DE102016113499A1 - Authentifizierungsverfahren zur Authentifizierung eines Benutzers eines Endgeräts - Google Patents

Authentifizierungsverfahren zur Authentifizierung eines Benutzers eines Endgeräts Download PDF

Info

Publication number
DE102016113499A1
DE102016113499A1 DE102016113499.6A DE102016113499A DE102016113499A1 DE 102016113499 A1 DE102016113499 A1 DE 102016113499A1 DE 102016113499 A DE102016113499 A DE 102016113499A DE 102016113499 A1 DE102016113499 A1 DE 102016113499A1
Authority
DE
Germany
Prior art keywords
authentication
identity
service
user
dependent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102016113499.6A
Other languages
English (en)
Inventor
Sven Gennermann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huf Huelsbeck and Fuerst GmbH and Co KG
Original Assignee
Huf Huelsbeck and Fuerst GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huf Huelsbeck and Fuerst GmbH and Co KG filed Critical Huf Huelsbeck and Fuerst GmbH and Co KG
Priority to DE102016113499.6A priority Critical patent/DE102016113499A1/de
Priority to PCT/EP2017/068329 priority patent/WO2018015481A1/de
Publication of DE102016113499A1 publication Critical patent/DE102016113499A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Collating Specific Patterns (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Die Erfindung betrifft ein Authentifizierungsverfahren (100), insbesondere zur Authentifizierung eines Benutzers (15) eines Endgeräts (20), wobei durch eine Identitätsauthentifizierung (110) eine Identität (115) authentifiziert wird.

Description

  • Die vorliegende Erfindung betrifft ein Authentifizierungsverfahren, insbesondere zur Authentifizierung eines Benutzers eines Endgeräts, nach dem Oberbegriff von Anspruch 1.
  • Es ist aus dem Stand der Technik bekannt, bei Internetdiensten eine Authentifizierung einer (digitalen) Identität durchzuführen. Die Authentifizierung ist dabei der Nachweis einer behaupteten Eigenschaft einer Identität, welche bspw. ein Mensch (Benutzer) ein Gerät oder dergleichen sein kann. Insbesondere dient dabei die Authentifizierung zur Prüfung der Echtheit und/oder zur Bezeugung der Echtheit. Die Authentifizierung eines Benutzers kann bspw. dadurch erreicht werden, dass der Nachweis einer Kenntnis einer Information erfolgt (z. B. der Kenntnis eines Passwortes), der Nachweis der Verwendung eines Besitztums erfolgt (z. B. der Nachweis eines elektronischen Schlüssels), und/oder die Gegenwart des Benutzers selbst nachgewiesen wird (z. B. anhand eines biometrischen Merkmals).
  • Die Gewährleistung der Zuverlässigkeit und Sicherheit bei Authentifizierungsverfahren ist heutzutage eine der wichtigsten Voraussetzungen bei der Nutzung von Internetdiensten. Solche Dienste werden mittlerweile für eine Vielzahl alltäglicher Aufgaben eingesetzt, wobei hier oft sensible Daten übertragen und Vorgänge durchgeführt werden (z. B. Banktransaktionen beim Online-Banking oder die Kommunikation bei sozialen Netzwerken). Dabei ist es wünschenswert, dass in Abhängigkeit von dem Dienst unterschiedliche Sicherheitsstufen bei der Authentifizierung realisiert werden (z. B. eine hohe Sicherheitsstufe beim Online-Banking und eine mittlere oder niedrigere Sicherheitsstufe bei sozialen Netzwerken). Dies ermöglicht eine Steigerung des Komforts bei weniger sicherheitskritischen Anwendungen.
  • Es sind unterschiedliche Möglichkeiten bekannt, die Sicherheit bei der Authentifizierung für sicherheitskritischere Anwendungen zu erhöhen. Bspw. kann eine 2-Faktor-Authentifizierung für einen Identitätsnachweis des Benutzers zum Einsatz kommen, wobei hier eine Kombination von zwei verschiedenen und insbesondere unabhängigen Komponenten (Faktoren) genutzt wird. Die 2-Faktor-Authentifizierung ist bspw. von Geldautomaten bekannt, bei welchen erst die Kombination aus einer Bankkarte (als erster Faktor) und einer PIN (als zweiter Faktor) die Transaktion ermöglicht. Darüber hinaus sind auch Multi-Faktor-Authentifizierungen bekannt, bei welchen eine Kombination von mehr als zwei Faktoren genutzt wird.
  • Dennoch ist hier ein Problem, dass bekannte Authentifizierungsverfahren unflexibel sind und die Sicherheit und/oder der Datenschutz bei bekannten Authentifizierungsverfahren nur eingeschränkt konfigurierbar und anpassbar sind. So ist es oft bspw. auch nicht möglich, dass der Benutzer selber entscheidet, welche Art der Authentifizierung bzw. welche Sicherheitsstufe für welche Dienste genutzt werden soll. Auch muss der Benutzer zur Authentifizierung oft sensible Daten, wie bspw. biometrische Eigenschaften, an den Dienst zur Bereitstellung der Authentifizierung (Authentifizierungsdienst) übertragen. Hierdurch werden der Datenschutz, der Komfort, die Sicherheit sowie die Zuverlässigkeit der Authentifizierung beeinträchtigt.
  • Es ist daher eine Aufgabe der vorliegenden Erfindung, die voranstehend beschriebenen Nachteile zumindest teilweise zu beheben. Insbesondere ist es eine Aufgabe der vorliegenden Erfindung, zumindest eine verbesserte oder zuverlässigere oder sicherere Authentifizierung zu ermöglichen.
  • Die voranstehende Aufgabe wird gelöst durch ein Verfahren, insbesondere Authentifizierungsverfahren (insbesondere zur Authentifizierung eines Benutzers eines Endgeräts), mit den Merkmalen des Anspruchs 1. Weitere Merkmale und Details der Erfindung ergeben sich aus den jeweiligen Unteransprüchen, der Beschreibung und den Zeichnungen.
  • Vorzugsweise ist das Endgerät ein zumindest teilweise elektronisches (elektronisch ausgebildetes) Gerät, vorzugsweise ein Kommunikations- und/oder Authentifizierungs- und/oder Mobilfunkgerät, welches bevorzugt mobil bzw. tragbar ausgeführt ist. Insbesondere umfasst das Endgerät eine Eingabe- und/oder eine Ausgabeschnittstelle für den Benutzer des Endgeräts. Bevorzugt ist auch eine Datenschnittstelle vorgesehen, insbesondere zur Verbindung mit einem Netzwerk (z. B. LAN oder WLAN) und/oder einem Internet und/oder einem Mobilfunknetz. Die Datenschnittstelle und/oder eine weitere Schnittstelle des Endgeräts ist besonders bevorzugt als LAN(Local Area Network-)Schnittstelle und/oder WLAN (Wireless LAN) Schnittstelle und/oder Mobilfunkschnittstelle und/oder Datenbus-Schnittstelle ausgeführt. Insbesondere ist das Endgerät als Smartphone und/oder Computer und/oder Laptop und/oder Tablet ausgeführt und/oder umfasst einen Bildschirm, vorzugsweise einen Touchscreen, welcher somit z. B. sowohl die Ein- als auch eine Ausgabeschnittstelle umfasst.
  • Es ist insbesondere vorgesehen, dass durch eine Identitätsauthentifizierung eine (insbesondere digitale) Identität (insbesondere des Benutzers) authentifiziert wird, wobei vorzugsweise zumindest einer der nachfolgenden Schritte durchgeführt wird, vorzugsweise zumindest teilweise nacheinander (bzw. in der angegebenen Reihenfolge) oder in beliebiger Reihenfolge, wobei einzelne Schritte auch wiederholt durchgeführt werden können:
    • – digitales Erstellen eines Authentifizierungsbereichs (insbesondere Accounts) für die Identität, wobei der Authentifizierungsbereich der Identität fest (und insbesondere eindeutig) zugeordnet ist, insbesondere durch Anlegen eines (Internet-)Accounts, welcher dem Benutzer und/oder der Identität zugeordnet wird,
    • – digitales Hinterlegen einer Authentifizierungsvorgabe im Authentifizierungsbereich zur Parametrisierung der Identitätsauthentifizierung, wobei die Authentifizierungsvorgabe inhaltlich mindestens ein (insbesondere technisch abbildbares) Identitätsattribut einer realen Identität umfasst, insbesondere durch das Hinterlegen einer Ausweis-ID und/oder kognitiver und/oder biometrischer Eigenschaften,
    • – Durchführen einer Drittauthentifizierung (z. B. durch eine öffentliche Stelle) der realen Identität anhand der Authentifizierungsvorgabe (insbesondere anhand des Identitätsattributs und/oder wenigstens eines der Identitätsattribute), sodass bei erfolgreicher Drittauthentifizierung eine Bestätigung (insbesondere für die Identität und/oder in digitaler Form, insbesondere für den Authentifizierungsbereich) erzeugt wird, wobei hierzu insbesondere ein Zertifikat an einer öffentlichen Stelle nach Prüfung der realen Identität bestätigt wird, z. B. durch das Signieren des Zertifikats,
    • – digitales Hinterlegen mindestens eines Authentifizierungsparameters (insbesondere in der Authentifizierungsvorgabe und/oder im Authentifizierungsbereich) zur Bestimmung einer Sicherheitsstufe, wobei hierzu insbesondere der Benutzer und/oder ein Dienst, welcher den Authentifizierungsbereich bereitstellt, die Sicherheitsstufe als einen sogenannten „Trustlevel“ festlegt,
    • – Durchführen der Identitätsauthentifizierung in Abhängigkeit von dem Authentifizierungsparameter und dem Identitätsattribut, sodass die Identitätsauthentifizierung durch die Authentifizierungsvorgabe parametrisiert wird,
    wobei vorzugsweise die Authentifizierungsvorgabe derart geschützt wird, dass (insbesondere nach der erfolgreichen Drittauthentifizierung) die inhaltliche Veränderung der Authentifizierungsvorgabe (d. h. insbesondere die Veränderung des Identitätsattributs und/oder eine Ergänzung bzw. Hinzufügen eines weiteren Identitätsattributs und/oder ein Löschen des Identitätsattributs) und/oder das Lesen der Authentifizierungsvorgabe stets (und/oder immer) die erfolgreiche Identitätsauthentifizierung der Identität voraussetzt.
  • Der Ausdruck „stets“ bezieht sich dabei insbesondere darauf, dass die Verwaltung und/oder das Lesen (der Authentifizierungsvorgabe) nur in der eigenen Identität erfolgen kann. Mit anderen Worten kann insbesondere die Verwaltung und/oder das Lesen und/oder das Ergänzen der Authentifizierungsvorgabe und/oder des Authentifizierungsparameters und/oder der Identitätsattribute nur in der einen Identität, also z. B. nur durch den Benutzer (mit der Identität), erfolgen, es handelt sich also um einen rein persönlichen Zugriffsbereich.
  • Bevorzugt können im Authentifizierungsbereich und/oder in der Authentifizierungsvorgabe mehrere verschiedene Identitätsattribute gespeichert sein. Die Identitätsattribute können bspw. persönliche Daten des Benutzers und/oder biometrische Eigenschaften des Benutzers und/oder dergleichen sein. Insbesondere ist vorgesehen, dass der Benutzer selber bestimmen kann, welche Identitätsattribute er für die Authentifizierung und/oder für verschiedene (Dritt-)Dienste nutzen möchte (z. B. durch eine Erhöhung des minimalen Trustlevels). Dies erfolgt bspw. anhand der Authentifizierungsparameter, welche insbesondere eine Auswahl der zu prüfenden Identitätsattribute und/oder der Authentifizierungsfaktoren, insbesondere drittdienstabhängig, umfassen. Dadurch kann bspw. eine Zwei-Faktorauthentifizierung, d. h. insbesondere eine aufeinander aufbauende Authentifizierung, bspw. anhand eines kognitiven und/oder eines biometrischen Merkmals, konfiguriert werden.
  • Vorzugsweise umfasst die „inhaltliche Veränderung“ die Änderung und/oder das Lesen von Identitätsattributen und/oder das Hinzufügen weiterer Identitätsattribute und/oder die Änderung des Authentifizierungsparameters und/oder der Authentifizierungsvorgabe (Authentifizierungsvorlage), jedoch z. B. nicht das (bspw. vollständige) Löschen des Authentifizierungsbereiches. Bevorzugt kann die inhaltliche Veränderung nur (stets) durch den Benutzer bzw. die Identität durchgeführt werden, was bspw. durch ein entsprechendes Kryptosystems und/oder eine entsprechende Verschlüsselung des Authentifizierungsbereiches und/oder der Authentifizierungsvorgabe gewährleistet wird. Insbesondere wird das digitale Hinterlegen und/oder Erstellen z. B. durch Benutzereingaben initiiert, beispielsweise durch eine Tastatureingabe und/oder Mauseingabe bei einem Computer. Dies ermöglicht die sichere und komfortable Erstellung des Accounts.
  • Das erfindungsgemäße Verfahren hat insbesondere den Vorteil, dass der Benutzer selber (und insbesondere nur der Benutzer) die Authentifizierungsvorgabe inhaltlich verändern und/oder lesen und damit die Authentifizierung konfigurieren kann. Damit ist es insbesondere zum einen ausgeschlossen, dass ein Dritter (wie bspw. der Authentifizierungsdienst bzw. ein Administrator des Authentifizierungsdienstes) lesenden und/oder verändernden Zugriff auf sensible Daten des Benutzers haben kann. Insbesondere kann daher ein schreibender und/oder lesender Zugriff auf die Authentifizierungsvorgabe durch andere Benutzer (d. h. insbesondere auch dem Administrator) vollständig verhindert sein. Zum anderen wird insbesondere der Vorteil erzielt, dass der Benutzer selber eine Sicherheitsstufe durch die Verwaltung der Authentifizierungsvorgabe verändern, z. B. erhöhen kann.
  • Um insbesondere zu gewährleisten, dass der Authentifizierungsbereich und/oder die Authentifizierungsvorgabe nur durch den Benutzer (in seiner Identität) verwaltet werden kann, d. h. dass nur der Benutzer darauf Zugriff hat, kann bspw. vorgesehen sein, dass Drittdienste und/oder weitere Benutzer und/oder der Authentifizierungsdienst lediglich Fragen an den Authentifizierungsbereich zur Authentifizierung stellen kann. Diese Fragen können dann (bspw. mit „Ja“ oder „Nein“) automatisiert beantwortet werden.
  • Um bspw. stets zu gewährleisten, dass eine nach aktuellen Sicherheitsmaßstäben ausgestaltete und/oder hohe Sicherheitsstufe bereitgestellt wird, kann es vorgesehen sein, dass die Authentifizierungsvorgabe und/oder der Authentifizierungsbereich mit einer updatefähigen Kryptologie zumindest teilweise verschlüsselt ist. Insbesondere besitzt diese Kryptologie eine Updatefunktion, um stets an aktuelle Kryptologieverfahren bzw. Sicherheitsmaßstäbe angepasst werden zu können. Insbesondere ist diese Updatefunktion derart ausgestaltet, dass lediglich eine Verbesserung der Kryptologie (und somit keine Verschlechterung des Verschlüsselungsverfahrens) erfolgen kann. Dies wird bspw. dadurch erzielt, dass eine kryptografisch abgesicherte (insbesondere durch Zertifikate abgesicherte) Versionskontrolle beim Updaten der Kryptologie durchgeführt wird.
  • Bevorzugt kann anhand des Authentifizierungsparameters die Sicherheitsstufe bestimmt werden, wobei bspw. ein erster Authentifizierungsparameter vorgesehen ist, um eine erste (z. B. niedrige) Sicherheitsstufe zu bestimmen, und/oder ein zweiter Authentifizierungsparameter vorgesehen ist, um eine zweite (z. B mittlere) Sicherheitsstufe zu bestimmen, und/oder ein dritter Authentifizierungsparameter vorgesehen ist, um eine dritte Sicherheitsstufe (z. B eine hohe Sicherheitsstufe) zu bestimmen. Bevorzugt kann in Abhängigkeit von diesen Authentifizierungsparametern die Identitätsauthentifizierung dadurch parametrisiert werden, dass in Abhängigkeit von dem Authentifizierungsparameter entweder eine geringe oder eine mittlere oder eine hohe Sicherheitsstufe bei der Identitätsauthentifizierung, insbesondere abhängig vom Drittdienst, genutzt wird. Hierzu wird bspw. eine Datenbank abgefragt, um die Sicherheitsstufe dem Drittdienst zuzuordnen.
  • Vorzugsweise kann die Identitätsauthentifizierung durch die Authentifizierungsvorgabe dadurch parametrisiert werden, dass die Identitätsauthentifizierung in Abhängigkeit von dem mindestens einen Authentifizierungsparameter durchgeführt wird und/oder dass die Identitätsauthentifizierung in Abhängigkeit von dem mindestens einen Identitätsattribut durchgeführt wird. So ist bspw. die Identitätsauthentifizierung davon abhängig, welche Identitätsattribute in der Authentifizierungsvorgabe vorhanden sind. So kann bspw. ein Benutzer die Sicherheitsstufe dadurch erhöhen, dass er Identitätsattribute in der Authentifizierungsvorgabe hinterlegt, welche eine hohe Sicherheit gewährleisten. Dies kann bspw. ein biometrisches Merkmal als Sicherheitsattribut sein. Bspw. kann den Identitätsattributen jeweils eine Sicherheitseinstufung automatisiert oder durch den Benutzer zugeordnet werden. Insbesondere kann die Authentifizierungsvorgabe auch eine Dienstvorgabe umfassen, sodass in Abhängigkeit von dem verwendeten Dienst jeweils unterschiedliche Identitätsattribute bzw. Kombinationen derselben bei der Identitätsauthentifizierung genutzt werden. Bspw. kann das biometrische Merkmal als ein erstes Identitätsattribut z. B. bei einem Online-Banking-Dienst genutzt werden, und ein Passwort als ein zweites Identitätsattribut bei einem Online-Shop-Dienst genutzt werden. Hierdurch können unterschiedliche Sicherheitsstufen für unterschiedliche Dienste realisiert werden.
  • Vorzugsweise wird unter der Authentifizierung der Nachweis bzw. die Verifizierung einer behaupteten Eigenschaft des Benutzers verstanden. Die behauptete Eigenschaft ist bspw. die Identität des Benutzers und/oder eine Zugangsberechtigung und/oder die reale Identität (des Benutzers) und/oder die digitale Identität des Benutzers. Vorzugsweise sind der (insbesondere der digitalen) Identität des Benutzers weitere Eigenschaften, wie z. B. eine Zugangsberechtigung oder eine biometrischer Eigenschaft (Fingerabdruck, Stimmenerkennung etc.), zugeordnet.
  • Bevorzugt umfasst die Identität die reale und/oder digitale Identität. Die (insbesondere digitale) Identität umfasst besonders bevorzugt technisch abbildbare und/oder abgebildete Daten, welche einer bestimmten Person (dem Benutzer) zugeordnet und/oder zuordenbar sind. Dies können bspw. (digitale) Daten zur Authentifizierung, wie biometrische Daten, und/oder eine Zugangsberechtigung und/oder persönliche Merkmale des Benutzers und/oder (z. B. öffentlich einsehbar und/oder durch den Benutzer veröffentlichte und/oder eingegebene und/oder digitale gespeicherte) veröffentlichte Daten des Benutzers (wie ein Internetprofil) sein. Insbesondere kann die (digitale) Identität weit zu verstehen sein als digital speicherbare und/oder (persistent) gespeicherte Information über den Benutzer.
  • Vorzugsweise bezieht sich der Ausdruck „reale Identität“ auf die Identität der Person (des Benutzers) im realen Leben und/oder auf Eigenschaften der Person und/oder auf die reale Person als solche, d. h. insbesondere Informationen über den Benutzer, welche ausschließlich nicht-digital und/oder im direkten Kontakt mit dem Benutzer ermittelbar sind. Die reale Identität bzw. der Ausdruck „real“ bezieht sich damit insbesondere auf die reale Person, d. h. insbesondere den Benutzer.
  • Bevorzugt umfasst die reale Identität Informationen über den Benutzer, welche mehr als lediglich digital verfügbar sind, z. B. im direkten Kontakt und/oder durch (reale) Überreichung und/oder Begutachtung von Authentifizierungsmitteln wie einem Ausweis und/oder Urkunden. Insbesondere kann der Begriff „real“ somit im Rahmen der Erfindung und/oder im engeren Sinne als gleichbedeutend mit „nicht ausschließlich in digitaler Form“ und/oder „zumindest teilweise im direktem und/oder persönlichen Kontakt“ aufgefasst werden. Eine ausschließlich mittels Digitaltechnik ausgewertete Information über den Benutzer entspricht dann z. B. der (digitalen) Identität. Ein Legitimationsprüfungs- und/oder Identitätsfeststellungsverfahren zur persönlichen Identifikation, wie z. B. das Post-Ident Verfahren und/oder ein Einscannen und Prüfen der Fingerabdrücke (bspw. persönlich bei einer öffentlichen Stelle und/oder unter Anwesenheit eines Dritten), wird entsprechend ggf. der realen Identität zugeordnet. Somit wird auch insbesondere zwischen einer Identitätsauthentifizierung einer realen Identität (zur persönlichen Identifikation) und einer Identitätsauthentifizierung einer (digitalen) Identität (insbesondere zumindest teilweise ohne direkten persönlichen Kontakt, wobei vorzugsweise die zu prüfende bzw. digitale Identität der realen Identität zugeordnet sein kann) unterschieden.
  • Mit anderen Worten wird bspw. die Identitätsauthentifizierung der digitalen Identität durchgeführt, um auf die reale Identität, z. B. auf Identitätsattribute, zu schließen. Weiter wird insbesondere die Identitätsauthentifizierung der realen Identität, z. B. mittels einer Drittauthentifizierung (z. B. persönlich bei einer öffentlichen Stelle und/oder unter Anwesenheit eines Dritten), durchgeführt, um die Identitätsattribute zu verifizieren und/oder die Zuordnung der digitalen Identität zur realen Identität zu bestätigen und/oder zu beglaubigen.
  • Insbesondere stellt die Identitätsauthentifizierung der (insbesondere digitalen) Identität eine Möglichkeit dar, bei positiver (erfolgreicher) Authentifizierung der (digitalen) Identität dem Benutzer Befugnisse zu gewähren, welche ausschließlich der realen Identität zustehen sollten. Dies kann bspw. der Zugang zu einem Internetdienst sein, wie bspw. einem Online-Banking und/oder einem Internet-Shop und/oder einer Social-Media Plattform und/oder dergleichen. Der Internetdient kann dabei bspw. ein Drittdienst sein, welcher insbesondere in der Lage ist, mit einem Sicherheitssystem zur Durchführung der Identitätsauthentifizierung zu kommunizieren. Unter dieser Kommunikation wird dabei insbesondere eine (digitale bzw. technische) Datenkommunikation verstanden, z. B. über ein Netzwerk und/oder das Internet.
  • Ein im Rahmen dieser Erfindung als „digital“ beschriebener Vorgang (z. B. „digitales Hinterlegen“ und/oder „digitales Erstellen“ gemäß dem erfindungsgemäßen Verfahren) umfasst insbesondere einen Vorgang, welcher mittels Datenverarbeitung, d. h. insbesondere zumindest teilweise oder vollständig in digitaler Form (d. h. in digitaler Art und Weise, z. B. mittels der Digitaltechnik und/oder mittels einer z. B. rein technischen Verarbeitung durch z. B. Computer, Prozessoren oder dergleichen) durchgeführt wird. So kann bspw. das digitale Erstellen des Authentifizierungsbereiches (und/oder das digitale Hinterlegen von bspw. Daten) für die (digitale) Identität zumindest teilweise mittels zumindest eines Computers (also einer elektronischen Datenverarbeitungsanlage) erfolgen. Insbesondere erfolgt die digitale Erstellung (und/oder Hinterlegung) ausschließlich mittels des Computers, sobald die Erstellung (und/oder Hinterlegung) durch eine Benutzereingabe (d. h. insbesondere aktiv durch den Benutzer) initiiert wurde. Eine ausschließlich digitale, d. h. vollständig in digitaler Form durchgeführte, Erstellung impliziert insbesondere, dass nach der Initiierung der Erstellung keine weitere Benutzereingabe oder Eingabe oder Handlung eines Dritten notwendig ist, um die vollständige Erstellung durchzuführen.
  • Des Weiteren wird der Authentifizierungsbereich der (insbesondere digitalen) Identität fest zugeordnet, sodass insbesondere ein erstellter Authentifizierungsbereich ausschließlich mit der Identität genutzt werden kann, und vorzugsweise ausschließlich dieser einer Identität und damit nicht weiteren Identitäten zugeordnet werden kann. Umgekehrt kann es allerdings denkbar sein, dass eine Identität mehrere Authentifizierungsbereiche nutzt und/oder anhand der Identität mehrere Authentifizierungsbereiche erstellt werden können. Alternativ kann dies ebenfalls ausgeschlossen werden.
  • Um die feste Zuordnung des Authentifizierungsbereiches für die (insbesondere digitale) Identität zu gewährleisten, kann es bspw. möglich sein, dass der Authentifizierungsbereich eine Information über die Identität, z. B. eine eindeutige Kennung und/oder einen kryptografischen Schlüssel, aufweist, welche der Identität zugeordnet ist. Bspw. wird die Kennung zufällig und/oder fortlaufend generiert und/oder mit weiteren Kennungen anderer Authentifizierungsbereiche verglichen, um eine eindeutige Kennung zu erhalten. Weiter ist es auch denkbar, dass die eindeutige Kennung aus Informationen über die Identität generiert wird. Der Authentifizierungsbereich umfasst z. B. digital und/oder persistent gespeicherte Daten und/oder Informationen, welche zur Identitätsauthentifizierung und/oder Verwaltung von Identitätsattributen dienen und/oder durch eine digitale Auswertung und/oder Verarbeitung zur Authentifizierung herangezogen und/oder ausgelesen werden können. Bevorzugt ist es dabei möglich, dass sämtliche dem Authentifizierungsbereich zugeordneten Daten ein gemeinsames Kennungsmerkmal aufweisen. Das Kennungsmerkmal ist z. B. ein Code, wie die Kennung, und/oder eine Kodierung der Daten, welche z. B. derart erfolgt, dass die Daten dem Authentifizierungsbereich zuordenbar sind. Z. B. ist es hierzu möglich, dass die Daten, welche einem gemeinsamen Authentifizierungsbereich zugeordnet sind, mit dem gleichen (z. B. öffentlichen) Schlüssel verschlüsselt werden, welcher z. B. nur für den einzigen der Identität fest zugeordneten Authentifizierungsbereich verwendet wird.
  • Ferner ist es insbesondere vorgesehen, dass das digitale Hinterlegen der Authentifizierungsvorgabe dadurch erfolgt, dass zumindest eine Information über das Identitätsattribut (digital) derart als (digitale) Identitätsattributdaten gespeichert wird, dass es dem Authentifizierungsbereich zuordenbar ist und/oder zugeordnet wird. Die digitalen Identitätsattributdaten und/oder die (digital gespeicherte) Authentifizierungsvorgabe umfassen dazu z. B. die Kennung und/oder sind derart verschlüsselt, dass sie nur im Authentifizierungsbereich abgerufen und/oder entschlüsselt werden können.
  • Die Identitätsattribute der realen Identität umfassen z. B. technisch abbildbare Daten und/oder Merkmale über die reale Identität (d. h. insbesondere über den Benutzer) und/oder zumindest eine der folgenden Attribute bzw. Daten, welche insbesondere (auch) als Authentifizierungsinformationen dienen:
    • – Informationen über ein bestimmtes Authentifizierungsgerät, z. B. ein Endgerät,
    • – zumindest ein körperliches und/oder biometrisches Merkmal,
    • – zumindest ein kognitives Merkmal (z. B. ein Passwort und/oder eine Pin),
    • – mindestens ein persönliches Merkmal,
    • – zumindest ein Muster,
    • – eine Ausweis-ID (Identifikator bzw. Kennung),
    • – einen Zero-Knowledge-Beweis,
    • – und dergleichen.
  • Die kognitiven Merkmale umfassen insbesondere zumindest eines der folgenden Merkmale:
    • – zumindest ein Passwort,
    • – mindestens eine PIN (Persönliche Identifikationsnummer),
    • – mindestens eine Sicherheitsfrage (Antwort auf eine vorbestimmte Frage, welche z. B. der Benutzer zuvor erstellt und/oder ausgewählt hat,
    • – und dergleichen.
  • Die persönlichen Merkmale umfassen insbesondere zumindest eines der folgenden Merkmale:
    • – das Alter des Benutzers,
    • – der Name des Benutzers,
    • – die Nationalität des Benutzers,
    • – Interessen, Vorlieben des Benutzers und dergleichen.
  • Die körperlichen und/oder biometrischen Merkmale umfassen insbesondere zumindest eines der folgenden Merkmale:
    • – zumindest einen Fingerabdruck, vorzugsweise des Benutzers,
    • – Informationen über eine Stimme, insbesondere des Benutzers,
    • – Informationen über mindestens ein Auge, insbesondere der Iris, vorzugsweise des Benutzers,
    • – zumindest ein Gesichtsmerkmal, vorzugsweise des Benutzers,
    • – Retinamerkmale, vorzugsweise des Benutzers,
    • – Informationen über die Handschrift, insbesondere eine digitalisierte Unterschrift, insbesondere des Benutzers,
    • – Informationen über ein Tippverhalten, vorzugsweise des Benutzers,
    • – Informationen über die Handgeometrie, insbesondere einer Handfläche des Benutzers,
    • – Informationen über eine Handlinienstruktur, insbesondere des Benutzers,
    • – Informationen über eine Erbinformation, insbesondere des Benutzers,
    • – und dergleichen.
  • Die Informationen über ein bestimmtes Authentifizierungsgerät umfassen insbesondere zumindest eines der folgenden Informationen:
    • – Informationen über eine Chipkarte, z. B. über eine Smartcard und/oder eine Signaturkarte,
    • – Informationen über eine Kennwortliste,
    • – Informationen über ein Netzwerk, z. B. eines Service Set Identifier (SSID) eines WLANs,
    • – Informationen über eine IMSI (International Mobile Subscriber Identity), insbesondere eines Mobilfunkgeräts des Benutzers,
    • – Informationen über eine Software, z. B. auf einem Smartphone des Benutzers,
    • – Informationen über eine RFID-Karte,
    • – Informationen über eine Mobilfunk-Telefonnummer, z. B. zur Durchführung eines Mobil-TAN (Transaktionsnummer) Verfahrens,
    • – Informationen zur Durchführung eines Photo-TAN-Verfahrens,
    • – Informationen über eine PIN und/oder Matrixkarte und/oder Streichliste,
    • – Informationen über eine Smartwatch, insbesondere über einen Identifikator der Smartwatch,
    • – Informationen über einen ID-Geber (Identifikationsgeber), insbesondere eines Fahrzeuges zur Authentifizierung am Sicherheitssystem des Fahrzeuges,
    • – Informationen über einen Schlüsselcode,
    • – Informationen über ein digitales Zertifikat,
    • – Informationen über eine Magnetstreifenkarte,
    • – Informationen zur Generierung eines Einmalkennwortes,
    • – Informationen über ein sonstiges Gerät, welches insbesondere der Benutzer bei sich trägt, z. B. ein Smartphone,
    • – und dergleichen.
  • Die Identitätsattribute können unmittelbare bzw. persönliche Identitätsattribute umfassen, insbesondere die biometrischen Merkmale, und/oder mittelbare Identitätsattribute, z. B. ein Gerät, welches der Benutzer bei sich tragen sollte (wie ein Smartphone). Als Authentifizierungsinformationen dienen die Identitätsattribute insbesondere zum Nachweis der (digitalen) Identität des Benutzers. Es ist weiter möglich, dass persönliche Identitätsattribute des Benutzers die körperlichen und/oder biometrischen Merkmale und/oder die Ausweis-ID (z. B. Personalausweis- und/oder Reispass-ID) umfassen.
  • Weiter ist es denkbar, dass die Drittauthentifizierung durchgeführt wird, um die (insbesondere digitale) Identität der realen Identität zuzuordnen bzw. diese Zuordnung zu beglaubigen. Hierdurch wird insbesondere die Sicherheit erhöht, und bspw. ein Identitätsdiebstahl zuverlässig verhindert, da vorzugsweise der Authentifizierungsbereich und/oder die (digitale) Identität durch eine „reale“ Identifizierung bzw. Authentifizierung in Form der Drittauthentifizierung der realen Identität zugeordnet wird. Hierdurch kann insbesondere bestätigt werden, dass die persönlichen Identitätsattribute (wie die Ausweis-ID und/oder die biometrischen Merkmale) tatsächlich zur realen Identität (zum Benutzer) gehören. Die Drittauthentifizierung wird dabei bevorzugt derart durchgeführt, dass (zumindest technisch) gewährleistet ist, dass mit zumindest sehr hoher Wahrscheinlichkeit nur der Benutzer (z. B. persönlich) die Drittauthentifizierung erfolgreich durchführen und die persönlichen Identitätsattribute oder sämtliche Identitätsattribute der hinterlegten Authentifizierungsvorgabe bestätigen kann. Die Drittauthentifizierung umfasst somit insbesondere (die technischen Schritte) ein(es) Legitimationsprüfungs- und/oder Identitätsfeststellungsverfahren zur persönlichen Identifikation. Z. B. wird hierzu nach der persönlichen Authentisierung durch den Benutzer bzw. Authentifizierung durch den Dritten (wie einer öffentlichen Stelle) ein elektronisches und/oder digitales Zertifikat generiert und/oder ein bereits generiertes Zertifikat bestätigt, z. B. durch Signierung des Zertifikats und/oder (elektronischem) Zurücksenden des (signierten) Zertifikats an den Authentifizierungsbereich. Die Drittauthentifizierung umfasst z. B. das Erstellen qualifizierter Signaturschlüssel- und/oder Attributszertifikate und/oder die Bestätigung der (Zugehörigkeit der digitalen zur realen) Identität durch eine offizielle Stelle.
  • Der Authentifizierungsbereich umfasst dabei insbesondere den überwiegenden Teil oder sämtliche Daten, welche zur Identitätsauthentifizierung der (z. B. digitalen) Identität notwendig sind. Hierzu sind die Daten z. B. digital und/oder persistent und/oder verschlüsselt gespeichert.
  • Insbesondere zum Schützen der Authentifizierungsvorgabe erfolgt die Verschlüsselung des Authentifizierungsbereiches und/oder der Authentifizierungsvorgabe bspw. derart, dass ausschließlich anhand der (insbesondere digitalen) Identität (und damit insbesondere ausschließlich) der Benutzer (mit der realen Identität) eine inhaltliche Veränderung der Authentifizierungsvorgabe vornehmen kann.
  • Des Weiteren ist es im Rahmen der Erfindung optional möglich, dass die Authentifizierungsvorgabe dadurch geschützt wird, dass das Identitätsattribut und/oder der Authentifizierungsparameter verschlüsselt gespeichert werden, sodass die Entschlüsselung und/oder eine erneute Verschlüsselung nur dann durchgeführt wird, wenn die Identitätsauthentifizierung der Identität erfolgreich ist, sodass insbesondere nur dann die inhaltliche Veränderung der Authentifizierungsvorgabe befugt durchgeführt wird, insbesondere nur durch den Benutzer selber.
  • Weiter ist es insbesondere denkbar, dass die Identitätsattribute und/oder die Authentifizierungsparameter derart kryptografisch gesichert werden, dass sie zwar für eine Identitätsauthentifizierung entschlüsselt werden können, aber für die inhaltliche Veränderung nur bei erfolgreicher Identitätsauthentifizierung befugt verändert und/oder erneut verschlüsselt werden können. Dies gewährleistet, dass lediglich der Benutzer selber die Verwaltung und/oder inhaltliche Veränderung der Authentifizierungsvorgabe durchführen kann.
  • Des Weiteren ist es denkbar, dass die Authentifizierungsvorgabe dadurch geschützt wird, dass die inhaltliche Veränderung der Authentifizierungsvorgabe kryptografisch eingeschränkt und/oder überwacht wird, sodass insbesondere eine unbefugte inhaltliche Veränderung durch einen Überwachungsmechanismus, insbesondere zyklisch und/oder regelmäßig, überwacht und/oder detektiert wird, wobei der Überwachungsmechanismus vorzugsweise die Prüfung einer Prüfkennung und/oder einer digitalen Signatur und/oder eines digitalen Zertifikats und/oder anhand eines asymmetrisches Kryptosystems, insbesondere anhand eines geheimen und/oder öffentlichen kryptografischen Schlüssels, umfasst.
  • Insbesondere stellt ein Authentifizierungsdienst zur Identitätsauthentifizierung und/oder zur Überwachung und/oder Einschränkung der inhaltlichen Veränderung der Authentifizierungsvorgabe eine Verarbeitungsvorrichtung bereit, z. B. einen Server und/oder einen Prozessor, durch welchen entsprechende kryptografische Verfahren durchgeführt werden. Insbesondere umfasst der Server dabei eine Datenspeichervorrichtung, auf welcher z. B. eine Datenbank und/oder die Identitätsattribute und/oder die Authentifizierungsvorgabe verschlüsselt gespeichert sind. Dies gewährleistet eine erhöhte Sicherheit bei der Identitätsauthentifizierung.
  • Ebenfalls unter Schutz gestellt ist ferner ein Computerprogrammprodukt, welches zur Durchführung des erfindungsgemäßen Verfahrens ausgeführt ist. Das Computerprogrammprodukt ist bspw. als Firmware und/oder als Computerprogramm und/oder als digitaler Datenträger, z. B. CD oder Festplatte oder Datenspeichervorrichtung oder Flash-Speicher, und/oder dergleichen ausgeführt.
  • Weiter ist auch eine Verarbeitungsvorrichtung unter Schutz gestellt, welche zur Durchführung des erfindungsgemäßen Verfahrens ausgeführt ist.
  • Ferner kann es im Rahmen der Erfindung vorgesehen sein, dass die Identitätsauthentifizierung nur dann erfolgreich ist, wenn die Identität anhand einer Auswahl von dem mindestens einem Identitätsattribut, insbesondere der Auswahl von mindestens zwei oder mindestens drei oder mindestens vier Identitätsattributen, authentifiziert wird, wobei insbesondere die ausgewählten Identitätsattribute jeweils als Authentifizierungsfaktoren durch den Authentifizierungsparameter vorgegeben sind.
  • Insbesondere kann dazu auch eine 2-Faktor-Authentifizierung oder eine 3-Faktor-Authentifizierung oder eine Multi-Faktor-Authentifizierung, insbesondere eine halbautomatische oder vollautomatische 2-Faktor-Authentifizierung oder Multi-Faktor-Authentifizierung zum Einsatz kommen. Hierdurch wird die Sicherheit bei der Identitätsauthentifizierung weiter erhöht.
  • Es kann weiter möglich sein, dass das digitale Hinterlegen des mindestens einen Authentifizierungsparameters in der Authentifizierungsvorgabe erfolgt, sodass die Authentifizierungsvorgabe inhaltlich den Authentifizierungsparameter umfasst, und die Authentifizierungsvorgabe derart geschützt wird, dass die inhaltliche Veränderung des Authentifizierungsparameters und des Identitätsattributs stets die erfolgreiche Identitätsauthentifizierung der Identität voraussetzt.
  • Bspw. sind hierzu die Informationen und/oder Daten des Authentifizierungsparameters und/oder der Authentifizierungsvorgabe und/oder der Identitätsattribute in einem kryptografisch gesicherten Datencontainer, z. B. in einer verschlüsselten Datei, gespeichert.
  • Auch ist es optional denkbar, dass das Identitätsattribut zumindest eine der nachfolgenden Attribute, insbesondere des Benutzers, umfasst:
    • – mindestens eine kognitive Eigenschaft, insbesondere des Benutzers,
    • – mindestens eine biometrische Eigenschaft, insbesondere des Benutzers,
    • – eine Ausweis-ID, insbesondere des Benutzers, insbesondere eines Personalausweises,
    • – mindestens ein Verhaltensmuster, insbesondere des Benutzers,
    • – mindestens eine IMEI- oder SIM-Kartennummer,
    • – mindestens eine Account-ID, welche vorzugsweise dem Authentifizierungsbereich und/oder der Identität zugeordnet ist, und bevorzugt bei oder nach der Erstellung des Authentifizierungsbereichs generiert wird.
  • Hierzu kann es bspw. auch möglich sein, dass zur Prüfung der Identitätsattribute ein Sensor und/oder ein Identifikationsgeber und/oder ein mobiles Kommunikationsgerät, z. B. ein Smartphone, ausgewertet werden. Bspw. wird das Verhaltensmuster dadurch geprüft, dass eine Gestenerkennung oder dergleichen ausgewertet wird. Dies ermöglicht eine sichere und einfache sowie komfortable Authentifizierung.
  • Ferner kann im Rahmen der Erfindung vorgesehen sein, dass der Authentifizierungsbereich und/oder die Authentifizierungsvorgabe ausschließlich der einen Identität zugeordnet wird.
  • Damit kann es insbesondere möglich sein, dass der Authentifizierungsbereich und/oder die Authentifizierungsvorgabe keiner weiteren digitalen Identität zugeordnet werden und/oder werden kann. Damit wird gewährleistet, dass ausschließlich der Benutzer Zugriff auf den Authentifizierungsbereich zur inhaltlichen Veränderung hat.
  • Ferner kann es im Rahmen der Erfindung vorgesehen sein, dass, vorzugsweise anhand einer Benutzereingabe, eine, insbesondere maximale, Auswahl von Authentifizierungsfaktoren im Authentifizierungsparameter digital hinterlegt wird, wobei die Identitätsauthentifizierung nur dann erfolgreich ist, wenn die Identität anhand der sämtlichen ausgewählten Authentifizierungsfaktoren authentifiziert wird. Die maximale Auswahl ist dabei insbesondere die Auswahl bei einer maximalen Sicherheitsstufe, um die höchste Sicherheit bei der Authentifizierung zu gewährleisten.
  • In einer weiteren Möglichkeit kann vorgesehen sein, dass die Verwaltung und/oder die Identitätsauthentifizierung von einem Sicherheitsdienst (insbesondere Authentifizierungsdienst) ausgeführt werden, wobei der Sicherheitsdienst mit mindestens einem weiteren Drittdienst kommuniziert, um mindestens eine dienstabhängige Identitätsauthentifizierung durchzuführen. Die dienstabhängige Identitätsauthentifizierung kann sich bspw. darauf beziehen, dass für unterschiedliche Dienstarten (z. B. Online-Banking und Internet-Shops) eine unterschiedliche Identitätsauthentifizierung und/oder eine unterschiedliche Sicherheitsstufe bei der Identitätsauthentifizierung verwendet werden.
  • Es kann optional möglich sein, dass eine dienstabhängige Identitätsauthentifizierung dadurch erfolgt, dass mindestens ein Drittdienst eine Anfrage an einen, insbesondere zentralen und/oder einzigen, Sicherheitsdienst (insbesondere Authentifizierungsdienst) zur Durchführung der Identitätsauthentifizierung übersendet, insbesondere über eine Internetverbindung, sodass der, insbesondere jeder, Drittdienst, insbesondere ein Internetdienst, nur mittelbar über den Sicherheitsdienst die Identitätsauthentifizierung der Identität durchführt. Insbesondere kann dabei die Übertragung bei der Übersendung der Anfrage verschlüsselt erfolgen, um die Sicherheit zu gewährleisten.
  • Nach einer weiteren Möglichkeit kann vorgesehen sein, dass eine Anfrage eines Drittdienstes zumindest eine Vergleichsinformation umfasst, welche zur dienstabhängigen Identitätsauthentifizierung mit einem Identitätsattribut verglichen wird, sodass nur bei einer Übereinstimmung innerhalb eines Toleranzbereiches die dienstabhängige Identitätsauthentifizierung erfolgreich ist. Der Toleranzbereich kann bspw. eine Toleranz zwischen 0% und 50%, vorzugsweise zwischen 10% und 20% aufweisen, wobei bei einer Toleranz von 0% keine Abweichung zum Identitätsattribut vorliegen darf. Insbesondere kann der Toleranzbereich identitätsattributabhängig sein, sodass bspw. bei einer Passworteingabe die Toleranz bei 0% festgelegt wird und/oder bei der Authentifizierung mittels eines biometrischen Merkmals die Toleranz bei z. B. 20% festgelegt wird. Hierdurch die Robustheit deutlich erhöht.
  • Insbesondere ist die Vergleichsinformation eine Information, welche durch den Benutzer zur Authentifizierung (insbesondere bei der Identitätsauthentifizierung) und/oder durch den Drittdienst übertragen wird und/oder welche mit dem Identitätsattribut verglichen wird. Bspw. überträgt der Benutzer zur Authentifizierung bei dem Drittdienst die Vergleichsinformation an den Drittdienst, der Drittdienst überträgt diese wiederum an den Authentifizierungsdienst und der Authentifizierungsdienst prüft die Vergleichsinformation anhand des mindestens einem dem Drittdienst zugeordneten Identitätsattributs, sodass der Authentifizierungsdienst davon abhängig dem Drittdienst eine erfolgreiche oder fehlgeschlagene Authentifizierung meldet.
  • So ist bspw. die Vergleichsinformation ein Passwort, welches der Benutzer zur Identifizierung eingegeben hat. Alternativ oder zusätzlich umfasst die Vergleichsinformation Informationen, welche durch eine Benutzereingabe und/oder eine Sensorerfassung ermittelt werden. Dies kann bspw. auch eine Kameraaufnahme und/oder eine akustische Aufzeichnung und/oder die Kombination von einer Auszeichnung einer Sensorik (mit verschiedenen Sensoren) sein. Insbesondere dient dabei die Vergleichsinformation zum Nachweis einer Kenntnis einer Information und/oder einer Verwendung eines Besitztums und/oder einer Gegenwart des Benutzers selbst. Bevorzugt wird dabei die Vergleichsinformation verschlüsselt zum Vergleich mit dem Identitätsattribut übertragen. Insbesondere wird die Vergleichsinformation durch die Sensorik des Endgeräts und/oder eines Smartphones generiert. Bspw. kann die Vergleichsinformation auch eine Information einer Gestenerkennung bei dem Benutzer sein.
  • Es ist ferner denkbar, dass ein Toleranzbereich für die dienstabhängige Identitätsauthentifizierung durch eine Benutzereingabe angepasst wird, insbesondere durch Veränderung des, vorzugsweise zumindest eines der, Authentifizierungsparameter(s). Auch hierdurch kann insbesondere die Identitätsauthentifizierung parametrisiert werden.
  • Beispielsweise kann es vorgesehen sein, dass bei einer dienstabhängigen Identitätsauthentifizierung eine Antwort an den Drittdienst übertragen wird, welche eine Information umfasst, ob die dienstabhängige Identitätsauthentifizierung erfolgreich oder erfolglos ist, sodass insbesondere in Abhängigkeit von der Information ein Zugangsberechtigungscode durch den Drittdienst, insbesondere für den Benutzer, erzeugt wird. Insbesondere wird dabei die Antwort verschlüsselt von dem Authentifizierungsdienst (Sicherheitsdienst) an den Drittdienst übertragen.
  • Es kann weiter möglich sein, dass, vorzugsweise anhand einer Benutzereingabe und/oder eines Drittdienstes, eine dienstabhängige Auswahl von Authentifizierungsfaktoren, bevorzugt im Authentifizierungsparameter und/oder separat von der Authentifizierungsvorgabe, digital hinterlegt wird, wobei eine dienstabhängige Identitätsauthentifizierung nur dann erfolgreich ist, wenn die Identität anhand der sämtlichen dienstabhängig ausgewählten Authentifizierungsfaktoren authentifiziert wird. Insbesondere umfasst die Auswahl die Anzahl und/oder die Art der Authentifizierungsfaktoren, z. B. die Vorgabe eines minimalen Trustlevels (einer minimalen Sicherheitsstufe) durch den Drittdienst, wobei vorzugsweise der Benutzer die Sicherheitsstufe erhöhen kann. Vorzugsweise muss dabei durch den Drittdienst eine minimale von dem Benutzer vorgegebene Sicherheitsstufe eingehalten werden.
  • Auch ist es optional denkbar, dass neben einer dienstabhängigen Auswahl von Authentifizierungsfaktoren durch den Drittdienst noch eine zusätzliche Auswahl von weiteren Authentifizierungsfaktoren durch eine Benutzereingabe digital hinterlegt wird. Insbesondere kann der Benutzer auf diese Weise eine minimale Sicherheitsstufe vorgeben.
  • Außerdem ist es von Vorteil, wenn ausschließlich durch eine Benutzereingabe, insbesondere durch den Benutzer, insbesondere durch eine Genehmigung durch den Benutzer, eine inhaltliche Veränderung des Authentifizierungsbereichs und/oder der Authentifizierungsvorgabe durchgeführt werden kann, und insbesondere andernfalls, vorzugsweise kryptografisch (kryptografische Sicherung), verhindert wird. Insbesondere kann hierzu eine derartige Verschlüsselung erfolgen, welche lediglich durch den Benutzer entschlüsselt werden kann.
  • Insbesondere kann zur kryptografischen Sicherung, z. B. des Authentifizierungsbereiches und/oder der Authentifizierungsvorgabe, eine Public-Key-Infrastruktur und/oder dergleichen zum Einsatz kommen. Hierzu kann bspw. ein öffentlicher und ein privater Schlüssel erstellt werden, wobei lediglich der Benutzer Zugriff auf den privaten Schlüssel hat. Der öffentliche Schlüssel wird bspw. zur Identitätsauthentifizierung genutzt, und der private Schlüssel wird bspw. zur inhaltlichen Verwaltung (inhaltliche Veränderung) des Authentifizierungsbereiches und/oder der Authentifizierungsvorgabe verwendet.
  • Ferner kann es im Rahmen der Erfindung vorgesehen sein, dass bei der Drittauthentifizierung zunächst in Abhängigkeit von der Authentifizierungsvorgabe, insbesondere anhand des Identitätsattributs, vorzugsweise anhand einer Ausweis-ID und/oder einer eindeutigen Account-ID und/oder eines öffentlichen kryptografischen Schlüssels, welcher dem Authentifizierungsbereich fest zugeordnet ist, ein kryptografisches Zertifikat generiert wird. Insbesondere ist dabei die Ausweis-ID eine nummerische ID und/oder eine digitale vorgespeicherte ID, bspw. in einem elektronischen Personalausweis des Benutzers. Hierdurch kann die Sicherheit weiter erhöht werden.
  • Außerdem kann es im Rahmen der Erfindung von Vorteil sein, dass bei der Drittauthentifizierung die Bestätigung dadurch erfolgt, dass ein generiertes kryptografisches Zertifikat digital signiert wird und/oder an den Authentifizierungsbereich übertragen und/oder darin persistent (dauerhaft und/oder nicht-flüchtig) gespeichert wird. Insbesondere kann die Speicherung verschlüsselt und/oder in einer nicht flüchtigen Datenspeichervorrichtung, z. B. eines Servers erfolgen. Dies hat den Vorteil, dass eine sichere und zuverlässige Authentifizierung möglich ist.
  • Gemäß einem weiteren Vorteil kann vorgesehen sein, dass bei ausbleibender oder erfolgloser Drittauthentifizierung nach einer vordefinierten Zeitdauer der Authentifizierungsbereich gelöscht wird. Die Zeitdauer liegt dabei bspw. im Bereich von Tagen oder Wochen oder Monaten oder Jahren. Hierdurch kann gewährleistet werden, dass ein nicht genutzter Authentifizierungsbereich und die darin gespeicherten sensiblen Daten zuverlässig gelöscht werden.
  • Vorteilhafterweise kann im Rahmen der Erfindung vorgesehen sein, dass bei der Identitätsauthentifizierung, insbesondere als eine maximale Identitätsauthentifizierung (insbesondere maximale Sicherheitsstufe), und/oder bei einer dienstabhängigen Identitätsauthentifizierung zumindest eine Zwei-Faktor und/oder eine Drei-Faktor und/oder eine Vier-Faktor und/oder eine Fünf-Faktor Authentifizierung zum Einsatz kommt, sodass vorzugsweise eine Auswahl von mindestens drei oder vier oder fünf Authentifizierungsfaktoren zur Authentifizierung genutzt wird. Insbesondere kann die verwendete Authentifizierung durch den Benutzer vorgegeben werden, um eine minimale Sicherheitsstufe festzulegen, insbesondere auch dienstabhängig. Dies ermöglicht eine zuverlässige Kontrolle über die Sicherheitsstufen durch den Benutzer.
  • Gemäß einer vorteilhaften Weiterbildung der Erfindung kann vorgesehen sein, dass ein erster Authentifizierungsfaktor eine Durchführung einer Fingerabdruckauthentifizierung umfasst, insbesondere anhand eines ersten Identitätsattributs, vorzugsweise in Form mindestens eines Fingerabdrucks, und/oder ein zweiter Authentifizierungsfaktor eine Durchführung einer Stimmenauthentifizierung umfasst, insbesondere anhand eines zweiten Identitätsattributs, vorzugsweise in Form mindestens einer Stimmeninformation. Hierzu kann bspw. eine Vergleichsinformation eine akustische Aufzeichnung umfassen und/oder zumindest ein Sensor ausgewertet werden. Der Sensor ist dabei bspw. als ein akustischer Sensor, z. B. als ein Mikrofon, ausgeführt. Insbesondere kann hierzu auch eine Verarbeitung durch einen digitalen Signalprozessor oder dergleichen erfolgen. Dieser ermöglicht die schnelle und zuverlässige Authentifizierung des Benutzers.
  • Ferner kann es im Rahmen der Erfindung vorgesehen sein, dass ein erster Authentifizierungsparameter vorgesehen ist, welcher eine erste Sicherheitsstufe definiert, und ein zweiter Authentifizierungsparameter vorgesehen ist, welcher eine zweite Sicherheitsstufe definiert, welche höher als die erste Sicherheitsstufe ist, wobei die Sicherheitsstufen und/oder die Authentifizierungsparameter dynamisch veränderbar ausgeführt sind. Die dynamische Veränderung kann bspw. dadurch erzielt werden, dass ein Benutzer die Authentifizierungsparameter inhaltlich verändern kann. Die inhaltliche Veränderung kann bspw. nur durch den Benutzer und/oder nur in der Identität (d. h. insbesondere bei erfolgreicher Identitätsauthentifizierung) erfolgen. Hierdurch können die sensiblen Daten des Benutzers zuverlässig geschützt werden.
  • Optional kann es vorgesehen sein, dass durch die Sicherheitsstufe eine Auswahl und/oder eine Anzahl und/oder eine Art der bei der Identitätsauthentifizierung zu prüfenden Identitätsattribute festgelegt wird. Diese lassen sich insbesondere durch den Benutzer bei einer erfolgreichen Identitätsauthentifizierung inhaltlich verändern. Damit kann ein höherer Komfort und gleichzeitig eine optimale Gewährleistung der Sicherheit ermöglicht werden.
  • Es kann optional möglich sein, dass als Voraussetzung für eine inhaltliche Veränderung der Authentifizierungsvorgabe die Identitätsauthentifizierung als eine maximale Identitätsauthentifizierung durchgeführt wird, sodass eine Sicherheitsstufe und/oder eine Anzahl von zu prüfenden Authentifizierungsfaktoren im Vergleich zu weiteren dienstabhängigen Identitätsauthentifizierung maximal ist. Der Ausdruck „maximal“ bezieht sich dabei insbesondere darauf, dass eine maximale Sicherheitsstufe vorgesehen ist. Insbesondere wird die maximale Sicherheitsstufe dabei für besonders sicherheitskritische Drittdienste verwendet und/oder zur inhaltlichen Veränderung des Authentifizierungsbereiches und/oder der Authentifizierungsvorgabe genutzt, um sicherzustellen, dass lediglich der Benutzer in seiner Identität die Veränderungen durchführen kann.
  • Nach einer weiteren Möglichkeit kann vorgesehen sein, dass die Identitätsauthentifizierung anhand einer Sensorik durchgeführt wird, insbesondere dadurch, dass eine Kommunikation eines Sicherheitsdienstes mit einer Sensorik erfolgt, wobei vorzugsweise das Endgerät die Sensorik aufweist. Die Sensorik kann dabei bspw. einen oder mehrere Sensoren, insbesondere unterschiedlicher Art umfassen. Dies ermöglicht eine flexible Durchführung der Identitätsauthentifizierung.
  • Es ist ferner denkbar, dass eine Sensorik zur Identitätsauthentifizierung vorgesehen ist, wobei die Sensorik zumindest eine der nachfolgenden Sensorikelemente umfasst:
    • – zumindest eine Software, vorzugsweise eine Smartphone-App, wobei zur Identitätsauthentifizierung die Software ausgeführt wird, vorzugsweise durch das Endgerät,
    • – zumindest einen Sensor zur Positionsbestimmung, insbesondere GPS (Global Positioning System) Sensor, wobei zur Identitätsauthentifizierung die Positionsbestimmung und/oder eine Erfassung von Bewegungsmuster insbesondere am Benutzer durchgeführt wird,
    • – zumindest ein Mikrofon, welches insbesondere mit einer Elektronik zur Stimmenerkennung verbunden ist, wobei bevorzugt zur Identitätsauthentifizierung die Stimmenerkennung und/oder eine Erfassung einer Stimmenlage insbesondere am Benutzer durchgeführt wird,
    • – zumindest einen Kamerasensor, wobei insbesondere zur Identitätsauthentifizierung eine Gesichtserkennung durchgeführt wird,
    • – zumindest einen Fingerabdrucksensor, wobei vorzugsweise zur Identitätsauthentifizierung ein Fingerabdruck insbesondere am Benutzer ermittelt wird,
    • – zumindest eine Datenschnittstelle, vorzugsweise eine Netzwerkschnittstelle.
  • Vorzugsweise kann von den Sensorelementen oder der Sensorik eine Vergleichsinformation an den Authentifizierungsdienst und/oder an den Drittdienst übertragen werden, z. B. durch eine drahtlose und/oder drahtgebundene und/oder Netzwerkkommunikation. Hierdurch kann eine umfangreiche Authentifizierung zur Erhöhung der Sicherheit gewährleistet werden.
  • Vorteilhafterweise kann bei der Erfindung vorgesehen sein, dass bei einer erfolgreichen dienstabhängigen Identitätsauthentifizierung ein Zugangssystem eines Fahrzeuges und/oder eine Fahrzeugfunktion und/oder eine Parametrisierung des Fahrzeuges angesteuert wird. So kann bspw. ein Schließsystem des Fahrzeuges angesteuert werden, um bspw. eine Zentralverriegelung zu entriegeln und/oder um Türen und/oder eine Heckklappe des Fahrzeuges zu öffnen.
  • Des Weiteren kann vorgesehen sein, dass die Identitätsauthentifizierung und/oder eine dienstabhängige Identitätsauthentifizierung automatisch regelmäßig, insbesondere zyklisch, bevorzugt über eine Internetverbindung, durch Kommunikation mit einer Sensorik, durchgeführt wird. Hierdurch kann bspw. eine regelmäßige und/oder eine automatisierte Identitätsauthentifizierung stattfinden, vorzugsweise ohne Benutzereingabe und/oder Initiierung durch den Benutzer. Dies ermöglicht es, für viele alltägliche Aufgaben eine Authentifizierung im Hintergrund durchzuführen. Hierdurch lässt sich der Komfort bei der Benutzung der Identitätsauthentifizierung deutlich steigern.
  • Vorteilhafterweise kann im Rahmen der Erfindung vorgesehen sein, dass bei der Identitätsauthentifizierung und/oder einer dienstabhängigen Identitätsauthentifizierung eine, insbesondere durch den Benutzer und/oder durch eine Benutzereingabe übermittelte, Vergleichsinformation mit dem mindestens einen Identitätsattribut, welches durch den Authentifizierungsparameter vorgegeben ist, verglichen wird, sodass insbesondere bei einer Übereinstimmung innerhalb eines Toleranzbereiches die Identitätsauthentifizierung und/oder die dienstabhängige Identitätsauthentifizierung erfolgreich ist, wobei vorzugsweise mehrere Authentifizierungsparameter jeweils unterschiedlichen dienstabhängigen Identitätsauthentifizierung zugeordnet sind und/oder diesen jeweils eine Sicherheitsstufe zuweisen, wobei insbesondere eine dienstabhängige Identitätsauthentifizierung der niedrigsten Sicherheitsstufe ohne Vergleich durchgeführt wird und/oder stets erfolgreich ist. Auch hierdurch lässt sich die Sicherheit bei der Identitätsauthentifizierung weiter erhöhen.
  • Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung, in der unter Bezugnahme auf die Zeichnungen Ausführungsbeispiele der Erfindung im Einzelnen beschrieben sind. Dabei können die in den Ansprüchen und in der Beschreibung erwähnten Merkmale jeweils einzeln für sich oder in beliebiger Kombination erfindungswesentlich sein. Es zeigen:
  • 1 eine schematische Darstellung von Teilen zur Durchführung eines erfindungsgemäßen Authentifizierungsverfahrens,
  • 2 eine schematische Darstellung zur Visualisierung eines erfindungsgemäßen Authentifizierungsverfahrens,
  • 35 weitere schematische Darstellungen zur Visualisierung eines erfindungsgemäßen Authentifizierungsverfahrens.
  • In den nachfolgenden Figuren werden für die gleichen technischen Merkmale auch von unterschiedlichen Ausführungsbeispielen die identischen Bezugszeichen verwendet.
  • In 1 ist schematisch ein Fahrzeug 5 gezeigt, mit welchem bspw. ein Authentifizierungsverfahren 100 durchgeführt werden kann. So ist es bspw. denkbar, dass bei einer erfolgreichen dienstabhängigen Identitätsauthentifizierung 120 ein Zugangssystem eines Fahrzeuges 5 und/oder eine Fahrzeugfunktion und/oder eine Parametrisierung des Fahrzeuges 5 angesteuert wird. Die Ansteuerung dient dann bspw. dazu, ein bewegliches Teil des Fahrzeuges 5, z. B. eine Tür und/oder Heckklappe, zu öffnen, und/oder eine Zentralverriegelung oder eine Schließvorrichtung und/oder dergleichen des Fahrzeuges 5 anzusteuern. Entsprechend kann es vorgesehen sein, dass das Fahrzeug 5 und/oder die Fahrzeugelektronik einen Drittdienst 60 bildet, welcher bei dem erfindungsgemäßen Authentifizierungsverfahren 100 genutzt wird. Weitere Drittdienste 60 sind bspw. Onlinebanking-Anwendung oder Online-Shopping-Dienste oder dergleichen.
  • Die Identitätsauthentifizierung 110 kann bspw. anhand einer Sensorik 10 durchgeführt werden, wobei vorzugsweise ein Endgerät 20, z. B. ein Identifikationsgeber für das Fahrzeug 5, die Sensorik 10 umfasst. Weiter wird die Sensorik 10 bspw. durch einen Benutzer 15 mit sich geführt, wobei eine reale Identität 16 insbesondere auf die Identität des Benutzers 15 im realen Leben bezogen ist.
  • In 2 ist schematisch ein erfindungsgemäßes Authentifizierungsverfahren 100 visualisiert. Dabei ist gezeigt, dass gemäß einem ersten Verfahrensschritt 100.1 ein digitales Erstellen eines Authentifizierungsbereiches 130 für eine Identität 115 erfolgt. Gemäß einem zweiten Verfahrensschritt 100.2 erfolgt ein digitales Hinterlegen einer Authentifizierungsvorgabe 140 im Authentifizierungsbereich 130 zur Parametrisierung der Identitätsauthentifizierung 110. Gemäß einem dritten Verfahrensschritt 100.3 wird eine Drittauthentifizierung der realen Identität 16 anhand der Authentifizierungsvorgabe 140 durchgeführt. Gemäß einem vierten Verfahrensschritt 100.4 wird ein digitales Hinterlegen mindestens eines Authentifizierungsparameters 142 zur Bestimmung einer Sicherheitsstufe durchgeführt. Gemäß einem fünften Verfahrensschritt 100.5 wird die Identitätsauthentifizierung 110 in Abhängigkeit von dem Authentifizierungsparameter 142 und dem Identitätsattribut 141 durchgeführt.
  • Das erfindungsgemäße Authentifizierungsverfahren 100 ist ferner in den 3 bis 5 näher dargestellt. Gemäß 3 ist ein Authentifizierungsbereich 130 erkennbar, welcher bspw. in der Form von digitalen Daten z. B. verschlüsselt gespeichert sein kann. Der Authentifizierungsbereich 130 umfasst dabei bspw. eine Authentifizierungsvorgabe 140, welche insbesondere zur Parametrisierung der Identitätsauthentifizierung 110 dient. Hierzu umfasst die Authentifizierungsvorgabe 140 inhaltlich mindestens ein Identitätsattribut 141 einer realen Identität 16, wobei die inhaltliche Veränderung der Authentifizierungsvorgabe 140 (d. h. insbesondere des mindestens einen Identitätsattributs 141) stets die erfolgreiche Identitätsauthentifizierung 110 der Identität 115 voraussetzt. Bevorzugt ist die (z. B. digitale) Identität 115 fest dem Authentifizierungsbereich 130 zugeordnet, d. h. es kann bspw. einem Authentifizierungsbereich 130 nur eine einzige Identität 115 zugeordnet werden. Optional kann es möglich sein, dass eine einzige Identität 115 auch mehreren Authentifizierungsbereichen 130 zugeordnet ist, welche dann bspw. redundant vorhanden sind.
  • Weiter ist es vorgesehen, dass die Authentifizierungsvorgabe 140 mindestens einen Authentifizierungsparameter 142 zur Bestimmung einer Sicherheitsstufe aufweist. Es ist dabei in 3 beispielhaft gezeigt, dass auch ein erstes Identitätsattribut 141a und ein zweites Identitätsattribut 141b und ein erster Authentifizierungsparameter 142a und ein zweiter Authentifizierungsparameter 142b vorgesehen sind. Selbstverständlich können auch weitere Identitätsattribute 141 und/oder Authentifizierungsparameter 142 vorgesehen sein. Diese können dann bspw. unterschiedlich kombiniert und/oder ausgewertet werden, z. B. in Abhängigkeit von Drittdiensten 60, um so unterschiedliche Sicherheitsstufen für unterschiedliche Drittdienste 60 bereitzustellen.
  • Des Weiteren ist in 3 schematisch angedeutet, dass eine Drittauthentifizierung der realen Identität 16 dadurch durchgeführt wird, dass anhand der Authentifizierungsvorgabe 140 die Drittauthentifizierung erfolgt, und bei erfolgreicher Drittauthentifizierung eine Bestätigung 112 erzeugt wird. Diese dient insbesondere dazu, die Authentifizierungsvorgabe 140 zu validieren und/oder zu aktivieren.
  • In 4 ist schematisch gezeigt, dass auch eine Auswahl von mindestens einem Identitätsattribut 141 möglich ist, welche dann für die Identitätsauthentifizierung 110 genutzt wird. Insbesondere kann diese Auswahl, d. h. die ausgewählten Identitätsattribute 141, durch den Benutzer 15 vorgegeben werden. Dies kann bspw. dadurch erfolgen, dass die ausgewählten Identitätsattribute 141 jeweils als Authentifizierungsfaktoren 143 durch den Authentifizierungsparameter 142 vorgegeben sind. Ein Authentifizierungsparameter 142 kann dann bspw. mehrere Authentifizierungsfaktoren 143 umfassen, z. B. einen ersten Authentifizierungsfaktor 143a und einen zweiten Authentifizierungsfaktor 143b, welche entsprechend dienstabhängig für Drittdienste 60 zur dienstabhängigen Konfiguration der Sicherheitsstufe genutzt werden können.
  • Dies wird in 5 weiter veranschaulicht, so wird bspw. gezeigt, dass die Identitätsauthentifizierung 110 zentral von einem Sicherheitsdienst 50 (Authentifizierungsdienst 50) ausgeführt werden kann, wobei der Sicherheitsdienst 50 bspw. mit weiteren Drittdiensten 60 kommuniziert. Dies kann bspw. ein erster Drittdienst 60a und ein zweiter Drittdienst 60b und ein dritter Drittdienst 60c sein, welche sich jeweils voneinander unterscheiden und/oder auch in Bezug auf die für die jeweiligen Drittdienste 60 verwendete Sicherheitsstufe unterscheiden. Es wird dabei für die jeweiligen Drittdienste 60 eine dienstabhängige Identitätsauthentifizierung 120 durchgeführt, bspw. mittels einer Datenkommunikation, insbesondere einer verschlüsselten Datenkommunikation. Insbesondere erfolgt dabei die Identitätsauthentifizierung 110 nur zwischen dem Sicherheitsdienst 50 und dem Benutzer 15 und/oder der Identität 115 in direkter Weise. Entsprechend erfolgt die Identitätsauthentifizierung 110 zwischen dem Benutzer 15 und/oder der Identität 115 und den Drittdiensten 60 nur in indirekter Weise dadurch, dass eine dienstabhängige Identitätsauthentifizierung 120, d. h. insbesondere auch eine Datenübertragung, zwischen den jeweiligen Drittdiensten 60 und dem Sicherheitsdienst 50 erfolgt.
  • Die voranstehende Erläuterung der Ausführungsformen beschreibt die vorliegende Erfindung ausschließlich im Rahmen von Beispielen. Selbstverständlich können einzelne Merkmale der Ausführungsformen, sofern technisch sinnvoll, frei miteinander kombiniert werden, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
  • Bezugszeichenliste
    • 5
    Fahrzeug
    10
    Sensorik
    15
    Benutzer
    16
    reale Identität
    20
    Endgerät
    50
    Sicherheitsdienst
    60
    Drittdienst
    60a
    erster Drittdienst
    60b
    zweiter Drittdienst
    60c
    dritter Drittdienst
    100
    Authentifizierungsverfahren
    100.1
    erster Verfahrensschritt
    100.2
    zweiter Verfahrensschritt
    100.3
    dritter Verfahrensschritt
    100.4
    vierter Verfahrensschritt
    100.5
    fünfter Verfahrensschritt
    110
    Identitätsauthentifizierung
    112
    Bestätigung
    115
    (digitale) Identität
    120
    dienstabhängige Identitätsauthentifizierung
    130
    Authentifizierungsbereich
    140
    Authentifizierungsvorgabe
    141
    Identitätsattribut
    141a
    erstes Identitätsattribut
    141b
    zweites Identitätsattribut
    142
    Authentifizierungsparameter
    142a
    erster Authentifizierungsparameter
    142b
    zweiter Authentifizierungsparameter
    143
    Authentifizierungsfaktor
    143a
    erster Authentifizierungsfaktor
    143b
    zweiter Authentifizierungsfaktor

Claims (29)

  1. Authentifizierungsverfahren (100), insbesondere zur Authentifizierung eines Benutzers (15) eines Endgeräts (20), wobei durch eine Identitätsauthentifizierung (110) eine Identität (115) authentifiziert wird, gekennzeichnet durch die nachfolgenden Schritte: – digitales Erstellen eines Authentifizierungsbereichs (130) für die Identität (115), wobei der Authentifizierungsbereich (130) der Identität (115) fest zugeordnet ist, – digitales Hinterlegen einer Authentifizierungsvorgabe (140) im Authentifizierungsbereich (130) zur Parametrisierung der Identitätsauthentifizierung (110), wobei die Authentifizierungsvorgabe (140) inhaltlich mindestens ein Identitätsattribut (141) einer realen Identität (16) umfasst, – Durchführen einer Drittauthentifizierung der realen Identität (16) anhand der Authentifizierungsvorgabe (140), sodass bei erfolgreicher Drittauthentifizierung eine Bestätigung (112) erzeugt wird, – digitales Hinterlegen mindestens eines Authentifizierungsparameters (142) zur Bestimmung einer Sicherheitsstufe, – Durchführen der Identitätsauthentifizierung (110) in Abhängigkeit von dem Authentifizierungsparameter (142) und dem Identitätsattribut (141), sodass die Identitätsauthentifizierung (110) durch die Authentifizierungsvorgabe (140) parametrisiert wird, wobei die Authentifizierungsvorgabe (140) derart geschützt wird, dass eine inhaltliche Veränderung der Authentifizierungsvorgabe (140) stets die erfolgreiche Identitätsauthentifizierung (110) der Identität (115) voraussetzt.
  2. Authentifizierungsverfahren (100) nach Anspruch 1, dadurch gekennzeichnet, dass die Authentifizierungsvorgabe (140) dadurch geschützt wird, dass das Identitätsattribut (141) und/oder der Authentifizierungsparameter (142) verschlüsselt gespeichert werden, sodass die Entschlüsselung und/oder eine erneute Verschlüsselung nur dann durchgeführt wird, wenn die Identitätsauthentifizierung (110) der Identität (115) erfolgreich ist, sodass insbesondere nur dann die inhaltliche Veränderung der Authentifizierungsvorgabe (140) befugt durchgeführt wird.
  3. Authentifizierungsverfahren (100) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Authentifizierungsvorgabe (140) dadurch geschützt wird, dass die inhaltliche Veränderung der Authentifizierungsvorgabe (140) kryptografisch eingeschränkt und/oder überwacht wird, sodass insbesondere eine unbefugte inhaltliche Veränderung durch einen Überwachungsmechanismus, insbesondere zyklisch und/oder regelmäßig, überwacht und/oder detektiert wird, wobei der Überwachungsmechanismus vorzugsweise die Prüfung einer Prüfkennung und/oder einer digitalen Signatur und/oder eines digitalen Zertifikats und/oder anhand eines asymmetrisches Kryptosystems, insbesondere anhand eines geheimen und/oder öffentlichen kryptografischen Schlüssels, umfasst.
  4. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Identitätsauthentifizierung (110) nur dann erfolgreich ist, wenn die Identität (115) anhand einer Auswahl von dem mindestens einem Identitätsattribut (141), insbesondere der Auswahl von mindestens zwei oder mindestens drei oder mindestens vier Identitätsattributen (141), authentifiziert wird, wobei insbesondere die ausgewählten Identitätsattribute (141) jeweils als Authentifizierungsfaktoren (143) durch den Authentifizierungsparameter (142) vorgegeben sind.
  5. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das digitale Hinterlegen des mindestens einen Authentifizierungsparameters (142) in der Authentifizierungsvorgabe (140) erfolgt, sodass die Authentifizierungsvorgabe (140) inhaltlich den Authentifizierungsparameter (142) umfasst, und die Authentifizierungsvorgabe (140) derart geschützt wird, dass die inhaltliche Veränderung des Authentifizierungsparameters (142) und des Identitätsattributs (141) stets die erfolgreiche Identitätsauthentifizierung (110) der Identität (115) voraussetzt.
  6. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Identitätsattribut (141) zumindest eine der nachfolgenden Attribute, insbesondere des Benutzers (15), umfasst: – mindestens eine kognitive Eigenschaft, insbesondere des Benutzers (15), – mindestens eine biometrische Eigenschaft, insbesondere des Benutzers (15), – eine Ausweis-ID, insbesondere des Benutzers (15), insbesondere eines Personalausweises, – mindestens ein Verhaltensmuster, insbesondere des Benutzers (15), – eine IMEI- oder SIM-Kartennummer, – eine Account-ID, welche vorzugsweise dem Authentifizierungsbereich (130) und/oder der Identität (115) zugeordnet ist, und bevorzugt bei oder nach der Erstellung des Authentifizierungsbereichs (130) generiert wird.
  7. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Authentifizierungsbereich (130) und/oder die Authentifizierungsvorgabe (140) ausschließlich der einen Identität (115) zugeordnet wird.
  8. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass, vorzugsweise anhand einer Benutzereingabe, eine, insbesondere maximale, Auswahl von Authentifizierungsfaktoren (143) im Authentifizierungsparameter (142) digital hinterlegt wird, wobei die Identitätsauthentifizierung (110) nur dann erfolgreich ist, wenn die Identität (115) anhand der sämtlichen ausgewählten Authentifizierungsfaktoren (143) authentifiziert wird.
  9. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Verwaltung und/oder die Identitätsauthentifizierung (110) von einem Sicherheitsdienst (50) ausgeführt werden, wobei der Sicherheitsdienst (50) mit mindestens einem weiteren Drittdienst (60) kommuniziert, um mindestens eine dienstabhängige Identitätsauthentifizierung (120) durchzuführen.
  10. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine dienstabhängige Identitätsauthentifizierung (120) dadurch erfolgt, dass mindestens ein Drittdienst (60) eine Anfrage an einen, insbesondere zentralen und/oder einzigen, Sicherheitsdienst (50) zur Durchführung der Identitätsauthentifizierung (110) übersendet, insbesondere über eine Internetverbindung, sodass der, insbesondere jeder, Drittdienst (60), insbesondere ein Internetdienst, nur mittelbar über den Sicherheitsdienst (50) die Identitätsauthentifizierung (110) der Identität (115) durchführt.
  11. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine Anfrage eines Drittdienstes (60) zumindest eine Vergleichsinformation umfasst, welche zur dienstabhängigen Identitätsauthentifizierung (120) mit einem Identitätsattribut (141) verglichen wird, sodass nur bei einer Übereinstimmung innerhalb eines Toleranzbereiches die dienstabhängige Identitätsauthentifizierung (120) erfolgreich ist.
  12. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Toleranzbereich für die dienstabhängige Identitätsauthentifizierung (120) durch eine Benutzereingabe angepasst wird, insbesondere durch Veränderung des, vorzugsweise zumindest eines der, Authentifizierungsparameter(s) (142).
  13. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei einer dienstabhängigen Identitätsauthentifizierung (120) eine Antwort an den Drittdienst (60) übertragen wird, welche eine Information umfasst, ob die dienstabhängige Identitätsauthentifizierung (120) erfolgreich oder erfolglos ist, sodass insbesondere in Abhängigkeit von der Information ein Zugangsberechtigungscode durch den Drittdienst (60), insbesondere für den Benutzer (15), erzeugt wird.
  14. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass, vorzugsweise anhand einer Benutzereingabe und/oder eines Drittdienstes (60), eine dienstabhängige Auswahl von Authentifizierungsfaktoren (143), bevorzugt im Authentifizierungsparameter (142) und/oder separat von der Authentifizierungsvorgabe (140), digital hinterlegt wird, wobei eine dienstabhängige Identitätsauthentifizierung (120) nur dann erfolgreich ist, wenn die Identität (115) anhand der sämtlichen dienstabhängig ausgewählten Authentifizierungsfaktoren (143) authentifiziert wird.
  15. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass neben einer dienstabhängigen Auswahl von Authentifizierungsfaktoren (143) durch den Drittdienst (60) noch eine zusätzliche Auswahl von weiteren Authentifizierungsfaktoren (143) durch eine Benutzereingabe digital hinterlegt wird.
  16. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ausschließlich durch eine Benutzereingabe, insbesondere durch den Benutzer (15), insbesondere durch eine Genehmigung durch den Benutzer (15), eine inhaltliche Veränderung des Authentifizierungsbereichs (130) und/oder der Authentifizierungsvorgabe (140) durchgeführt werden kann, und insbesondere andernfalls, vorzugsweise kryptografisch, verhindert wird.
  17. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei der Drittauthentifizierung zunächst in Abhängigkeit von der Authentifizierungsvorgabe (140), insbesondere anhand des Identitätsattributs (141), vorzugsweise anhand einer Ausweis-ID und/oder einer eindeutigen Account-ID und/oder eines öffentlichen kryptografischen Schlüssels, welcher dem Authentifizierungsbereich (130) fest zugeordnet ist, ein kryptografisches Zertifikat generiert wird.
  18. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei der Drittauthentifizierung die Bestätigung (112) dadurch erfolgt, dass ein generiertes kryptografisches Zertifikat digital signiert wird und/oder an den Authentifizierungsbereich (130) übertragen und/oder darin persistent gespeichert wird.
  19. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei ausbleibender oder erfolgloser Drittauthentifizierung nach einer vordefinierten Zeitdauer der Authentifizierungsbereich (130) gelöscht wird.
  20. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei der Identitätsauthentifizierung (110), insbesondere als eine maximale Identitätsauthentifizierung (110), und/oder bei einer dienstabhängigen Identitätsauthentifizierung (120) zumindest eine Zwei-Faktor und/oder eine Drei-Faktor und/oder eine Vier-Faktor und/oder eine Fünf-Faktor Authentifizierung zum Einsatz kommt, sodass vorzugsweise eine Auswahl von mindestens drei oder vier oder fünf Authentifizierungsfaktoren (143) zur Authentifizierung genutzt wird.
  21. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein erster Authentifizierungsfaktor (143a) eine Durchführung einer Fingerabdruckauthentifizierung umfasst, insbesondere anhand eines ersten Identitätsattributs (141a), vorzugsweise in Form mindestens eines Fingerabdrucks, und/oder ein zweiter Authentifizierungsfaktor (143b) eine Durchführung einer Stimmenauthentifizierung umfasst, insbesondere anhand eines zweiten Identitätsattributs (141b), vorzugsweise in Form mindestens einer Stimmeninformation.
  22. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein erster Authentifizierungsparameter (142a) vorgesehen ist, welcher eine erste Sicherheitsstufe definiert, und ein zweiter Authentifizierungsparameter (142b) vorgesehen ist, welcher eine zweite Sicherheitsstufe definiert, welche höher als die erste Sicherheitsstufe ist, wobei die Sicherheitsstufen und/oder die Authentifizierungsparameter (142) dynamisch veränderbar ausgeführt sind.
  23. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass durch die Sicherheitsstufe eine Auswahl und/oder eine Anzahl und/oder eine Art der bei der Identitätsauthentifizierung (110) zu prüfenden Identitätsattribute (141) festgelegt wird.
  24. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass als Voraussetzung für eine inhaltliche Veränderung der Authentifizierungsvorgabe (140) die Identitätsauthentifizierung (110) als eine maximale Identitätsauthentifizierung (110) durchgeführt wird, sodass eine Sicherheitsstufe und/oder eine Anzahl von zu prüfenden Authentifizierungsfaktoren (143) im Vergleich zu weiteren dienstabhängigen Identitätsauthentifizierung (120) maximal ist.
  25. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Identitätsauthentifizierung (110) anhand einer Sensorik (10) durchgeführt wird, insbesondere dadurch, dass eine Kommunikation eines Sicherheitsdienstes (50) mit einer Sensorik (10) erfolgt, wobei vorzugsweise das Endgerät (20) die Sensorik (10) aufweist.
  26. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine Sensorik (10) zur Identitätsauthentifizierung (110) vorgesehen ist, wobei die Sensorik (10) zumindest eine der nachfolgenden Sensorikelemente umfasst: – zumindest eine Software, vorzugsweise eine Smartphone-App, wobei zur Identitätsauthentifizierung (110) die Software ausgeführt wird, vorzugsweise durch das Endgerät (20), – zumindest einen Sensor zur Positionsbestimmung, wobei zur Identitätsauthentifizierung (110) die Positionsbestimmung und/oder eine Erfassung von Bewegungsmuster insbesondere am Benutzer (15) durchgeführt wird, – zumindest ein Mikrofon, welches insbesondere mit einer Elektronik zur Stimmenerkennung verbunden ist, wobei bevorzugt zur Identitätsauthentifizierung (110) die Stimmenerkennung und/oder eine Erfassung einer Stimmenlage insbesondere am Benutzer (15) durchgeführt wird, – zumindest einen Kamerasensor, wobei insbesondere zur Identitätsauthentifizierung (110) eine Gesichtserkennung durchgeführt wird, – zumindest einen Fingerabdrucksensor, wobei vorzugsweise zur Identitätsauthentifizierung (110) ein Fingerabdruck insbesondere am Benutzer (15) ermittelt wird, – zumindest eine Datenschnittstelle, vorzugsweise eine Netzwerkschnittstelle.
  27. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei einer erfolgreichen dienstabhängigen Identitätsauthentifizierung (120) ein Zugangssystem eines Fahrzeuges (5) und/oder eine Fahrzeugfunktion und/oder eine Parametrisierung des Fahrzeuges (5) angesteuert wird.
  28. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Identitätsauthentifizierung (110) und/oder eine dienstabhängige Identitätsauthentifizierung (120) automatisch regelmäßig, insbesondere zyklisch, bevorzugt über eine Internetverbindung, durch Kommunikation mit einer Sensorik (10), durchgeführt wird.
  29. Authentifizierungsverfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei der Identitätsauthentifizierung (110) und/oder einer dienstabhängigen Identitätsauthentifizierung (120) eine, insbesondere durch den Benutzer (15) und/oder durch eine Benutzereingabe übermittelte, Vergleichsinformation mit dem mindestens einen Identitätsattribut (141), welches durch den Authentifizierungsparameter (142) vorgegeben ist, verglichen wird, sodass insbesondere bei einer Übereinstimmung innerhalb eines Toleranzbereiches die Identitätsauthentifizierung (110) und/oder die dienstabhängige Identitätsauthentifizierung (120) erfolgreich ist, wobei vorzugsweise mehrere Authentifizierungsparameter (142) jeweils unterschiedlichen dienstabhängigen Identitätsauthentifizierung (120) zugeordnet sind und/oder diesen jeweils eine Sicherheitsstufe zuweisen, wobei insbesondere eine dienstabhängige Identitätsauthentifizierung (120) der niedrigsten Sicherheitsstufe ohne Vergleich durchgeführt wird und/oder stets erfolgreich ist.
DE102016113499.6A 2016-07-21 2016-07-21 Authentifizierungsverfahren zur Authentifizierung eines Benutzers eines Endgeräts Pending DE102016113499A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102016113499.6A DE102016113499A1 (de) 2016-07-21 2016-07-21 Authentifizierungsverfahren zur Authentifizierung eines Benutzers eines Endgeräts
PCT/EP2017/068329 WO2018015481A1 (de) 2016-07-21 2017-07-20 Authentifizierungsverfahren zur authentifizierung eines benutzers eines endgeräts

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016113499.6A DE102016113499A1 (de) 2016-07-21 2016-07-21 Authentifizierungsverfahren zur Authentifizierung eines Benutzers eines Endgeräts

Publications (1)

Publication Number Publication Date
DE102016113499A1 true DE102016113499A1 (de) 2018-01-25

Family

ID=59383561

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016113499.6A Pending DE102016113499A1 (de) 2016-07-21 2016-07-21 Authentifizierungsverfahren zur Authentifizierung eines Benutzers eines Endgeräts

Country Status (2)

Country Link
DE (1) DE102016113499A1 (de)
WO (1) WO2018015481A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3518190A1 (de) * 2018-01-30 2019-07-31 Bundesdruckerei GmbH Verfahren und vorrichtung zur multi-faktor-authentifizierung
CN112835332A (zh) * 2019-11-25 2021-05-25 恩德莱斯+豪瑟尔韦泽尔有限商业两合公司 过程和自动化工程中现场设备预定安全功能设置检查方法
DE102020213522A1 (de) 2020-10-28 2022-04-28 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Betreiben eines Sicherheitssystems

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112699354A (zh) * 2019-10-22 2021-04-23 华为技术有限公司 一种用户权限管理方法及终端设备

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030115142A1 (en) * 2001-12-12 2003-06-19 Intel Corporation Identity authentication portfolio system
DE102012112808A1 (de) * 2012-12-20 2014-06-26 Huf Hülsbeck & Fürst Gmbh & Co. Kg Mobilfunktelefon zur Fernsteuerung einer Funktion einer Sicherheitsvorrichtung eines Kraftfahrzeugs
US10111093B2 (en) * 2015-01-09 2018-10-23 Qualcomm Incorporated Mobile device to provide continuous and discrete user authentication

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3518190A1 (de) * 2018-01-30 2019-07-31 Bundesdruckerei GmbH Verfahren und vorrichtung zur multi-faktor-authentifizierung
CN112835332A (zh) * 2019-11-25 2021-05-25 恩德莱斯+豪瑟尔韦泽尔有限商业两合公司 过程和自动化工程中现场设备预定安全功能设置检查方法
DE102020213522A1 (de) 2020-10-28 2022-04-28 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Betreiben eines Sicherheitssystems

Also Published As

Publication number Publication date
WO2018015481A1 (de) 2018-01-25

Similar Documents

Publication Publication Date Title
EP3256977B1 (de) Computerimplementiertes verfahren zur zugriffskontrolle
EP3336735B1 (de) Erstellen einer datenbank für eine dynamische multifaktorauthentifizierung
EP2255516B1 (de) Verfahren zur zeitweisen personalisierung einer kommunikationseinrichtung
WO2018015481A1 (de) Authentifizierungsverfahren zur authentifizierung eines benutzers eines endgeräts
EP3246839B1 (de) Zugangskontrolle mit einem mobilfunkgerät
EP4128695B1 (de) Personalisierter, serverindividueller authentifizierungsmechanismus
EP3528159B1 (de) Verfahren zur erzeugung eines pseudonyms mit hilfe eines id-tokens
EP3336732B1 (de) Nutzerauthentifizierung mit einer mehrzahl von merkmalen
EP2965490B1 (de) Verfahren zum authentifizieren von personen
EP3540623B1 (de) Verfahren zur erzeugung eines pseudonyms mit hilfe eines id-tokens
WO2022175399A1 (de) Auslesen von identitätsattributen mit einem entfernte sicherheitselement
EP3336736B1 (de) Hilfs-id-token zur multi-faktor-authentifizierung
DE102011119103A1 (de) Verfahren zum Authentisieren einer Person an einer Serverinstanz
EP3244331A1 (de) Verfahren zum lesen von attributen aus einem id-token
DE102021103997A1 (de) Nutzerauthentifizierung unter Verwendung zweier unabhängiger Sicherheitselemente
EP3125464A1 (de) Sperrdienst für ein durch einen id-token erzeugtes zertifikat
EP3304807B1 (de) Identifikation einer person auf der basis eines transformierten biometrischen referenzmerkmals
WO2016188785A1 (de) Identifikation einer person auf der basis eines transformierten biometrischen referenzmerkmals
DE102021103994A1 (de) Authentisierung unter Verwendung einer Mehrzahl von elektronischen Identitäten
DE102021103993A1 (de) Initialisieren applikationsspezifischer kryptographischer Sicherheitsfunktionen
EP4295536A1 (de) Auslesen lokal gespeicherter verschlüsselter identitätsattribute
EP3552189A1 (de) Chipimplantat mit zweifaktorauthentifizierung
DE102017104916A1 (de) Verfahren zum Bereitstellen einer Passphrase sowie biometrisches Gerät
DE102014116145A1 (de) System und Verfahren zur Benutzerauthentifizierung mittels Transformation digitalisierter biometrischer Merkmale

Legal Events

Date Code Title Description
R082 Change of representative

Representative=s name: BALS & VOGEL PATENTANWAELTE PARTG MBB, DE

R012 Request for examination validly filed