpunkt registrierten
Passwort des speziellen Nutzers 27 übereinstimmt. Nur wenn diese
beiden Kriterien erfüllt
sind, wird in dem Schritt S5 die Datenbank für einen Zugriff durch den Nutzer 27 freigegeben.
-
Bei
dem Verfahren gemäß 3 kann
vorgesehen sein, dass die Eingabe des Passworts (Schritt S2) und
die Übertragung
der korrekten Anschlusskennung (Schritt S3) innerhalb eines vorbestimmten
Zeitfensters erfolgen müssen,
d.h. eine entsprechende Überprüfung kann
in dem Schritt S4 als ein zusätzliches
Kriterium für
die Freigabe der Datenbank berücksichtigt
werden.
-
Alternativ
oder zusätzlich
kann vorgesehen sein, dass die Schritte S2 und S3 in umgekehrter
Reihenfolge erfolgen können
oder müssen.
-
- 11
- Datenbankanlage
- 13
- Datenbankserver
- 15
- Steuereinrichtung
- 17
- Internetserver
- 19
- Anschlusskennungs-Analyseeinrichtung
- 21
- Telefonanschluss
- 23
- Personalcomputer
- 25
- Internetverbindung
- 27
- Nutzer
- 29
- Mobiltelefon
- 31
- Mobilfunkverbindung
- S1–S6
- Verfahrensschritte