DE102011055297A1 - Verfahren sowie Netzwerk-System und Authentifizierungsvorrichtung zur Authentifizierung in einer Netzwerkapplikation - Google Patents
Verfahren sowie Netzwerk-System und Authentifizierungsvorrichtung zur Authentifizierung in einer Netzwerkapplikation Download PDFInfo
- Publication number
- DE102011055297A1 DE102011055297A1 DE201110055297 DE102011055297A DE102011055297A1 DE 102011055297 A1 DE102011055297 A1 DE 102011055297A1 DE 201110055297 DE201110055297 DE 201110055297 DE 102011055297 A DE102011055297 A DE 102011055297A DE 102011055297 A1 DE102011055297 A1 DE 102011055297A1
- Authority
- DE
- Germany
- Prior art keywords
- network
- authentication device
- application server
- application
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/42—User authentication using separate channels for security data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
- Die Erfindung betrifft ein Verfahren und ein Netzwerk-System mit einem Applikations-Client und einem Applikations-Server sowie eine Authentifizierungsvorrichtung zur Authentifizierung eines Nutzers in einer Netzwerkapplikation.
- Service- und Datenanbieter müssen aus unterschiedlichen Interessen sicherstellen, dass solche Dateninhalte, die lediglich für einen begrenzten Nutzerkreis bestimmt sind, auch ausschließlich für diesen zugänglich sind. Eine solche Zugangsbeschränkung auf einen Nutzerkreis ist in der Regel zunächst mit der Zuordnung eines Nutzers zu einem registrierten Profil verbunden und wird regelmäßig durch allgemein bekannte Anmelde bzw. Login-Vorgänge sichergestellt.
- Derartige Sicherheitsmaßnahmen werden insbesondere bei Internetdiensten, wie z. B. dem e-Commerce von Online-Shops, kostenpflichtigen Datenbanken, Online-Banking, sowie E-Mail Konten und sonstigen Portalen und Foren angewendet. Insbesondere bei Anwendungen zur Abwicklung von Online-Geschäften, im Zuge derer entsprechende Willenserklärungen und Aktivitäten zu Zahlungen oder sonstigen Verbindlichkeiten fuhren, sowie bei der Bereitstellung sensibler Daten, besteht angesichts des erheblichen kriminellen Potentials eine besonders dringliche Notwendigkeit zur sicheren Authentifizierung der Teilnehmer.
- Üblicherweise basieren Authentifizierungsverfahren auf einer vorherigen Registrierung, bei der die Identität bzw. persönliche Daten eines Nutzers vor dem ersten Zugang der Anwendung durch Eingabe des Nutzers hinterlegt werden. Dabei wird bei der Registrierung in der Regel ein Identifikationsmerkmal, z. B. ein Username oder eine e-Mailadresse festgelegt, die eine eindeutige Identifikation des Nutzers im Rahmen der Anwendung ermöglicht. Weiterhin wird zur späteren Authentifizierung des Nutzers bei der Registrierung zumeist ein Passwort durch den Nutzer festgelegt, das nur diesem selber bekannt ist, und somit einen exklusiven Zugang gewährleisten soll.
- Im Stand der Technik wird zwischen 1 bis 3-Faktoren Authentifizierungen unterschieden, wobei die Faktoren das Wissen (z. B. Passwort), den Besitz (z. B. Smartcard) und persönliche Eigenschaften (z. B. Fingerabdruck, Unterschrift) des betreffenden Nutzers umfassen.
- Passwörter sind die am häufigsten angewandte Methode zur Authentifizierung, da eine entsprechende Registrierung schnell eingerichtet ist und seitens des Nutzers keine weitere Ausrüstung erforderlich ist. Allerdings ist diese Methode auch die unsicherste, da einfache Passwörter von versierten Dritten durch systematische Wörterbuch-Methoden erraten werden können und komplizierte Passwörter (z. B. mit Ziffern, Sonderzeichen, Buchstaben groß – klein) aufgrund erschwerter Gedächtniseinprägung gerne gemieden werden.
- Zudem sind Passwörter Ziel zahlreicher potentieller Attacken wie z. B. per E-Mail (z. B. identity theft, phishing), Abfangen (man-in-the-middle) oder Key-Logging, bei dem durch eine unbemerkte Installation die Tastatureingabe aufgezeichnet wird.
- Eine verbesserte Sicherheit schaffen einmalig gültige Passwörter (z. B. TAN). Diese müssen durch den entsprechenden Dienstleister generiert und registriert werden bevor er sie dem Nutzer zukommen lässt. Der Nutzer muss die Passwörter bzw. Ziffernfolgen stets bereit halten und sie insbesondere vor Entwendung schützen. Eine Abkehr der Online-Banking Dienstleister von diesem Verfahren bestätigt Sicherheitslücken und Probleme in der praktischen Handhabung und Durchführung.
- Weiterhin gibt es sogenannte Security-Token. Dies sind kleine tragbare Geräte, die durch einen synchronisierten Logarithmus zusammen mit einem Authentifizierungsserver kurzzeitig gültige Passwörter zeitgleich generieren und auf einem Display anzeigen. Diese Passwörter enthalten zumeist längere Zahlenreihen und müssen unter Zeitdruck korrekt manuell eingegeben werden, wodurch die Bedienungsfreundlichkeit leidet. Falls keine weiteren Sicherheitsmaßnahmen konfiguriert sind, kann ein entwendeter Security-Token verwendet werden, um sich über beliebige PCs missbräuchlich Zugang zu verschaffen. Wenn das Passwort lediglich in Abhängigkeit eines Zeitrahmens und nicht für einen indiviuellen Zugang generiert wird, kann das Verfahren mit Security-Token durch eine zügig übertragene Aufzeichnung eines Key-Loggers durchgangen werden.
- Des Weiteren sind Smartcards verbreitet, die z. B. per USB-Anschluss an einem PC des Nutzers angeschlossen werden. In diesen sind entweder Passwörter bzw. Identifikationen gespeichert oder werden gegebenenfalls in Abhängigkeit einer Anwendung generiert. Verfahren mit entsprechenden Peripheriegeräten haben den Nachteil gemeinsam, dass die Passwörter durch unbemerkt installierte Softwaremanipulation ausgespäht werden können. Zudem ist es möglich, dass eine entsprechende Installation mittels der Hardware des PCs den angeschlossenen Speicherort der Passwörter ausliest, oder zum Zeitpunkt der Absendung derselben einen Ausgang zum Netzwerkanschluss überwacht.
- Schließlich gibt es Verfahren, bei denen ein Austausch von einmalig gültigen Passwörtern über zwei getrennte Verbindungen stattfindet (z. B. mobile-TAN). Diese beiden Verbindungen können beispielweise durch das Internet und den Mobilfunk gebildet werden. Dieses Verfahren gilt spätestens nach dem Vorfall des Banking Trojaners „Zeus” als nicht mehr sicher. Im Falle einer Verbindung mit einem Mobilfunktelefon oder dergleichen bestehen darüber hinaus Methoden, um eine Datenübertragung abzuhören bzw. abzufangen. Zudem können bei der Verwendung Probleme durch Funklöcher bzw. eine unzureichende Netzabdeckung entstehen
- Ferner sind Verfahren bekannt, in denen eine biometrische Erfassung wie beispielsweise ein Fingerabdruck oder ein Iris-Scan des Nutzers vorgesehen ist. Diese Verfahren können mit Schwachpunkten bei der Übertragung der Erfassungsdaten bzw. eines positiven Bestätigungssignals behaftet sein. Insbesondere ist jedoch die Bereitstellung einer Einrichtung zur biometrischen Erfassung erforderlich, was seitens des Nutzers für viele Anwendungen nicht rentabel ist.
- Der Erfindung liegt daher die Aufgabe zugrunde, eine alternative Authentifizierung in einem Netzwerk zu schaffen, die ein hohes Maß an Sicherheit gegenüber Zugriffen durch Dritte sowie eine einfache Bedienung gewährleistet.
- Diese Aufgabe wird erfindungsgemäß durch ein Authentifizierungsverfahren mit den Schritten des Anspruchs 1 sowie durch ein Netzwerk-System mit den Merkmalen des Anspruchs 12 und einer Authentifizierungsvorrichtung mit den Merkmalen des Anspruchs 18 gelöst.
- Das Netzwerk-System zeichnet sich insbesondere dadurch aus, dass mittels einer autonomen, mit dem Nutzer assoziierte Authentifizierungsvorrichtung, die mit einem Netzwerk verbindbar ist, wenigstens ein Sicherheitsmerkmal, das in derselben gespeichert ist, an einen Applikations-Server übertragen wird; wobei die Übertragung des wenigstens einen Sicherheitsmerkmals unter Herstellung einer zweiten logischen Verbindung der Authentifizierungsvorrichtung zu dem Applikations-Server unabhängig von der ersten logischen Verbindung zwischen dem Applikations-Client und dem Applikations-Server erfolgt.
- Erfindungsgemäß sind die Sicherheitsmerkmale in der Authentifizierungsvorrichtung an einem systematisch abgetrennten Speicherort hinterlegt. Die Authentifizierungsvorrichtung bildet einen autonomen Schaltkreis, zu dem keine physikalische Verbindungen zur Steuerung oder sonstigen Zugriffen durch externe Datenverarbeitungseinrichtungen bereitgestellt sind. Somit können die Sicherheitsmerkmale grundsätzlich nicht durch einen Applikations-Client, d. h. insbesondere einem durch Softwaremanipulation gefährdeten Nutzer-PC des Nutzers, ausgelesen werden.
- Die Authentifizierungsvorrichtung weist erfindungsgemäß zur externen Datenverbindung lediglich eine Netzwerkschnittstelle auf, über die sie gespeicherte Sicherheitsmerkmale in einer eigenen logischen Verbindung über das Netzwerk an den Applikations-Server überträgt. Daher werden die Sicherheitsmerkmale aus der Authentifizierungsvorrichtung insbesondere nicht über eine Netzwerkschnittstelle des Applikations-Clients versendet und folglich nicht durch die Hardware desselben geleitet. Somit können die Sicherheitsmerkmale während einer Übertragung zur Authentifizierung prinzipiell nicht durch Manipulationen des Applikations-Clients aufgezeichnet werden.
- Das Verfahren zeichnet sich dadurch aus, dass ein Aufbau einer separaten logischen Verbindung zwischen der autonomen, mit dem Nutzer assoziierten Authentifizierungsvorrichtung und dem Applikations-Server durch eine Betätigung des Nutzers erfolgt, um wenigstens eine Sicherheitsmerkmal, das in der autonomen Authentifizierungsvorrichtung gespeichert ist, zu dem Applikations-Server zu übertragen.
- Im Rahmen des Authentifizierungsverfahrens wird eine Verbindung der Authentifizierungsvorrichtung erfindungsgemäß für zweitweise zur Übertragung der Sicherheitsmerkmale aufgebaut, sodass die Authentifizierungsvorrichtung ansonsten von dem gesamten Netzwerk getrennt und gegen externe Zugriffe aus dem Netzwerk geschützt ist.
- Zudem kann die Verbindung der Authentifizierungsvorrichtung erfindungsgemäß nur auf eine Betätigung des Nutzers hin erfolgen. Somit kann durch einen Dritten aus dem Netzwerk keine Verbindung zur Netzwerkschnittstelle initiiert werden, um Daten aus der Speichereinheit der Authentifizierungsvorrichtung zu entwenden. Weiterhin ermöglicht diese Bedingung dem Nutzer auf einfache Weise den Zeitpunkt und den Status der Verbindung zu kontrollieren.
- Weiterhin werden in dem Verfahren erfindungsgemäß Sicherheitsmerkmale übertragen, die vorab in der Authentifizierungsvorrichtung abgespeichert sind. Somit ist während der Authentifizierung keine wiederholende Generierung, keine Synchronisierung eines auf einem Server parallel ausgeführten Generierungsalgorithmus und insbesondere keine manuelle Eingabe eines Sicherheitsmerkmals erforderlich. Hinsichtlich des Bedienungsaufwands ist während der Authentifizierung lediglich eine Betätigung zur Aktivierung der Authentifizierungsvorrichtung und ggf. eine Betätigung zum Abrufen bzw. Übermitteln von Sicherheitsmerkmalen erforderlich. Hierdurch wird eine hohe Bedienungsfreundlichkeit der erfindungsgemäßen Authentifizierung gewährleistet.
- Die Authentifizierungsvorrichtung zeichnet sich insbesondere durch einen dedizierten Schaltkreis aus, der eine Speichereinheit zur Speicherung des wenigstens einen Sicherheitsmerkmals und einer Netzwerkadresse, die dem wenigstens einen Sicherheitsmerkmal zugeordnet ist; eine Netzwerkschnittstelle zur zeitweisen Herstellung einer physikalischen Verbindung zu dem Netzwerk der Netzwerkapplikation während einer Datenübertragung zur Übermittlung des wenigstens einen Sicherheitsmerkmals mit einer Netzwerkkarte zur Übertragung von Daten in einem Netzwerkprotokoll, die eine logische Verbindung zur Übermittlung des wenigstens einen Sicherheitsmerkmals lediglich basierend auf derjenigen Netzwerkadresse aufbauen kann, die dem wenigstens einen Sicherheitsmerkmal im Speicher zugeordneten ist; und einen einmalig beschreibbaren Speicher auf dem eine Vorrichtungsidentifikation, die mit einem Nutzer assoziiert ist, gespeichert ist, aufweist, wobei die Vorrichtungsidentifikation in der Datenübertragung zur Übermittlung des wenigstens einen Sicherheitsmerkals enthalten ist.
- Erfindungsgemäß weist die Authentifizierungsvorrichtung einen dedizierten Schaltkreis auf, der lediglich zur Realisierung der im Rahmen des Authentifizierungsverfahrens notwendigen Abläufe ausgelegt ist. Die Konfiguration der aufgeführten Hardware ermöglicht insbesondere keine Ausführung eines Netzwerk-Browsers oder sonstiger Anwendungen, die eine Datenkommunikation, ein Herunterladen und Öffnen bzw. Verarbeiten von Daten erfordern. Durch eine dezidierte Schaltkreisstruktur sowie einen Ausschluss bzw. eine Abgrenzung gegenüber einer mehrzweckfähigen Hardwarekonfiguration kann das Risiko einer Installation und Einflussnahme einer Softwaremanipulation auf ein entsprechend dezidiertes Betriebssystem der Authentifizierungsvorrichtung erheblich eingeschränkt werden.
- Die Netzwerkkarte der Authentifizierungsvorrichtung greift zum Aufbau einer logischen Verbindung zu einem Server erfindungsgemäß auf diejenige Netzwerkadresse zurück, die dem zu versendenden Sicherheitsmerkmal in dem Speicher zugeordnet ist. Somit kann das Risiko einer Manipulation der Netzwerkkarte zur Übertragung von Sicherheitsmerkmalen an die Netzwerkadresse eines Dritten eingeschränkt werden.
- Die Authentifizierungsvorrichtung weist erfindungsgemäß eine einzigartige hardwareimmanente Geräteidentifikation auf, mittels der sie mit dem Nutzer assoziiert ist. Die Zuweisung zwischen Gerätidentifikation und Identität des Nutzers kann beispielsweise durch den Hersteller oder eine ausgebende Institution vorgenommen und einem Dienstleister eines betreffenden Applikations-Servers mitgeteilt werden. Diese Zuordnung ist außerhalb des Netzwerks erfasst. Sie muss vorzugsweise nicht im Zuge einer Registrierung über das Netzwerk versendet werden und kann insofern nicht über dieses manipuliert werden. Alternativ kann die Assoziierung durch eine Mitteilung, z. B. auf dem Postweg, oder einer Online-Registrierung, einer entsprechenden Partei zugetragen werden.
- Da die Geräteidentifikation zusätzlich zu den Sicherheitsmerkmalen an den Applikations-Server übertragen wird, kann vorteilhafterweise eine duale Verifizierung der Eigenschaften der Datenübertragung der Sicherheitsmerkmale vorgesehen werden. Hierdurch wird eine weitere Sicherheitsmaßnahme geschaffen.
- Zudem kann der Applikations-Server unabhängig von einem zeitlichen Zusammenhang und der Netzwerkadresse der Verbindung mit dem Applikations-Clients anhand der Geräteidentifikation eingehende Sicherheitsmerkmale den registrierten Sicherheitsmerkmalen eines Nutzers zuordnen.
- Vorteilhafte Weiterbildungen des erfindungsgemäßen Autenthifizierungsverfahrens sowie des Netzwerk-Systems mit der Authentifizierungsvorrichtung sind Gegenstand der abhängigen Ansprüche.
- So ist es möglich, dass vor dem ersten Starten der Netzwerkapplikation eine Initialisierung der mit dem Nutzer assoziierten Authentifizierungsvorrichtung an dem Applikations-Server durch den Nutzer erfolgt, die zumindest eine Registrierung von wenigstens einem Sicherheitsmerkmal durch den Applikations-Server umfasst. Somit ist es möglich den Verwendungsbereich der Authentifizierungsvorrichtung nicht nur auf einen Dienstleister, der diese mit vorab registrierten Daten ausgibt, zu beschränken, sondern auch auf weitere Applikations-Server von nachträglich hinzukommenden Netzwerkapplikationen auszuweiten.
- Von besonderem Vorteil ist es, wenn mehrere Sicherheitsmerkmale durch den Applikations-Server bei der Initialisierung registriert werden, und der Applikations-Server eine zufällige Auswahl aus den registrierten Sicherheitsmerkmalen treffen kann, die von der Authentifizierungsvorrichtung zu übertragen sind. Durch die zufällige Auswahl einer Kombination und Anzahl der angeforderten Sicherheitsmerkmale kann der Applikations-Server sowohl die Länge als auch die Zusammensetzung der von ihm zu verifizierenden Datenübertragung bei jedem Authentifizierungsvorgang variieren. Somit führt die Aufzeichnung einer oder selbst mehrerer Übertragungen von Sicherheitsmerkmalen mittels einer unbestimmten Abfangmethode eines Dritten innerhalb der Verbindung zu dem Applikations-Server zu keinem verwendbaren Ergebnis für zukünftige Authentifizierungsvorgänge. Da sämtliche zur Auswahl stehenden Sicherheitsmerkmale nach einer entsprechenden Registrierung sowohl seitens des Applikations-Servers als auch in der Authentifizierungsvorrichtung abgespeichert sind, müssen trotz Variation der zu verifizierenden Datenübertragung auf beiden Seiten keine neuen Generierungen oder nachträgliche manuelle Eingaben erfolgen, was sich auf die Bedienungsfreundlichkeit besonders vorteilhaft auswirkt.
- Außerdem ist es möglich, dass die erste und zweite logische Verbindung über einen lokalen Netzwerkknoten aufgebaut werden, der ein lokales Netzwerk mit dem Netzwerk verbindet. Hierzu kann das Netzwerk-System einen lokalen Netzwerkknoten aufweisen, der ein lokales Netzwerk, das wenigstens den Applikations-Client und im verbundenen Zustand auch die Authentifizierungsvorrichtung umfasst, mit dem Netzwerk verbindet, sodass die erste und zweite logische Verbindung über den lokalen Netzwerknoten aufgebaut werden. Somit überträgt die Authentifizierungsvorrichtung die zur Authentifizierung erforderlichen Sicherheitsmerkmale über einen lokalen Netzwerkknoten, der eine gemeinsame Datenkommunikation zwischen dem lokalen Netzwerk einerseits und dem Applikations-Server andererseits herstellt. Trotz örtlicher Zusammenführung des Applikations-Client und der Authentifizierungsvorrichtung in einem lokalen Netzwerk, besteht selbst im Falle einer zeitgleichen physikalischen Netzwerkverbindung zwischen dem Applikations-Server und dem Applikations-Client sowie dem Applikations-Server und der Authentifizierungsvorrichtung keine gegenseitige Datenkommunikation zwischen dem Applikations-Client und der Authentifizierungsvorrichtung innerhalb des lokalen Netzwerks und insbesondere kein Austausch der Sicherheitsmerkmale.
- Hierbei ist es möglich, dass der Applikations-Server weiterhin eine Verifizierung von Übereinstimmungen einer lokalen Netzwerkadresse des Applikations-Clients und der Authentifizierungsvorrichtung durchführt. So kann der Applikations-Server anhand der Netzwerkadresse des lokalen Netzwerkknotens feststellen, ob die separate Übermittlung der Sicherheitsmerkmale aus demselben lokalen Netzwerk des Applikations-Clients erfolgt, und dies gegebenenfalls als Bedingung voraussetzen. Hierdurch kann eine weitere Sicherheitsmaßnahme zur Authentifizierung geschaffen werden.
- Gemäß einem Aspekt der Erfindung kann die Netzwerkschnittstelle der Authentifizierungsvorrichtung eine unidirektionale Netzwerkkarte aufweisen, sodass sie über den lokalen Netzwerkknoten lediglich Daten versenden und nicht empfangen kann. Somit kann der Speicherort der Sicherheitsmerkmale zusätzlich vor einem externen Zugriff aus dem Netzwerk abgesichert werden.
- Demzufolge kann das Übermitteln des wenigstens einen Sicherheitsmerkmals in Reaktion auf eine Betätigung der Authentifizierungsvorrichtung durch den Nutzer erfolgen. Hierdurch kann das Risiko einer zwischenzeitlichen Übermittlung von Sicherheitsmerkmalen durch eine Manipulation eines Dritten aus dem Netzwerk eingeschränkt werden.
- Alternativ ist es auch möglich, dass die Netzwerkschnittstelle der Authentifizierungsvorrichtung wahlweise eine bidirektionale Netzwerkkarte aufweist, die sowohl ein Versenden als auch ein Empfangen von Daten ermöglicht, wobei der Empfang lediglich Daten umfassen kann, deren Absendung auf einer Netzwerkadresse basiert, die dem wenigstens einen Sicherheitsmerkmal im Speicher zugeordneten ist. Somit kann die Authentifizierungsvorrichtung die Übermittlung der von dem Applikations-Server angeforderten Sicherheitsmerkmale vorteilhafterweise direkt an die Authentifizierungsvorrichtung anstatt z. B. an den Applikations-Client senden. Dadurch muss der Nutzer die Anforderung nicht selbst über den Applikations-Client ablesen.
- Demzufolge kann das Übermitteln des wenigstens einen Sicherheitsmerkmals in Reaktion auf eine Anforderung des Applikations-Servers an die Authentifizierungsvorrichtung erfolgen. Somit kann die Bedienungsfreundlichkeit beim Authentifizierungsvorgang erheblich verbessert werden, da lediglich eine einmalige Aktivierung der Authentifizierungsvorrichtung und keine manuelle Auswahl der zu übermittelnden Sicherheitsmerkmale erforderlich ist.
- Gemäß einem weiteren Aspekt der Erfindung kann die Initialisierung weiterhin ein Generieren von Sicherheitsmerkmalen durch die Authentifizierungsvorrichtung und ein Abspeichern generierter Sicherheitsmerkmale in der Authentifizierungsvorrichtung unter Zuordnung der Netzwerkadresse des Applikations-Servers umfassen. Hierfür weist die Authentifizierungsvorrichtung eine Verarbeitungseinheit auf, durch welche die Sicherheitsmerkmale generierbar sind. Erfindungsgemäß ist die Authentifizierungsvorrichtung dazu vorgesehen, für verschiedene Netzwerkapplikationen verwendet werden zu können. Wenn für jede Netzwerkapplikation neue Sicherheitsmerkmale verwendet werden sollen, muss gewährleistet sein, dass ggf. weitere Sicherheitsmerkmale für hinzukommenden Netzwerkapplikationen gespeichert werden. Durch eine Generierung neuer Sicherheitsmerkmale in der Authentifizierungsvorrichtung müssen diese nicht intellektuell bzw. durch Eingabe des Nutzers geschaffen werden, wodurch die Bedienungsfreundlichkeit erheblich verbessert wird.
- Dabei kann das Generieren der Sicherheitsmerkmale auf einer hardwareimmanenten Identifikation der Authentifizierungsvorrichtung, einer Netzwerk-Adresse und/oder einer Eingabe des Nutzers basieren. Wenn die übertragenen Sicherheitsmerkmale hardwarespezifische Faktoren enthalten, die z. B. aus der Assoziierung der Authentifizierungsvorrichtung mit dem Nutzer bekannt sind, kann der Applikations-Server diese Faktoren optional durch eine Zerlegung, die einer Umkehrung der Generierung entspricht, zusätzlich mit überprüfen. Durch eine beliebige Eingabe des Nutzers kann ein hardwareunabhängiger, willkürlicher Faktor in die Generierung eingebracht werden, der nur dem Nutzer bekannt ist.
- Von weiterem Vorteil ist es, wenn die Übertragung des wenigstens einen Sicherheitsmerkmals verschlüsselt wird, mittels eines Schlüssels zum Verschlüsseln, der in der Authentifizierungsvorrichtung gespeichert ist, und eines Schlüssels zum Entschlüsseln, der in dem Applikations-Server registriert ist. Hierbei kann die Übertragung der Sicherheitsmerkmale durch ein asymmetrisches Schlüsselpaar oder durch einen symmetrischen Schlüssel verschlüsselt werden. Ein Schlüssel zum Entschlüsseln kann beispielsweise zusammen mit der Geräteidentifikation in dem einmalig beschreibbaren Speicher gespeichert und ebenfalls mit dem Nutzer assoziiert sein. Ein entsprechender Schlüssel zum Entschlüsseln kann mittels Registrierung durch den Nutzer in dem Applikations-Server abgelegt sein. Vorteilhafterweise ist der Schlüssel zum Entschlüsseln dem Dienstleister des Applikations-Servers aufgrund der Assoziierung der Authentifizierungsvorrichtung mit dem Nutzer bekannt, sodass der Schlüssel selbst bei der anfänglichen Registrierung am Applikations-Server nicht übertragen werden braucht. Durch die Geräteidentifikation, die zusätzlich mit den Sicherheitsmerkmalen übertragen wird, kann der Applikations-Server den registrierten Schlüssel zum Entschlüsseln eingehender Sicherheitsmerkmale zuordnen und abrufen. Durch die Verschlüsselung wird eine weitere Sicherheitsmaßnahme geschaffen, welche die Auswertung einer unbestimmten Abfangmethode eines Dritten innerhalb der Verbindung erheblich erschwert oder verhindert.
- Außerdem kann das wenigstens eine Sicherheitsmerkmal mittels einer Verschlüsselung in der Authentifizierungsvorrichtung verschlüsselt abgespeichert sein. Somit müssen die Sicherheitsmerkmale nicht bei jedem Authentifizierungsvorgang durch die Authentifizierungsvorrichtung verschlüsselt werden, wodurch der notwendige Zeitbedarf oder die Verarbeitungskapazität und der Leistungsbedarf derselben bei der Datenübertragung gesenkt wird. Alternativ kann der Schlüssel zur verschlüsselten Abspeicherung ein anderer als derjenige sein, der zu Datenübertragung verwendet wird. Somit würde selbst beim Erfolg einer irgendwie gearteten Auslesung der Sicherheitsmerkmale durch eine unbestimmte Zugriffsmethode eines Dritten aus dem Netzwerk während der kurzzeitigen Netzwerkverbindung der Authentifizierungsvorrichtung, eine entsprechende Auswertung der ausgelesenen Daten zu keinem verwendbaren Ergebnis führen. Durch diese Alternative kann eine weitere Sicherheitsmaßnahme geschaffen werden.
- Von weiterem Vorteil ist es, wenn eine drahtlose Verbindung zwischen der Authentifizierungsvorrichtung und dem Netzwerk aufgebaut wird. Hierdurch wird die Handhabung der Authentifizierungsvorrichtung sowie insbesondere die Betätigung zur Herstellung einer physikalischen Verbindung erleichtert.
- Zudem kann die Authentifizierungsvorrichtung weiterhin einen Leistungsspeicher aufweisen, wobei die Vorrichtung als tragbares Gerät ausgebildet sein kann. Hierdurch ist die Authentifizierungsvorrichtung nicht auf die stationäre Verwendung an einem Netzwerkanschluss beschränkt, wodurch sich der Anwendungsbereich erheblich vergrößert. Dabei kann die Authentifizierungsvorrichtung vorteilhafterweise durch den Nutzer unterwegs mitgeführt werden und in beliebigen lokalen Netzwerken mit entsprechender Konfiguration verwendet werden.
- Weiterhin kann die Authentifizierungsvorrichtung als autonome Einheit in einer Einrichtung eines Netzwerkknotens, in einer Kommunikationseinrichtung oder in einer Datenverarbeitungseinrichtung aufgenommen werden oder integriert sein, wobei eine Verbindung der Authentifizierungsvorrichtung zu dem Netzwerk manuell betätigbar ist. Für den stationären Gebrauch in einem eigenen lokalen Netzwerk kann die Authentifizierungsvorrichtung in einem Router baulich integriert oder aufnehmbar sein, um die Anzahl der Netzwerkkomponenten zu verringern. Dabei kann vorteilhafterweise eine Leistungsversorgung bereitgestellt sein oder das Einstecken kann als Aktivierung der Authentifizierungsvorrichtung zum Verbindungsaufbau dienen, wodurch die Bedienung ebenfalls verbessert werden kann. Alternativ kann die Authentifizierungsvorrichtung in einer entsprechend ausgestalteten tragbaren Einrichtung, wie beispielsweise ein Mobiltelefon, baulich integriert sein, wobei eine physikalische Trennung und eine eigene manuelle Betätigung einer autonomen Einheit gewahrt bleibt. Hierdurch erhöht sich der praktische Anwendungsbereich, z. B. hinsichtlich der Applikationen.
- Ferner kann gemäß einem Aspekt der Erfindung zur Aktivierung derselben eine Eingabe einer PIN erforderlich sein. Dadurch wird eine weitere Sicherheitsmaßnahme gegen einen unberechtigten Gebrauch der Authentifizierungsvorrichtung durch Dritte, z. B. bei Entwendung derselben, geschaffen.
- Die Erfindung wird nachfolgend in Ausführungsbeispielen anhand der Figuren der Zeichnung näher erläutert. Es zeigt:
-
1 eine schematische Darstellung der Komponenten und Verbindungen des Netzwerk-Systems gemäß einer Ausführungsform der Erfindung; -
2 eine schematische Darstellung der Komponenten und Verbindungen des Netzwerk-Systems gemäß einer Ausführungsform der Erfindung; -
3A , B eine schematische Darstellung der Authentifizierungsvorrichtung; und -
4 ein Flussdiagramm des Authentifizierungsverfahrens. - Die Erfindung wird durch Erläuterung der nachstehenden Ausführungsformen mit Bezug auf die Figuren besser verständlich.
- Gemäß einer in
1 dargestellten Ausführungsform der Erfindung, wird das Netzwerk-System im Wesentlichen durch einen Applikations-Client1 , einen Applikations-Server2 , eine Authentifizierungsvorrichtung3 und ein Netzwerk6 gebildet. - Der Applikations-Client
1 ist eine geeignete Datenverarbeitungseinrichtung, wie z. B. ein internetfähiger Personal Computer des Nutzers, der über eine Netzwerkschnittstelle11 , wie beispielsweise einer Ethernet-Netzwerkkarte, an ein Netzwerk6 , insbesondere dem Internet bzw. World Wide Web angeschlossen ist. - Der Applikations-Server
2 ist ein Rechner, mit dem andere Datenverarbeitungseinrichtungen, insbesondere PCs in der Funktion eines Applikations-Clients1 , über das Netzwerk6 kommunizieren können, um Zugang zur Ausführung von Diensleistungen bzw. Anwendungen zu erlangen. Hierzu kann der Applikations-Server2 mit einer Applikations-Datenbank23 verknüpft sein, auf deren Daten basierend entsprechende Netzwerkapplikationen ausgeführt, d. h. Inhalte dargestellt oder Anwendungen durchgeführt werden. Diese Netzwerkapplikationen können über das Netzwerk6 von dem Applikations-Client1 aus aufgerufen und in einem programmbedingten Rahmen gesteuert werden. - Zur Durchführung einer Authentifizierung eines Nutzers kann der Applikations-Server
2 auf eine Registrierungsspeichereinheit21 zugreifen, in der Sicherheitsmerkmale, d. h. persönliche Zugangsdaten (z. B. Zeichenketten) unter Zuordnung zu einem angelegten Nutzerprofil durch einen Registrierungsvorgang abgespeichert sind. Ferner kann der Applikations-Server2 registrierte Sicherheitsmerkmale aus der Registrierungsspeichereinheit21 auslesen und mit eingehenden Sicherheitsmerkmalen vergleichen. - Die an dem Applikations-Server
2 eingehenden Sicherheitsmerkmale werden aus einer Authentifizierungsvorrichtung3 eines Nutzers übermittelt, der sich in einer entsprechenden Netzwerkapplikation des Applikations-Servers2 authentifizieren möchte. Hierzu nimmt die Authentifizierungsvorrichtung3 nach einer Betätigung wie z. B. einem Anschließen eines Netzwerkkabels oder der Aktivierung einer drahtlosen Verbindung durch den Nutzer eine Verbindung zu der Adresse des Applikations-Servers2 auf. - Gemäß einer weiteren in
2 dargestellten Ausführungsform der Erfindung, umfasst das Netzwerk-System ein lokales Netzwerk5 , das durch den Applikations-Client1 , die Authentifizierungsvorrichtung3 , insofern diese zweitweise Verbunden ist, und einen lokalen Netzwerkknoten4 , der das lokale Netzwerk5 mit dem Netzwerk6 (d. h. insbesondere dem Internet) verbindet, gebildet wird. - Wenn die Authentifizierungsvorrichtung
3 mit dem lokalen Netzwerkknoten4 verbunden ist, mit dem auch der Applikations-Client1 verbunden ist, werden die Sicherheitsmerkmale aus der Authentifizierungsvorrichtung3 über dieselbe physikalisch Verbindung zwischen dem lokalen Netzwerk5 und dem Applikations-Server2 übertragen, über die auch die Datenkommunikation des Applikations-Clients1 aus dem lokalen Netzwerk5 zu dem Applikations-Server2 erfolgt. Der lokale Netzwerkknoten4 wird vorzugsweise durch einen Router realisiert und ermöglicht insbesondere keinen Zugriff innerhalb des lokalen Netzwerks5 auf die Authentifizierungsvorrichtung3 , wie beispielsweise ein Switch oder Hub. Die Verbindung der Authentifizierungsvorrichtung3 zu dem lokalen Netzwerkknoten4 kann beispielsweise über W-LAN, Bluetooth, Infrarot, optische Verbindungen oder dergleichen hergestellt werden. - Wie in
3A gezeigt, ist die Authentifizierungsvorrichtung3 eine Datenverarbeitungseinrichtung mit einer Verarbeitungseinheit33 , d. h. einem Mikroprozessor (CPU), einem einmalig beschreibbaren Speicher34 zum speichern einer Geräteidentifikation, einer Leistungszufuhr oder einem Leistungsspeicher38 , einer unidirektionalen oder bidirektionalen Netzwerkschnittstelle31 , einer Speichereinheit32 zum Speichern der Sicherheitsmerkmale und einem Betätigungsmittel35 zur Aktivierung der Authentifizierungsvorrichtung3 bzw. eines Verbindungsaufbaus derselben zur Übertragung eines Sicherheitsmerkmals. - Die Authentifizierungsvorrichtung
3 ist mittels einer hardwareimmanenten Geräteidentifikation mit dem Nutzer assoziiert, die in einem einmalig beschreibbaren Speicher34 (Write Once Read Many (WORM) Speicher, wie etwa ein WORM Tape, WORM RAID Festplatte, etc.) abgespeichert ist. Diese kann z. B. eine Seriennummer des Herstellers oder eine andere einmalig vergebene Zeichenkette sein. Die Geräteidentifikation kann zudem auch durch einen verschlüsselten Barcode auf einer Außenseite der Authentifizierungsvorrichtung3 aufgebracht sein. - Bei der besonders einfachen, in
3A dargestellten Ausführungsform ist es erforderlich, dass aufgrund der fehlenden Eingabe- und Anzeigemöglichkeiten wenigstens ein Sicherheitsmerkmal und eine Netzwerkadresse vorab durch den Hersteller bzw. durch die ausliefernde Institution eingespeichert sind. - Wie in
3B dargestellt ist, kann eine Ausführungsform der Authentifizierungsvorrichtung3 eine Eingabeeinheit36 und eine Anzeigeeinheit37 umfassen, um eine weitere Bedienungsoptionen zu ermöglichen. Die beiden Einheiten36 ,37 können in einem Touchscreen zusammengefasst sein. In diesem Zusammenhang kann eine Eingabe von Zeichenketten zur Generierung von Sicherheitsmerkmalen, eine Menüführung für einen Registrierungsvorgang und ein ausgewähltes Abrufen bestimmter Sicherheitsmerkmale realisiert werden. - Zunächst führt der Nutzer vor dem ersten Start der Netzwerkapplikation eine Initialisierung der Authentifizierungsvorrichtung
3 an dem entsprechenden Applikations-Server2 durch. Hierzu wird die Authentifizierungsvorrichtung3 von dem Nutzer mit dem Netzwerk6 verbunden und z. B. durch Eingabe der Netzwerkadresse des Applikations-Servers2 über eine Eingabeeinheit36 eingewählt. Es ist ebenfalls möglich, dass der Nutzer mit dem Applikations-Client1 über eine Homepage des Dienstanbieters des Applikations-Servers2 durch Eingabe der Netzwerkadresse der Authentifizierungsvorrichtung3 eine von dem Applikations-Server2 ausgehende Verbindung zu der Authentifizierungsvorrichtung3 einrichtet. Gegebenenfalls wird die Registrierung an dem Applikations-Server2 mit dem Applikations-Client1 über ein Menü einer entsprechenden Homepage durch den Nutzer gestartet. Anschließend werden persönliche Daten zur Registrierung eines Profils eingegeben. Weiterhin kann bei der Registrierung eine Geräteidentifikation wie z. B. eine einmalige Seriennummer und/oder ein Schlüssel bzw. ein asymmetrisches Schlüsselpaar (z. B. eine 256 Bit AES Verschlüsselung) für eine verschlüsselte Datenübertragung der Sicherheitsmerkmale ausgetauscht werden. Alternativ können diese beiden Merkmale jedoch auch zuvor durch eine Institution (z. B. dem Hersteller oder einem ausgebenden Dienstleister) dem Nutzer zugeordnet worden sein und somit bereits vor der Ausgabe der Authentifizierungsvorrichtung3 an den Nutzer mit diesem assoziiert sein. - Ferner gibt der Nutzer über die Eingabeeinheit
36 Sicherheitsmerkmale wie z. B. Zeichenketten ein, oder lässt diese mittels der Verarbeitungseinheit33 und einem vorinstallierten Logarithmus in der Authentifizierungsvorrichtung3 generieren. Hierbei können die Sicherheitsmerkmale jeweils im Zuge einer Initialisierung an einem neuen Applikations-Server2 durch die Authentifizierungsvorrichtung3 generiert werden und mit einer Zuordnung der Netzwerkadresse des entsprechenden Applikations-Servers2 in der Speichereinheit32 der Authentifizierungsvorrichtung3 abgespeichert werden. Zudem kann die Abspeicherung der Sicherheitsmerkmale in der Speichereinheit32 der Authentifizierungsvorrichtung3 unter Verwendung einer Verschlüsselung erfolgen. - Nachdem die Authentifizierungsvorrichtung
3 und der Applikations-Server2 mit einander verbunden sind, werden die Sicherheitsmerkmale auf Betätigung der Authentifizierungsvorrichtung3 durch den Nutzer versendet. Da die Sicherheitsmerkmale ausschließlich basierend auf der in der Speichereinheit32 zugeordneten Adresse übertragen werden, ist sowohl bei der Registrierung als auch bei einer späteren Authentifizierung eine Übertragung derselben an Dritte Netzwerkteilnehmer ausgeschlossen. Der Applikations-Server2 legt die empfangenen Sicherheitsmerkmale in eine Registrierungsspeichereinheit21 zusammen mit weiteren erforderlichen persönlichen Daten des Nutzers, der Netzwerkadresse der Authentifizierungsvorrichtung3 und/oder der Geräteidentifikation der Authentifizierungsvorrichtung3 ab. Die Anzahl der Sicherheitsmerkmale sowie die Länge und gültigen Elemente ihrer Zeichenkette können z. B. je nach Sicherheitserfordernis der Netzwerkapplikation variieren. Nach der Registrierung der Sicherheitsmerkmale sowie weiteren für die Netzwerkapplikation erforderlichen persönlichen Daten, ist die Initialisierung der Authentifizierungsvorrichtung3 an dem Applikations-Server2 abgeschlossen. - In Bezug auf
4 kann die erfindungsgemäße Authentifizierung unter Verwendung der Authentifizierungsvorrichtung wie folgt ablaufen:
Gemäß einer Ausführungsform des Authentifizierungsverfahrens in einem eigenen lokalen Netzwerk5 besucht ein registrierter Nutzer beispielsweise mit seinem privaten Computer als Applikations-Client1 , der über einen Router mit einem Internetzugang ausgestattet ist, eine Homepage des Dienstleisters der Netzwerkapplikation (z. B. Einkauf bei einem Online-Shop). Dabei identifiziert sich der Nutzer gegenüber dem Applikations-Server2 beispielsweise durch eine Cookie-Information, die in Form eines HTTP-Cookies bei einem ersten Besuch in seinem installierten Web-Browser eingeschrieben wurde, oder durch Eingabe eines zuvor registrierten Benutzernamens oder dergleichen. Die Identifizierung kann in unbestimmter Reihenfolge mit begleitenden Vorgängen der Netzwerkapplikation (z. B. vor oder nach einem Zusammenstellen eines Warenkorbs) erfolgen. - Nach einer Identifizierung durch den Applikations-Server
2 schickt dieser (z. B. zum Abschluss eines Einkaufs) eine Aufforderung an den Applikations-Client1 , dass sich der Nutzer als berechtigte Person authentifizieren muss. Diese Aufforderung wird beispielsweise auf einem Display des PCs angezeigt und kann gegebenenfalls eine Anforderung von bestimmten Sicherheitsmerkmalen aus einer zuvor registrierten Auswahl an Sicherheitsmerkmalen beinhalten. Beispielsweise können bei der Registrierung10 verschiedene Sicherheitsmerkmale zur Authentifizierung vorgesehen worden sein, aus denen der Applikations-Server2 eine zufällige Kombination von Anzahl und Reihenfolge für jede Authentifizierung neu auswählt. - Der Nutzer aktiviert seine Authentifizierungsvorrichtung
3 und richtet eine Netzwerkverbindung zu dem lokalen Netzwerkknoten4 ein. Dabei kann ein gegebenenfalls zur Einrichtung der Netzwerkverbindung erforderliches Passwort in der erfindungsgemäßen Authentifizierungsvorrichtung3 zur Erleichterung der Bedienung hinterlegt werden, sodass der Verbindungsaufbau bei wiederholter Verbindung mit demselben lokalen Netzwerkknoten4 selbständig abläuft. Die Betätigung der Authentifizierungsvorrichtung stellt hierbei implizit eine Einwilligung des Nutzers zur Authentifizierung bzw. zur Durchführung eines damit verbundenen Anwendungsteils der Netzwerkapplikation dar. - Bei einer Ausführungsform der Authentifizierungsvorrichtung
3 kann der Nutzer an der Authentifizierungsvorrichtung3 die Kombination der angeforderten Sicherheitsmerkmale wählen, nachdem die Verbindung zwischen der Authentifizierungsvorrichtung3 und dem Netzwerk6 aufgebaut ist. Die angeforderte Kombination von Sicherheitsmerkmalen durch den Applikations-Server kann beispielsweise als Reihenfolge einer Nummerierung (z. B. Sicherheitsmerkmale Nr.8 ,3 ,5 und2 aus den registrierten Sicherheitsmerkmalen1 bis10 ) über eine Anzeigevorrichtung des Applikations-Clients ersichtlich sein. - Gegebenenfalls wählt der Nutzer zunächst in einem Menü der Authentifizierungsvorrichtung
3 unter mehreren Netzwerkapplikationen, für welche die Authentifizierungsvorrichtung3 initialisiert wurde, die gewünschte aus. Danach können beispielsweise nummerierte Tasten der Eingabeeinheit36 jeweils mit einem der Nummer entsprechenden Sicherheitsmerkmal belegt sein. Durch Betätigung der betreffenden Tasten in entsprechender Reihenfolge und Anzahl kann der Nutzer die angeforderten Sicherheitsmerkmale zur Übertragung abrufen. Die Authentifizierungsvorrichtung3 verschlüsselt gegebenenfalls anschließend die aufgerufenen Sicherheitsmerkmale und überträgt sie an die zugehörig abgespeicherte Netzwerkadresse des Applikations-Servers2 . - Bei einer alternativen Ausführungsform der Authentifizierungsvorrichtung
3 kann eine bidirektionale Verbindung über den lokalen Netzwerkknoten4 zu dem Applikations-Server2 aufgebaut werden. Der Applikations-Server2 kennt die Netzwerkadresse der Authentifizierungsvorrichtung3 bzw. die MAC-Adresse durch die Registrierung sowie gegebenenfalls die IP-Adresse des lokalen Netzwerkknotens4 anhand der Netzwerkverbindung mit dem Applikations-Client1 und sendet eine Anforderung von Sicherheitsmerkmalen direkt an die Authentifizierungsvorrichtung3 nachdem diese aktiviert wurde und eine Verbindung aufgebaut ist. Die Authentifizierungsvorrichtung3 kann daraufhin selbständig, oder nach Betätigung einer Taste zur Bestätigung des Nutzers, die Übertragung der betreffenden Sicherheitsmerkmale durchführen und sie gegebenenfalls zuvor verschlüsseln. Weiterhin ist es möglich, dass der Aufbau der bidirektionalen Verbindung über einen speziellen Port (ein Port im Bereich 0 bis 65535) erfolgt. Gegebenfalls bestätigt der Nutzer gegenüber dem Applikations-Server2 mit seinem Browser auf der Homepage anschließend die Absendung der Sicherheitsmerkmale. - Der Applikations-Server
2 kann bei Eingang der Daten der übertragenen Sicherheitsmerkmale beispielsweise durch die Netzwerk- bzw. MAC-Adresse der Authentifizierungsvorrichtung3 , durch die übermittelte Geräteidentifikation oder einem zeitlichen Zusammenhang der vorstehenden Schritte erkennen, um welche Authentifizierungsdaten es sich handelt und gegebenenfalls einen erforderlichen Schlüssel zur Verschlüsselung der übertragenen Daten aufrufen. Weiterhin kann die Authentifizierungsvorrichtung3 zu diesem Zweck eine hardwareimmanente Geräteidentifikation mit übertragen, die in dem Applikations-Server2 registriert und mit dem Nutzer assoziiert ist. - Anschließend kann der Applikations-Server
2 verifizieren, ob die Netzwerkverbindungen mit dem Applikations-Client1 und der Authentifizierungsvorrichtung3 über die IP-Adresse desselben lokalen Netzwerkknotens4 bestehen. Weiterhin ruft der Applikations-Server2 die zuvor zufällig ausgewählte Kombination der registrierten Sicherheitsmerkmale auf und vergleicht sie mit den übertragenen Sicherheitsmerkmalen der Authentifizierungsvorrichtung3 . Zudem kann die Authentifizierungsvorrichtung3 der Datenübertragung einen Zeitstempel hinzufügen, der bei einer Auswertung durch den Applikations-Server2 auf Übereinstimmung innerhalb eines bestimmten Zeitrahmens geprüft wird. - Nach einem positiven Vergleich durch den Applikations-Server
2 gibt dieser die Netzwerkapplikation frei, indem dieser beispielsweise die Cookie-Information im Browser aktualisiert, wodurch dem Applikations-Client1 der Zugang zur Netzwerkapplikation bzw. eine Fortführung derselben (z. B. Bezahlung des Einkaufs per Lastschrift) ermöglicht wird. - In weiteren Ausführungsformen kann das Authentifizierungsverfahren je nach Ausgestaltung der Netzwerkapplikation mehrmals innerhalb derselben Netzerkapplikation wiederholt werden, um sogenannte Session-IDs bzw. Cookies für den Verbleib in einem geschützten Bereichen zu aktualisieren. Beispielsweise kann während der Bereitstellung von Datenbankinhalten auf dem Applikations-Client
1 in zeitlichen Abständen eine erneute Anforderung von Sicherheitsmerkmalen von dem Applikations-Server2 bedingt werden, um die Datenkommunikation zu dem Applikations-Client1 aufrecht zu erhalten. Weiterhin kann zum Zugang zu Datenbankinhalten für einzelne Dateien eine gesonderte Authentifizierung erfolgen. - Nachstehend wird die Ausführungsform des Authentifizierungsverfahrens in einem lokalen Netzwerk
5 eines Dritten erläutert. - In einer weiteren Ausführungsform kann die Authentifizierungsvorrichtung
3 als tragbares Gerät zur mobilen Verwendung der Authentifizierungsvorrichtung3 vorgesehen sein, die mit einer Batterie, einem Anschluss für eine Dockingsstation oder dergleichen ausgestattet ist. Diese Ausführungsform kann beispielsweise zur elektronischen Bezahlung in einem Geschäft genutzt werden. Dabei kann der Applikations-Client1 z. B. ein Kassensystem sein, das über einen lokalen Netzwerkknoten4 in einem lokalen Netzwerk5 , d. h. einem Firmennetz, mit dem Internet oder einem Netzwerk eines Bankservers6 verbunden ist. Der lokale Netzwerkknoten4 kann in Form eines W-LAN Routers oder eines LAN-Routers mit einem entsprechenden Anschluss für die Authentifizierungsvorrichtung3 in dem Geschäftsraum bereitgestellt sein. - Die Identifizierung des Nutzers an der Kasse kann beispielsweise durch die Erfassung einer Kundenkarte erfolgen, mit der er gegenüber dem Geschäft oder der betreffenden Bank assoziiert ist. Alternativ kann die Geräteidentifikation zudem mittels eines verschlüsselten Barcodes auf der auf der Authentifizierungsvorrichtung
3 vorgesehen sein. Der Barcode kann über einen entsprechende Scannereinrichtung an dem Kassensystem (dem Applikations-Client1 ) erfasst und an den Applikations-Server2 übermittelt werden. Eine weitere Möglichkeit besteht darin, dass eine hardwareimmanente Geräteidentifikation der Authentifizierungsvorrichtung3 nach dem Verbindungsaufbau an den Applikations-Server2 gesendet wird. - Basierend auf der Identifizierung wählt der Applikations-Server
2 eine zufällige Kombination an Sicherheitsmerkmalen aus der Auswahl, die für den identifizierten Nutzer registriert ist, und gibt eine entsprechende Anforderung der ausgewählten Sicherheitsmerkmale aus. - Der Applikations-Server
2 kann die Anforderung an das Kassensystem (d. h. den Applikations-Client1 ) senden, bei dem sie auf einer Anzeige des Kassensystems als Zahlenfolge der nummerierten Sicherheitsmerkmale erscheint. Anschließend ruft der Nutzer die Kombination von Sicherheitsmerkmalen durch Betätigung von entsprechend belegten Tasten auf und überträgt diese durch eine unidirektionale Verbindung zu dem Applikations-Server2 , wie obenstehend bereits beschrieben. - Alternativ kann der Applikations-Server
2 die Anforderung der Kombination von Sicherheitsmerkmalen über eine bidirektional aufgebaute Verbindung, die ihm über die IP-Adresse des lokalen Netzwerkknotens und die registrierte MAC-Adresse oder eine Eingabe der Netzwerkadresse oder ein eingehendes Signal der Authentifizierungsvorrichtung3 bekannt ist, der direkt an die Authentifizierungsvorrichtung3 senden. Die Authentifizierungsvorrichtung3 kann basierend auf der Anforderung selbständig die betreffenden Sicherheitsmerkmale an den Applikations-Server2 übertragen, wie bereits obenstehend beschrieben. - Im Zusammenhang mit einer mobilen Anwendungen kann der Applikations-Server
2 nach erfolgter Identifizierung vorteilhafterweise ein für den identifizierten Nutzer registriertes persönliches Merkmal, insbesondere ein Lichtbild, an das Kassensystem versenden. Hierdurch kann das kassierende Personal nebenbei eine augenscheinliche Übereinstimmung des tatsächlichen Nutzers der Authentifizierungsvorrichtung3 mit dem Lichtbild des registrierten Nutzers der Authentifizierungsvorrichtung3 überprüfen. Alternativ wäre die Erfassung anderer (z. B. biometrischer) Merkmale durch geeignete Einrichtungen an dem Kassensystem (d. h. dem Applikations-Client1 ) möglich, um Aufschluss über einen berechtigten Besitz der Authentifizierungsvorrichtung3 zu erhalten. - Der Applikations-Server
2 verifiziert wiederum beim Eingang der Datenübertragung die übermittelte Geräteidentifikation und gegebenenfalls eine Übereinstimmung einer IP-Adresse im Falle eines gleichen lokalen Netzwerkknotens4 zwischen der Netzwerkverbindung mit dem Applikations-Client1 und derjenigen mit der Authentifizierungsvorrichtung3 . Des Weiteren entschlüsselt der Applikations-Server2 gegebenenfalls mit einem registrierten Schlüssel die übertragenen Daten und verifiziert sie anhand der ausgewählten Kombination der registrierten Sicherheitsmerkmale. Nach positiver Verifizierung schließt der Applikations-Server2 einen Applikationsvorgang ab (z. B. Abrechnung eines Warenkorbs) und leitet gegebenenfalls einen fortführenden Vorgang ein (beispielsweise eine Verbindung zu einem Bankserver, der eine Anwendung zur Buchung auf einem elektronischen Bankkonto vornimmt, unter Generierung eines Verwendungszwecks und Übermittlung der Geräteidentifikation). - In einer weiteren Ausführungsform kann die Netzwerkapplikation eine Bargeldausgabe betreffen. Hierbei stellt ein EC-Bankautomat den Applikations-Client
1 dar, wobei zur Identifikation die Geräteidentifikation oder eine entsprechende Kontonummer, die mit dem Nutzer assoziiert ist, beispielsweise über Barcodeleser eingelesen werden kann. Eine Verbindung zwischen der Authentifizierungsvorrichtung3 und einem Netzwerk des Bank-Servers kann über einen im Geschäftsraum der Bank bereitgestellten W-LAN Router, eine Bluetooth Verbindung mit einer vorzugsweise kurzen Übertragungsreichweite von beispielsweise 1 Meter, eine Dockingstation, einen USB-Schnittstelle, oder dergleichen hergestellt werden. Diese Ausführungsform bietet eine wesentlich sichereren Zugang zu einem Bankkonto gegenüber einer EC-Karte mit PIN, da die Authentifizierungseinrichtung3 nicht mit frei einsehbaren Identifikationen beschriftet ist und an sich nicht wie eine herkömmliche EC-Karte kopiert und gefälscht werden kann. - Eine weitere Netzwerkapplikation kann in dem Versenden von ePost oder in einer digitalen Unterschrift oder dergleichen bestehen, die jeglicher Identifizierungsart zum Datenschutz dient. Hierbei kann z. B. vor dem Absenden einer Mail eine Authentifizierung durch den Mailprovider verlangt werden, um die sichere Identität des Absenders zu gewährleisten.
- Ferner kann das Authentifizierungsverfahren auf zahlreiche weitere Typen von Netzwerkapplikationen aus dem e-Commerce, sowie E-Mail Konten, Portalen und Foren oder dergleichen auf einem eigenen Applikations-Client
1 des Nutzers oder demjenigen eines Dritten über ein eigenes lokales Netzwerk des Nutzers oder dasjenige eines Dritten angewendet werden. - Darüber hinaus können die Verfahrensschritte zum Verbinden der Authentifizierungsvorrichtung
3 mit dem Netzwerk6 und zum Übertragen der Sicherheitsmerkmale an den Applikations-Server2 zeitlich und örtlich unabhängig von übrigen Schritten der Authentifizierung zu der Netzwerkapplikation erfolgen. Eine solche Ausführungsform des Authentifizierungsverfahrens ist z. B. mit dem Netzwerk-System in1 möglich, bei dem die Authentifizierungsvorrichtung3 nicht über einen gemeinsamen lokalen Netzwerkknoten4 verbunden wird. In dem beispielhaften Fall eines Einkaufs in einem Online Shop kann die Übertragung der Sicherheitsmerkmale ebenso einige Tage später von einem entfernten Ort gegenüber einem PC, an dem der Einkauf durchgeführt wurde, über einen beliebigen Netzwerkanschluss oder einen beliebigen lokalen Netzwerkknoten4 vorgenommen werden. In diesem Fall verzögert sich lediglich ein Abschluss des Authentifizierungsabschnitts der Applikation (z. B. eine Zuteilung eines Warenkorbs zum Versand) entsprechend. Der Applikations-Server2 kann hierbei die eingehenden Sicherheitsmerkmal zumindest anhand der mit übertragener Geräteidentifikation zuordnen und gegebenenfalls einen registrierten Schlüssel zum Entschlüsseln der Sicherheitsmerkmale abrufen, bevor eine Vergleich der Sicherheitsmerkmale anhand der registrierten Sicherheitsmerkmale erfolgt. - Weiterhin ist es für eine stationäre Anwendung insbesondere in einem eigenen lokalen Netzwerk des Nutzers möglich, dass die Authentifizierungsvorrichtung
3 mit dem lokalen Netzwerkknoten4 in einem Kombigerät integriert ist. Wenn die Schnittstelle zwischen den beiden Komponenten durch die bauliche Integration nicht mehr zugänglich ist, kann der Verbindungsstatus durch ein Betätigungsmittel veränderbar und überwachbar sein. Zudem kann die Authentifizierungsvorrichtung3 als autonome Einheit in einem PC, Notebook, Netbook, Tablet PC, PDA, sonstigen Hand Helds oder dergleichen baulich integriert sein. Dabei sind die Schaltkreise der aufgenommenen Authentifizierungsvorrichtung3 und des aufnehmenden Geräts getrennt und weisen lediglich Berührungspunkte hinsichtlich einer Leistungsquelle und einer Anzeigeeinrichtung auf. - Zudem kann die Authentifizierungseinrichtung eine PIN zur Inbetriebnahme derselben von dem Nutzer abfragen. Eine z. B. dreimalige falsche Eingabe kann zu einer Löschung der Daten in dem Speicher führen, die ggf. durch ein beim Nutzer verwahrtes Backup wiederherstellbar sind.
- Weiterhin werden persönliche Daten, die gegebenenfalls im Rahmen einer Registrierung an einem Applikations-Server
2 eingegeben wurden und insbesondere die Sicherheitsmerkmale während des Authentifizierungsvorgangs nicht lesbar angezeigt.
Claims (22)
- Verfahren zur Authentifizierung eines Nutzers in einer Netzwerkapplikation mit den Schritten: Starten der Netzwerkapplikation an einem Applikations-Client (
1 ), der mit einem Netzwerk verbunden ist; Aufbau einer ersten logischen Verbindung des Applikations-Clients (1 ) mit einem Applikations-Server (2 ), der mit dem Netzwerk verbunden ist; Übermitteln eines Identifikationsmerkmals zu dem Applikations-Server (2 ), durch das der Applikations-Server (2 ) den Nutzer identifizieren kann, Aufbau einer zweiten logischen Verbindung zwischen einer autonomen, mit dem Nutzer assoziierten Authentifizierungsvorrichtung (3 ) und dem Applikations-Server (2 ) durch eine Betätigung des Nutzers; Übertragen von wenigstens einem Sicherheitsmerkmal, das in der autonomen Authentifizierungsvorrichtung (3 ) gespeichert ist, zu dem Applikations-Server (2 ), Vergleichen des wenigstens einen übertragenen Sicherheitsmerkmals mit wenigstens einem registrierten Sicherheitsmerkmal, Abschließen eines Applikationsvorgangs in Reaktion auf ein positives Vergleichsergebnis. - Verfahren nach Anspruch 1, wobei vor dem ersten Starten der Netzwerkapplikation eine Initialisierung der mit dem Nutzer assoziierten Authentifizierungsvorrichtung (
3 ) an dem Applikations-Server (2 ) durch den Nutzer erfolgt, die zumindest eine Registrierung von wenigstens einem Sicherheitsmerkmal durch den Applikations-Server (2 ) umfasst. - Verfahren nach Anspruch 2, wobei mehrere Sicherheitsmerkmale durch den Applikations-Server (
2 ) bei der Initialisierung registriert werden, und der Applikations-Server (2 ) eine zufällige Auswahl aus den registrierten Sicherheitsmerkmalen treffen kann, die von der Authentifizierungsvorrichtung (3 ) zu übertragen sind. - Verfahren nach einem der Ansprüche 1 bis 3, wobei die erste und zweite logische Verbindung über einen lokalen Netzwerkknoten (
4 ) aufgebaut werden, der ein lokales Netzwerk (5 ) mit dem Netzwerk (6 ) verbindet. - Verfahren nach Anspruch 4, wobei der Applikations-Server (
2 ) weiterhin eine Verifizierung von Übereinstimmungen einer lokalen Netzwerkadresse des Applikations-Clients (1 ) und der Authentifizierungsvorrichtung (3 ) durchführt. - Verfahren nach einem der Ansprüche 1 bis 5, wobei das Übermitteln des wenigstens einen Sicherheitsmerkmals in Reaktion auf eine Betätigung der Authentifizierungsvorrichtung (
3 ) durch den Nutzer erfolgt. - Verfahren nach einem der Ansprüche 1 bis 5, wobei das Übermitteln des wenigstens einen Sicherheitsmerkmals in Reaktion auf eine Anforderung des Applikations-Servers (
2 ) an die Authentifizierungsvorrichtung (3 ) erfolgt. - Verfahren nach einem der Ansprüche 2 bis 7, wobei die Initialisierung weiterhin die Schritte umfasst: Generieren von wenigstens einem Sicherheitsmerkmal durch die Authentifizierungsvorrichtung (
3 ), und Abspeichern eines generierten Sicherheitsmerkmals in der Authentifizierungsvorrichtung (3 ) unter Zuordnung der Netzwerkadresse des Applikations-Servers (2 ). - Verfahren nach Anspruch 8, wobei das Generieren des Sicherheitsmerkmals auf einer hardwareimmanenten Identifikation der Authentifizierungsvorrichtung (
3 ), einer Netzwerkadresse/oder einer Eingabe des Nutzers basiert. - Verfahren nach einem der Ansprüche 1 bis 9, wobei die Übertragung des wenigstens einen Sicherheitsmerkmals verschlüsselt wird, mittels eines Schlüssels zum Verschlüsseln, der in der Authentifizierungsvorrichtung (
3 ) gespeichert ist, und eines Schlüssels zum Entschlüsseln, der in dem Applikations-Server (2 ) registriert ist. - Verfahren nach einem der Ansprüche 1 bis 10, wobei das wenigstens eine Sicherheitsmerkmal mittels einer Verschlüsselung in der Authentifizierungsvorrichtung (
3 ) verschlüsselt abgespeichert wird. - Netzwerk-System zur Authentifizierung eines Nutzers in einer Netzwerkapplikation, aufweisend: einen Applikations-Client (
1 ), der mit einem Netzwerk verbunden ist, und an dem die Netzwerkapplikation über eine erste logische Verbindung zwischen dem Applikations-Client (1 ) und einem Applikations-Server (2 ) gestartet werden kann; einen Applikations-Server (2 ), der mit dem Netzwerk (6 ) verbunden ist, zur Bereitstellung der Netzwerkapplikation; eine autonome, mit dem Nutzer assoziierte Authentifizierungsvorrichtung (3 ), die mit dem Netzwerk (6 ) verbindbar ist, um wenigstens ein Sicherheitsmerkmal, das in derselben gespeichert ist, an den Applikations-Server (2 ) zu übertragen; wobei die Übertragung des wenigstens einen Sicherheitsmerkmals unter Herstellung einer zweiten logischen Verbindung der Authentifizierungsvorrichtung (3 ) zu dem Applikations-Server (2 ) unabhängig von der ersten logischen Verbindung zwischen dem Applikations-Client (1 ) und dem Applikations-Server (2 ) erfolgt. - Netzwerk-System nach Anspruch 12, weiterhin aufweisend einen lokalen Netzwerkknoten (
4 ), der ein lokales Netzwerk (5 ), das wenigstens den Applikations-Client (1 ) und im verbundenen Zustand auch die Authentifizierungsvorrichtung (3 ) umfasst, mit dem Netzwerk (6 ) verbindet, sodass die erste und zweite logische Verbindung über den lokalen Netzwerknoten (4 ) aufgebaut werden. - Netzwerk-System nach Anspruch 12 oder 13, wobei die Authentifizierungsvorrichtung (
3 ) eine unidirektionale Netzwerkschnittstelle (31 ) aufweist, sodass sie über den lokalen Netzwerkknoten (4 ) lediglich Daten versenden und nicht empfangen kann. - Netzwerk-System nach Anspruch 12 oder 13, wobei die Authentifizierungsvorrichtung (
3 ) eine bidirektionale Netzwerkschnittstelle (31 ) aufweist, sodass sie über den lokalen Netzwerkknoten (4 ) sowohl Daten senden als auch empfangen kann. - Netzwerk-System nach einem der Ansprüche 12 bis 15, wobei eine drahtlose Verbindung zwischen der Authentifizierungsvorrichtung (
3 ) und dem Netzwerkknoten (4 ) aufgebaut wird. - Netzwerk-System nach einem der Ansprüche 12 bis 15, wobei die Authentifizierungsvorrichtung (
3 ) als autonome Einheit in einer Einrichtung eines Netzwerkknotens (4 ), einer Kommunikationseinrichtung oder einer Datenverarbeitungseinrichtung aufgenommen werden kann oder integriert ist, wobei eine Verbindung der Authentifizierungsvorrichtung zu dem Netzwerk manuell betätigbar ist. - Vorrichtung (
3 ) zur Authentifizierung eines Nutzers in einer Netzwerkapplikation mit einem dedizierten Schaltkreis, aufweisend: eine Speichereinheit (32 ) zur Speicherung des wenigstens einen Sicherheitsmerkmals und einer Netzwerkadresse, die dem wenigstens einen Sicherheitsmerkmal zugeordnet ist; eine Netzwerkschnittstelle (31 ) zur zeitweisen Herstellung einer physikalischen Verbindung zu dem Netzwerk der Netzwerkapplikation während einer Datenübertragung zur Übermittlung des wenigstens einen Sicherheitsmerkmals mit einer Netzwerkkarte zur Übertragung von Daten in einem Netzwerkprotokoll, die eine logische Verbindung zur Übermittlung des wenigstens einen Sicherheitsmerkmals lediglich basierend auf derjenigen Netzwerkadresse aufbauen kann, die dem wenigstens einen Sicherheitsmerkmal im Speicher zugeordneten ist; einen einmalig beschreibbaren Speicher (34 ), auf dem eine Vorrichtungsidentifikation, die mit einem Nutzer assoziiert ist, gespeichert ist, wobei die Vorrichtungsidentifikation in der Datenübertragung zur Übermittlung des wenigstens einen Sicherheitsmerkals enthalten ist. - Vorrichtung (
3 ) nach Anspruch 18, wobei Netzwerkschnittstelle (31 ) eine unidirektionale Netzwerkkarte aufweist, die lediglich ein Versenden von Daten ermöglicht. - Vorrichtung (
3 ) nach Anspruch 18, wobei Netzwerkschnittstelle (31 ) eine bidirektionale Netzwerkkarte aufweist, die sowohl ein Versenden als auch ein Empfangen von Daten ermöglicht, wobei der Empfang lediglich Daten umfassen kann, deren Absendung auf einer Netzwerkadresse basiert, die dem wenigstens einen Sicherheitsmerkmal im Speicher zugeordneten ist. - Vorrichtung (
3 ) nach einem der Ansprüche 18 bis 20, weiterhin aufweisend einen Leistungsspeicher (34 ), wobei die Vorrichtung als tragbares Gerät ausgebildet ist. - Vorrichtung (
3 ) nach einem der Ansprüche 18 bis 21, wobei zur Aktivierung derselben eine Eingabe einer PIN erforderlich ist.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE201110055297 DE102011055297B4 (de) | 2011-11-11 | 2011-11-11 | Verfahren sowie Netzwerk-System und Authentifizierungsvorrichtung zur Authentifizierung in einer Netzwerkapplikation |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE201110055297 DE102011055297B4 (de) | 2011-11-11 | 2011-11-11 | Verfahren sowie Netzwerk-System und Authentifizierungsvorrichtung zur Authentifizierung in einer Netzwerkapplikation |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102011055297A1 true DE102011055297A1 (de) | 2013-05-16 |
DE102011055297B4 DE102011055297B4 (de) | 2013-08-14 |
Family
ID=48144782
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE201110055297 Active DE102011055297B4 (de) | 2011-11-11 | 2011-11-11 | Verfahren sowie Netzwerk-System und Authentifizierungsvorrichtung zur Authentifizierung in einer Netzwerkapplikation |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102011055297B4 (de) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR3013475A1 (fr) * | 2013-11-19 | 2015-05-22 | Oberthur Technologies | Procede et dispositifs d'authentification pour acceder a un compte utilisateur d'un service sur un reseau de donnees |
US10720003B2 (en) | 2014-06-04 | 2020-07-21 | Friedrich Kisters | Security device and authentication method with dynamic security features |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102014004349A1 (de) | 2014-03-27 | 2015-10-15 | Friedrich Kisters | Authentifikationssystem |
DE102014004347A1 (de) | 2014-03-27 | 2015-10-15 | Friedrich Kisters | Authentifikationsverfahren und Authentifikationssystem |
DE102014004348A1 (de) | 2014-03-27 | 2015-10-15 | Friedrich Kisters | Sicherheitsverfahren |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102008063864A1 (de) * | 2008-12-19 | 2010-06-24 | Charismathics Gmbh | Verfahren zur Authentifizierung einer Person gegenüber einer elektronischen Datenverarbeitungsanlage mittels eines elektronischen Schlüssels |
-
2011
- 2011-11-11 DE DE201110055297 patent/DE102011055297B4/de active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102008063864A1 (de) * | 2008-12-19 | 2010-06-24 | Charismathics Gmbh | Verfahren zur Authentifizierung einer Person gegenüber einer elektronischen Datenverarbeitungsanlage mittels eines elektronischen Schlüssels |
Non-Patent Citations (2)
Title |
---|
WIKIPEDIA: Authentifizierung. [recherchiert am 31.05.2012] 03.10.2011. Im Internet: * |
WIKIPEDIA: Authentifizierung. [recherchiert am 31.05.2012] 03.10.2011. Im Internet: <URL:http://de.wikipedia.org/w/index.php?title=Authentifizierung&oldid=94349341> |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR3013475A1 (fr) * | 2013-11-19 | 2015-05-22 | Oberthur Technologies | Procede et dispositifs d'authentification pour acceder a un compte utilisateur d'un service sur un reseau de donnees |
US9633221B2 (en) | 2013-11-19 | 2017-04-25 | Oberthur Technologies | Authentication method and devices for accessing a user account of a service on a data network |
US10720003B2 (en) | 2014-06-04 | 2020-07-21 | Friedrich Kisters | Security device and authentication method with dynamic security features |
Also Published As
Publication number | Publication date |
---|---|
DE102011055297B4 (de) | 2013-08-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1358533B1 (de) | Verfahren, anordnung und sicherheitsmedium zur authentifizierung eines benutzers | |
EP2533172B2 (de) | Gesicherter Zugriff auf Daten in einem Gerät | |
DE60200093T2 (de) | Sichere Benutzerauthenifizierung über ein Kommunikationsnetzwerk | |
EP2859705B1 (de) | Autorisierung eines nutzers durch ein tragbares kommunikationsgerät | |
DE60200081T2 (de) | Sichere Benutzer- und Datenauthenifizierung über ein Kommunikationsnetzwerk | |
EP2289016B1 (de) | Verwendung eines mobilen telekommunikationsgeräts als elektronische gesundheitskarte | |
DE102015215120A1 (de) | Verfahren zur verwendung einer vorrichtung zum entriegeln einer weiteren vorrichtung | |
DE202009019188U1 (de) | Authentifizierung von sicheren Transaktionen | |
AT513016A1 (de) | Verfahren und Vorrichtung zur Steuerung eines Schließmechanismus mit einem mobilen Endgerät | |
WO2015082123A1 (de) | Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems | |
DE102011055297B4 (de) | Verfahren sowie Netzwerk-System und Authentifizierungsvorrichtung zur Authentifizierung in einer Netzwerkapplikation | |
EP3909221B1 (de) | Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät | |
DE102017122799A1 (de) | Verfahren und Anordnung zur Übermittlung von Transaktionsdaten unter Nutzung eines öffentlichen Datennetzes | |
EP3908946B1 (de) | Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät | |
DE102011075257A1 (de) | Beantwortung von Anfragen mittels des Kommunikationsendgeräts eines Nutzers | |
DE102017121648B3 (de) | Verfahren zum anmelden eines benutzers an einem endgerät | |
DE102017006200A1 (de) | Verfahren, Hardware und System zur dynamischen Datenübertragung an ein Blockchain Rechner Netzwerk zur Abspeicherung Persönlicher Daten um diese Teils wieder Blockweise als Grundlage zur End zu Endverschlüsselung verwendet werden um den Prozess der Datensammlung über das Datenübertragungsmodul weitere Daten in Echtzeit von Sensoreinheiten dynamisch aktualisiert werden. Die Blockmodule auf dem Blockchaindatenbanksystem sind unbegrenzt erweiterbar. | |
EP3005651B1 (de) | Verfahren zur adressierung, authentifizierung und sicheren datenspeicherung in rechnersystemen | |
WO2014135153A1 (de) | Verfahren und vorrichtung zum authentifizieren von personen | |
DE102011119103A1 (de) | Verfahren zum Authentisieren einer Person an einer Serverinstanz | |
EP2397960B1 (de) | Verfahren zum Lesen von Attributen aus einem ID-Token über eine Telekommunikations-Chipkarte und ein Server-Computersystem | |
DE102008037793A1 (de) | Phototoken | |
EP2880810B1 (de) | Authentifizierung eines dokuments gegenüber einem lesegerät | |
DE102012220774B4 (de) | Verfahren zur Durchführung von Transaktionen | |
CN108875337A (zh) | 一种解锁方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R016 | Response to examination communication | ||
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R082 | Change of representative |
Representative=s name: KUHNEN & WACKER PATENT- UND RECHTSANWALTSBUERO, DE |
|
R082 | Change of representative |
Representative=s name: KUHNEN & WACKER PATENT- UND RECHTSANWALTSBUERO, DE |
|
R081 | Change of applicant/patentee |
Owner name: EBEL & DAHLMANN UG (HAFTUNGSBESCHRAENKT), DE Free format text: FORMER OWNERS: DAHLMANN, RAINER, 12209 BERLIN, DE; EBEL, MARC, 48149 MUENSTER, DE Effective date: 20130911 Owner name: EBEL & DAHLMANN UG (HAFTUNGSBESCHRAENKT), DE Free format text: FORMER OWNERS: DAHLMANN, RAINER, 12209 BERLIN, DE; EBEL, MARC, 48149 MUENSTER, DE Effective date: 20131203 Owner name: DAHLMANN, RAINER, DE Free format text: FORMER OWNERS: DAHLMANN, RAINER, 12209 BERLIN, DE; EBEL, MARC, 48149 MUENSTER, DE Effective date: 20131203 Owner name: DAHLMANN, RAINER, DE Free format text: FORMER OWNERS: DAHLMANN, RAINER, 12209 BERLIN, DE; EBEL, MARC, 48149 MUENSTER, DE Effective date: 20130911 Owner name: EBEL, MARC, DE Free format text: FORMER OWNERS: DAHLMANN, RAINER, 12209 BERLIN, DE; EBEL, MARC, 48149 MUENSTER, DE Effective date: 20130911 Owner name: EBEL, MARC, DE Free format text: FORMER OWNERS: DAHLMANN, RAINER, 12209 BERLIN, DE; EBEL, MARC, 48149 MUENSTER, DE Effective date: 20131203 Owner name: EBEL & DAHLMANN UG (HAFTUNGSBESCHRAENKT), DE Free format text: FORMER OWNER: RAINER DAHLMANN,MARC EBEL, , DE Effective date: 20131203 Owner name: EBEL & DAHLMANN UG (HAFTUNGSBESCHRAENKT), DE Free format text: FORMER OWNER: RAINER DAHLMANN,MARC EBEL, , DE Effective date: 20130911 |
|
R082 | Change of representative |
Representative=s name: KUHNEN & WACKER PATENT- UND RECHTSANWALTSBUERO, DE Effective date: 20130911 Representative=s name: KUHNEN & WACKER PATENT- UND RECHTSANWALTSBUERO, DE Effective date: 20131203 |
|
R020 | Patent grant now final |
Effective date: 20131115 |
|
R081 | Change of applicant/patentee |
Owner name: EBEL, MARC, DE Free format text: FORMER OWNER: EBEL & DAHLMANN UG (HAFTUNGSBESCHRAENKT), 48149 MUENSTER, DE Owner name: DAHLMANN, RAINER, DE Free format text: FORMER OWNER: EBEL & DAHLMANN UG (HAFTUNGSBESCHRAENKT), 48149 MUENSTER, DE |
|
R082 | Change of representative |
Representative=s name: KUHNEN & WACKER PATENT- UND RECHTSANWALTSBUERO, DE |
|
R084 | Declaration of willingness to licence |