-
Die vorliegende Erfindung bezieht sich auf ein Verfahren zur Authentifizierung eines Nutzers und auf ein Authentifizierungssystem zum Durchführen eines derartigen Verfahrens. Die vorliegende Erfindung bezieht sich ferner auf eine Vorrichtung mit einer Steuerungseinheit, um eine drahtlose optische Signalquelle zur drahtlosen optischen Authentifizierung zu steuern. Die vorliegende Erfindung bezieht sich insbesondere auf eine optisch drahtlose Zwei-Stufen-Authentifizierung mittels eines Li-Fi Schlüssels (Li-Fi = Light Fidelity, drahtlose optische Datenübertragung).
-
Sichere Authentifizierung im Netz ist noch immer ein ungelöstes Problem. Zwar existieren eine Reihe von Sicherheitsverschlüsselungen und Anmeldungsverfahren, der größte Unsicherheitsfaktor bleibt in den meisten Anwendungen jedoch der Nutzer selbst.
-
Für Onlinebanking oder etwaige Anmeldungen bei beliebigen Portalen oder Angeboten werden Passwörter verwendet und sogenannte Transaktionsnummer (TAN) vergeben. Ein sicheres Passwort ist jedoch schwer zu merken und wird von den wenigsten Nutzern verwendet. Auch die Disziplin regelmäßig das Passwort zu wechseln, ist in der Bevölkerung eher nicht gegeben. Unsichere Passwörter lassen sich durch sogenannte Brute-Force-Attacken (Methode der rohen Gewalt oder Exhaustionsmethode oder erschöpfende Suche knacken). Darüber hinaus gibt es eine Reihe an anderen Möglichkeiten, wie sich Betrüger Passwörter, Anmeldenamen und TANs beschaffen. Um den Sicherheitsaspekt besonders beim Onlinebanking zu erhöhen, wird inzwischen von vielen Banken ein zweistufiges Identifikationsverfahren eingesetzt. Dazu wird die TAN nicht mehr wie bisher bei dem Nutzer verwahrt, sondern während des Auftragsvorgangs generiert. Dabei sind folgende Techniken etabliert.
- • smsTAN: der Nutzer bekommt an sein Mobiltelefon die TAN per SMS gesendet.
- • pushTAN: beim pushTAN erhält der Nutzer die TAN über eine separate App auf dem Smartphone
- • chipTAN: das chipTAN Verfahren generiert die TAN mithilfe eines TAN-Generators.
-
Dies ist ein kleines Gerät in welchem die Chipkarte des Nutzers gesteckt wird und die aus der Kombination der Überweisungsdaten mit der Chipkarte die TAN erzeugt.
-
Bei der smsTAN kann die SMS abgefangen oder weitergeleitet werden. Zum Weiterleiten einer SMS gibt es eine ganze Reihe an Apps, die sogar legal und kostenlos installiert werden können. Auch das pushTAN Verfahren ist angreifbar, wenn das Smartphone gehackt (mit schädlicher Software infiziert) wurde, so dass der Angreifer von der Ferne aus die Daten abgreifen kann. Das chipTAN Verfahren ist nur dann angreifbar, wenn der Angreifer in Besitz der Chipkarte kommt. Damit ist das Verfahren jedoch auch nur für Anwendungen nutzbar, wo der Nutzer eine entsprechende Chipkarte besitzt. Alle genannten Verfahren haben gemeinsam, dass sie eine manuelle Interaktion des Nutzers erfordern.
-
Eine Zwei-Stufen-Authentifizierung ist jedoch generell in verschiedenen Anwendungsfeldern möglich. Das Onlinebanking ist dabei nur eine Anwendung, bei der es schon seit Längerem eingesetzt wird. Exemplarisch können weiterfolgende Anwendungen genannt werden:
- • Anmeldung bei einem Onlineservice
- • Anmeldung an einem Nutzerterminal
- • Registrierung an einem Rechner oder einer Workstation
- • Zugriff auf Maschinendaten in der Industrie
- • Zugangsberechtigung zu Gebäuden oder Räumen
-
Wünschenswert wären demnach Verfahren und Vorrichtungen zum sicheren Authentifizieren von Nutzern.
-
Eine Aufgabe der vorliegenden Erfindung besteht deshalb darin, ein Verfahren, ein Authentifizierungssystem und eine Vorrichtung zu schaffen, die eine sichere Authentifizierung eines Nutzers ermöglichen. Diese Aufgabe wird durch den Gegenstand der unabhängigen Patentansprüche gelöst.
-
Der Erfinder hat erkannt, dass durch Ausnutzen eines drahtlosen optischen Signals für die Datenübermittlung im Rahmen eine Nutzerauthentifizierung mehrere synergetisch wirkende Aspekte des drahtlosen optischen Signals genutzt werden können. Zum einen weist das drahtlose optische Signal eine starke lokale Begrenzung auf, die sicherstellt, dass das drahtlose optische Signal aus diesem lokalen Bereich gesendet wird oder dort empfangen wird, was einen sogenannten Man-in-the-Middle-Angriff oder sonstige Versuche zum Datenabgriff erschwert, gleichzeitig kann eine einfache und eindeutige Zuordnung von Signalquelle zur Signalsenke basierend auf einer Sichtverbindung erfolgen, so dass insgesamt eine sehr sichere Zuordnung zwischen Signalquelle und Signalsenke erfolgen kann, was eine sichere Authentifizierung ermöglicht.
-
Gemäß einem Ausführungsbeispiel umfasst ein Verfahren zur Authentifizierung eines Nutzers ein Senden eines ersten Datensignals an eine dem Nutzer zugeordnete Schlüsselvorrichtung. Das Verfahren umfasst ferner ein Senden eines zweiten Datensignals mittels der Schlüsselvorrichtung basierend auf dem ersten Datensignal und ein Authentifizieren des Nutzers basierend auf dem zweiten Datensignal. Das erste Datensignal und/oder das zweite Datensignal wird als drahtloses optisches Datensignal gesendet. Dies ermöglicht es, festzustellen, dass der Nutzer in dem durch das Verwenden des drahtlosen optischen Signals vorgegebenen Bereich anwesend ist.
-
Ausführungsbeispiele sehen vor, dass das Verfahren ein Bestimmen einer Anwesenheit der Schlüsselvorrichtung basierend auf einem Empfang des zweiten Datensignals umfasst, so dass das Authentifizieren basierend auf der Anwesenheit der Schlüsselvorrichtung erfolgt. Dies ermöglicht die explizite oder implizite Bestimmung, dass der der Schlüsselvorrichtung zugeordnete Nutzer an dem vorgegebenen Ort ist, was eine böswillige fehlerhafte Authentifizierung zumindest teilweise verhindert.
-
Gemäß einem Ausführungsbeispiel wird das erste Datensignal als drahtloses optisches Datensignal mit einer drahtlosen optischen Signalquelle gesendet und eine Anwesenheit der Schlüsselvorrichtung in einem Sendebereich der drahtlosen optischen Signalquelle bestimmt. Alternativ oder zusätzlich wird das zweite Datensignal als drahtloses optisches Datensignal von einer drahtlosen optischen Empfangsvorrichtung empfangen und eine Anwesenheit der Schlüsselvorrichtung in einem Empfangsbereich der drahtlosen optischen Empfangsvorrichtung bestimmt. Dies kann explizit dadurch erfolgen, dass das Datensignal ausgewertet wird, kann aber auch implizit dadurch erfolgen, dass eine entsprechende Signalübertragung erfolgreich ist. Dies ermöglicht die lokalisierte Zuordnung einer Position der Schlüsselvorrichtung und des hierzu zugeordneten Nutzers.
-
Gemäß einem Ausführungsbeispiel wird das erste Datensignal als drahtloses optisches Signal an die Schlüsselvorrichtung gesendet und das zweite Datensignal wird als drahtloses optisches Signal gesendet, beispielweise an eine Quelle des ersten Datensignals und/oder an eine andere Vorrichtung. Optische Datensignale ermöglichen eine hohe Datenübertragungsrate bei Vermeidung von Kabeln und Funksignalen.
-
Gemäß einem Ausführungsbeispiel ist die Authentifizierung eine zumindest zweistufige Authentifizierung. Das Verfahren umfasst ein Durchführen einer ersten Teil-Authentifizierung vor dem Authentifizieren des Nutzers basierend auf dem zweiten Datensignal und ein Durchführen einer zweiten Teil-Authentifizierung basierend auf dem Senden des ersten Datensignals und/oder des zweiten Datensignals als drahtloses optisches Datensignal. Das bedeutet, das drahtlose optische Datensignal wird als höhere, bestätigende Stufe eines zumindest zweistufigen Authentifizierungsverfahrens genutzt, was eine sichere Authentifizierung des Nutzers ermöglicht.
-
Gemäß einem Ausführungsbeispiel wird die ersten Teil-Authentifizierung unter Verwendung einer Vorrichtung ausgeführt und die zweite Teil-Authentifizierung wird ausgeführt, um die Anwesenheit des Nutzers benachbart zu der Vorrichtung zu bestätigen. Dies ermöglicht eine hohe Sicherheit insbesondere dahin gehend, wenn sichere oder geheimhaltungsbedürftige Informationen an der Vorrichtung dargestellt, abgefragt oder ausgegeben werden und/oder wenn beispielsweise Güter von der Vorrichtung zur Verfügung gestellt werden.
-
Gemäß einem Ausführungsbeispiel umfasst ein Verfahren ein Einrichten eines Kommunikationsbereichs in welchem eine drahtlose optische Kommunikation bereitgestellt wird. Das Verfahren umfasst ferner ein Positionieren der Schlüsselvorrichtung in dem Kommunikationsbereich. Das Verfahren wird so ausgeführt, dass das Senden des drahtlosen optischen Datensignals mit einer Anwesenheit des der Schlüsselvorrichtung zugeordneten Nutzers in oder benachbart zu dem Kommunikationsbereich assoziiert ist. Dies stellt ein hohes Maß an Sicherheit bereit, da die Anwesenheit des Nutzers auch so ausgelegt werden kann, dass ggf. eine Intervention gegenüber betrügerischen Handlungen vorgenommen werden kann.
-
Gemäß einem Ausführungsbeispiel wird das Senden des zweiten Datensignals mit der Schlüsselvorrichtung automatisch ausgeführt. Dies ermöglicht die Vermeidung zeitaufwendiger und/oder komplizierter Benutzereingaben für die Authentifizierung.
-
Gemäß einem Ausführungsbeispiel werden mittels des ersten Datensignals Informationen an die Schlüsselvorrichtung übermittelt. Das Verfahren umfasst ferner das Empfangen einer Benutzereingabe mit der Schlüsselvorrichtung und ein Bereitstellen des zweiten Datensignals oder eines dritten Datensignals basierend auf der Benutzereingabe. Dies ermöglicht ein zusätzliches Sicherheitslevel, da eine vordefinierte oder zu bestimmende Benutzereingabe ein weiteres, einem potentiellen Angreifer unbekanntes, Geheimnis darstellen kann. Dieses Ausführungsbeispiel lässt sich mit der automatischen Übermittlung des zweiten Datensignals beispielsweise so kombinieren, dass die Benutzereingabe schon vorab, das heißt, vor Übermittlung des zweiten Datensignals und/oder vor Übermittlung des ersten Datensignals, von der Schlüsselvorrichtung empfangen wird. Das erste Datensignal kann als Trigger oder Auslöser für die Übermittlung des somit vordefinierten zweiten Datensignals aufgefasst werden. Es ist alternativ oder zusätzlich vorstellbar, eine Entscheidung darüber, ob das zweite Datensignal zufällig übermittelt wird oder eine Benutzereingabe erforderlich ist, zufällig für die jeweilige Authentifizierung zu treffen, wobei die Zufälligkeit ebenfalls ein Sicherheitsmaß bereitstellt.
-
Gemäß einem Ausführungsbeispiel ist das zweite Datensignal der Schlüsselvorrichtung zugeordnet. Das bedeutet, das zweite Datensignal kann eine Identifikation der Schlüsselvorrichtung ermöglichen. Das Verfahren umfasst ein Empfangen des zweiten Datensignals, ein Auswerten des zweiten Datensignal, ob die Schlüsselvorrichtung einer vorbestimmten Schlüsselvorrichtung entspricht, wobei der Schritt des Authentifizierens nur dann ausgeführt wird, wenn die Schlüsselvorrichtung der vordefinierten Schlüsselvorrichtung entspricht. Das bedeutet, die Schlüsselvorrichtung kann über Zugangsberechtigungen und/oder Berechtigungen zum Nutzen von Diensten entscheiden.
-
Gemäß einem Ausführungsbeispiel umfasst ein Verfahren ein Ausgeben eines Datensignals, dass die Schlüsselvorrichtung nicht der vordefinierten Schlüsselvorrichtung entspricht und/oder ein Verweigern einer von der Authentifizierung abhängigen Berechtigung basierend darauf, dass die Schlüsselvorrichtung nicht der vordefinierten Schlüsselvorrichtung entspricht. Dies ermöglicht sowohl die Verweigerung von Diensten durch Ablehnen der Authentifizierung als auch das Ausgeben entsprechender Alarme oder Hinweise, um die Sicherheit weiter zu erhöhen.
-
Gemäß einem Ausführungsbeispiel ist ein Authentifizierungssystem zum Durchführen eines erfindungsgemäßen Verfahrens eingerichtet.
-
Gemäß einem Ausführungsbeispiel umfasst das Authentifizierungssystem eine Vorrichtung, für deren Betrieb das Authentifizieren ausgeführt wird. Hierbei kann es sich sowohl um eine einen entsprechenden Dienst bereitstellende Vorrichtung handeln, eine eine Funktionalität bereitstellende Vorrichtung, etwa eine Tür, ein Rechner, der Start einer Maschine oder dergleichen, aber auch ein Bedienerterminal zum Zugang für einen Dienst, der entfernt ausgeführt wird. Das Authentifizierungssystem umfasst ferner einen drahtlosen optischen Hot-Spot, also eine Einrichtung zum Senden und/oder Empfangen von drahtlosen optischen Signalen. Dies ermöglicht die Zuordnung und/oder das Implementieren einer Kontrolle, ob der Nutzer bzw. die zugeordnete Schlüsselvorrichtung in einem Sendebereich oder Empfangsbereich des Hot-Spots ist, was ein zusätzliches Sicherheitsmerkmal darstellt.
-
Gemäß einem Ausführungsbeispiel umfasst das Authentifizierungssystem eine Steuerungseinheit, die ausgebildet ist, um basierend auf einem von der Vorrichtung empfangenen Anfrage-Signal, beispielsweise ein Request, ein Anweisungs-Signal, das bedeutet, Instruktionen, an den drahtlosen optischen Hot-Spot zu senden, wobei die Instruktionen bzw. das Anweisungs-Signal eine Anweisung enthält, das drahtlose optische Datensignal zu senden oder zu empfangen. Eine Anweisung zum Empfangen kann beispielsweise die Aktivierung entsprechender Schnittstellen umfassen und/oder das Herstellen einer Empfangsbereitschaft.
-
Gemäß einem Ausführungsbeispiel ist der drahtlose optische Hot-Spot ausgebildet, um ein Signal bereitzustellen, dass ein Ergebnis des Authentifizierens angibt. Dies ermöglicht es, die Authentifizierung zumindest in dem Umfang des optischen drahtlosen Signals durch den Hot-Spot bereitzustellen, so dass der Vorrichtung oder dem Dienst, der beispielsweise die Zwei-Stufen-Authentifizierung ausführt, lediglich ein positives und/oder negatives Ergebnis der Authentifizierung bereitgestellt werden kann, was einen geringen Anpassungsaufwand auf Dienst-Seite bedeuten kann.
-
Gemäß einem Ausführungsbeispiel ist die Steuerungseinheit zumindest teilweise als Teil des drahtlosen optischen Hot-Spots und/oder zumindest teilweise als Teil der Vorrichtung angeordnet. Dies ermöglicht die Vermeidung weiterer, zusätzlicher Komponenten.
-
Gemäß einem Ausführungsbeispiel umfasst eine Vorrichtung eine Steuerungseinheit, die ausgebildet ist, um eine drahtlose optische Signalquelle und eine Mehrzahl von Vorrichtungen zur drahtlosen optischen Authentifizierung unter Verwendung zumindest eines drahtlosen optischen Datensignals zu steuern.
-
Gemäß einem Ausführungsbeispiel ist die Steuerungseinheit ausgebildet, um einer ersten Vorrichtung aus der Mehrzahl von Vorrichtungen ein erstes Datensignal bereitzustellen, das Informationen aufweist, die ausgelegt sind, um die erste Vorrichtung so zu steuern, dass die erste Vorrichtung mittels eines ersten drahtlosen optischen Datensignals Informationen von einer zweiten Vorrichtung der Mehrzahl von Vorrichtungen anfordert, ob eine dritte Vorrichtung der Mehrzahl von Vorrichtungen, beispielsweise die Schlüsselvorrichtung, zu einer drahtlosen optischen Datenverbindung in einem vorbestimmten Kommunikationsbereich positioniert ist.
-
Weitere vorteilhafte Ausgestaltungen sind in weiteren Ausführungsbeispielen definiert.
-
Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden Zeichnungen erläutert. Es zeigen:
- 1a eine schematisches Ablaufdiagramm eines Verfahrens gemäß einem Ausführungsbeispiel;
- 1b ein schematisches Ablaufdiagramm eines Verfahrens gemäß einem Ausführungsbeispiel, bei dem die Anwesenheit eines Nutzers bestimmt wird;
- 2 ein schematisches Ablaufdiagramm eines Verfahrens gemäß einem Ausführungsbeispiel, bei dem die Authentifizierung des Nutzers eine zumindest zweistufige Authentifizierung ist;
- 3 ein schematisches Ablaufdiagramm eines Verfahrens gemäß einem Ausführungsbeispiel, einen Schritt zum Einrichten eines Kommunikationsbereichs umfasst;
- 4 ein schematisches Ablaufdiagramm eines Verfahrens gemäß einem Ausführungsbeispiel mit einem Schritt zum Übermitteln von Informationen an eine Schlüsselvorrichtung mittels des ersten Datensignals;
- 5 ein schematisches Ablaufdiagramm eines Verfahrens gemäß einem Ausführungsbeispiel, das beispielsweise als Teil anderer hierin beschriebener Verfahrens ausgeführt werden kann;
- 6a ein schematisches Blockschaltbild eines Authentifizierungssystems gemäß einem Ausführungsbeispiel, das ausgebildet ist, um das zweite Datensignal drahtlos optisch zu senden;
- 6b ein schematisches Blockschaltbild eines Authentifizierungssystems gemäß einem Ausführungsbeispiel, bei dem das erste Datensignal als drahtloses optisches Datensignal gesendet wird;
- 7 ein schematisches Blockschaltbild eines Authentifizierungssystems gemäß einem Ausführungsbeispiel, das eine Vorrichtung umfasst, für deren Betrieb das Authentifizieren ausgeführt wird;
- 8 ein schematisches Blockschaltbild eines Authentifizierungssystems gemäß einem Ausführungsbeispiel, das eine Steuerungseinheit aufweist; und
- 9 ein schematisches Blockschaltbild eines Authentifizierungssystems gemäß einem Ausführungsbeispiel, bei dem die Steuerungseinheit als Teil eines Hot-Spots oder der Vorrichtung ganz oder teilweise implementiert ist.
-
Bevor nachfolgend Ausführungsbeispiele der vorliegenden Erfindung im Detail anhand der Zeichnungen näher erläutert werden, wird darauf hingewiesen, dass identische, funktionsgleiche oder gleichwirkende Elemente, Objekte und/oder Strukturen in den unterschiedlichen Figuren mit den gleichen Bezugszeichen versehen sind, so dass die in unterschiedlichen Ausführungsbeispielen dargestellte Beschreibung dieser Elemente untereinander austauschbar ist bzw. aufeinander angewendet werden kann.
-
Nachfolgende Ausführungsbeispiele beziehen sich auf eine drahtlose optische Signalübertragung oder Datenübertragung. Diese wird im Rahmen der hierin beschriebenen Ausführungsbeispiele auch als Li-Fi (Light Fidelity; Lichtübertragung) bezeichnet. Der Begriff Li-Fi bezieht sich dabei auch auf Begriffe wie IrDA (Infrared Data Association) oder OWC (Optical Wireless Communication; optische drahtlose Kommunikation)] Das bedeutet, die Ausdrücke drahtlose optische Datenübertragung und Li-Fi werden synonym verwendet. Als optische drahtlose Datenübertragung wird hierbei verstanden, ein elektromagnetisches Signal durch ein freies Übertragungsmedium, beispielsweise Luft oder ein anderes Fluid, zu übertragen. Hierfür können beispielsweise Wellenlängen zwischen dem ultravioletten (UV) Bereich mit zumindest 350 nm und dem Infrarotbereich, beispielsweise höchstens 1550 nm verwendet werden, wobei auch andere Wellenlängen möglich sind, die sich von für Funkstandards benutzten Wellenlängen unterscheiden. Eine drahtlose optische Datenübertragung ist auch von einer drahtgebundenen optischen Datenübertragung zu unterscheiden, die beispielsweise mittels Lichtwellenleiter oder Lichtwellenleiterkabel erhalten wird.
-
Ausführungsbeispiele im Zusammenhang mit der vorliegenden Erfindung beziehen sich ferner auf die Authentifizierung eines Nutzers. Dies bezieht sich sowohl auf die Authentifizierung einer Person des Nutzers als auch auf die Authentifizierung von Gruppen von Nutzern. Für die persönliche Authentifizierung eines Nutzers ist der Zugang zu einem persönlichen Konto beispielhaft. Für die Authentifizierung eines Mitglieds einer Gruppe kann beispielsweise eine Gruppe von Personen dienen, die Zugang zu einem bestimmten Bereich oder zu einem bestimmten Dienst besitzen und deren Berechtigung abgefragt wird. Die hierin beschriebenen Ausführungsbeispiele bedienen sich hierfür einer Schlüsselvorrichtung, die ausgebildet ist, um ein Datensignal auszusenden. Dieses Datensignal kann eine vorbestimmte Kennung aussenden, beispielsweise eine Kennung eines der Schlüsselvorrichtung zugeordneten Nutzers oder einer Gruppe von Nutzern oder der Schlüsselvorrichtung selbst. Alternativ kann das Datensignal auch ein Ergebnis verarbeiteter Informationen umfassen, wie etwa einen Schlüssel, eine TAN oder ein Passwort, welches basierend auf einem empfangenen Datensignal, ggf. unter Zuhilfenahme einer Benutzereingabe erstellt wurde. Die hierin referenzierte Nutzer-Authentifizierung ist somit abzugrenzen von einer Authentifizierung, wie sie im Rahmen eines drahtgebundenen oder drahtlosen Kommunikationsaufbaus erfolgt, wo beispielsweise Einzelheiten eines Übertragungsprotokolls zwischen Vorrichtungen übermittelt oder abgestimmt werden.
-
Hierin beschriebene Datensignale können dabei eine codierte Information, die sich von anderen Signalen, beispielsweise einer optischen Erkennung von Mustern, etwa im Zuge eines Iris-Scans oder eines Fingerabdrucks unterscheiden.
-
1a zeigt eine schematisches Ablaufdiagramm eines Verfahrens 100 gemäß einem Ausführungsbeispiel. Das Verfahren dient zur Authentifizierung eines Nutzers. Ein Schritt 110 umfasst ein Senden eines ersten Datensignals an eine dem Nutzer zugeordnete Schlüsselvorrichtung. Das erste Datensignal kann eine Aufforderung enthalten, die eine Schlüsselvorrichtung dazu auffordert, eine Antwort zu senden, so dass basierend auf der Antwort Kenntnis davon erhalten werden kann, dass der Aufforderung nachgekommen wurde.
-
Ein Schritt 120 umfasst ein Senden eines zweiten Datensignals mit der Schlüsselvorrichtung basierend auf dem ersten Datensignal. Das zweite Datensignal kann dabei eine simple Antwort ohne eigene Informationsausgestaltung sein, da bereits der zeitliche Zusammenhang eine Information darüber liefern kann, dass der Aufforderung zur Sendung des zweiten Datensignals nachgekommen wurde. Alternativ kann das zweite Datensignal eine Antwort (Response) auf eine durch das erste Datensignal übermittelte Anfrage oder Herausforderung (Challenge) sein, also eine angepasste Antwort ist. So kann das erste Datensignal bspw. kodiert sein, so dass nur eine zur Dekodierung eingerichtete oder berechtigte Schlüsselvorrichtung in der Lage ist, das zweite Datensignal nach erfolgreicher Dekodierung zu senden, etwa indem eine Antwort abgeleitet wird oder überhaupt die Anforderung zum Senden des zweiten Datensignals erkannt wird. Ein derartiges Challenge/Response-Verfahren kann so ausgestaltet sein, dass eine Antwort/Response vorab unbekannt ist und nach festgelegten Regeln erst aus einem Inhalt des ersten Datensignals bestimmt oder abgeleitet wird, kann aber alternativ oder zusätzlich auch so erfolgen, dass eine Information oder ein Datensatz aus einer Vielzahl von unterschiedlichen Informationen in Abhängigkeit eines Inhalts des ersten Datensignals ausgewählt wird und in das zweite Datensignal eingefügt wird. Ein Ableiten des Inhalts kann bspw. eine Anwendung zumindest einer speziellen Datenoperation umfassen, etwa eine zumindest teilweise Invertierung, Multiplikation, Division, Addition oder Subtraktion eines Zahlenwerts oder dergleichen umfasst.
-
Alternativ oder zusätzlich kann das erste und/oder zweite Datensignal auch eine darüber hinausgehende Information aufweisen, bspw. eine Kennung des Nutzers, der Schlüsselvorrichtung oder eine andere zu verarbeitende oder verarbeitete Information eines Challenge/Response-Verfahrens. Die zusätzliche Information kann alternativ oder zusätzlich auch eine Information aufweisen, an welchen Orten die Schlüsselvorrichtung bereits war, etwa während des Tages, der Woche oder der Lebenszeit, etwa als Koordinaten oder Kennung einer Vorrichtung, mit der die Schlüsselvorrichtung kommuniziert hat. Auch kann eine Information, etwa ein Zähler, angegeben werden, wie oft die Schlüsselvorrichtung bereits innerhalb eines Zeitraums ausgelesen oder angesprochen wurde, etwa um betrügerische Operationen zu erkennen.
-
Der Schritt 120 kann als Reaktion auf den Schritt 110 erfolgen, d. h., das Senden 120 des zweiten Datensignals kann als Antwort auf das erste Datensignal erfolgen. Anders ausgedrückt sehen Ausführungsbeispiele vor, dass das zweite Datensignal anders als in bekannten Systemen nicht selbsttätig oder kontinuierlich ausgesendet wird, sondern eine Antwort auf das erste Datensignal ist, was eine energieeffiziente Kommunikation ermöglicht.
-
Ein Schritt 130 umfasst ein Authentifizieren des Nutzers basierend auf dem zweiten Datensignal. Das Verfahren ist so eingerichtet, dass gemäß 140 das erste Datensignal und/oder das zweite Datensignal als drahtloses optisches Datensignal gesendet wird. Das bedeutet, das Verfahren 100 bedient sich Li-Fi, um sicherzustellen, dass das drahtlose optische Datensignal aus einem bestimmten Bereich und/oder von einer bestimmten Vorrichtung gesendet wird bzw. dass sich die Schlüsselvorrichtung, wenn das zweite Datensignal als drahtloses optisches Datensignal empfangen wird, in einem entsprechenden benachbarten oder entfernten Kommunikations- oder Empfangsbereich befindet.
-
1b zeigt ein schematisches Ablaufdiagramm eines Verfahrens 150 gemäß einem Ausführungsbeispiel, das die Schritte 110 und 120 aufweist, wie sie im Zusammenhang mit der 1a beschrieben sind. Das Verfahren 150 weist gegenüber dem Verfahren 100 ferner einen Schritt 160 auf, durch den eine Anwesenheit der Schlüsselvorrichtung basierend auf einem Empfang des zweiten Datensignals bestimmt wird. Das bedeutet, der Empfang des zweiten Datensignals wird mit einer Anwesenheit des Nutzers assoziiert, wobei die Assoziierung implizit oder explizit erfolgen kann. Das bedeutet, eine datenverarbeitende Vorrichtung kann bereits daraus auf die Anwesenheit der Schlüsselvorrichtung schließen, wenn das zweite Datensignal empfangen wird, kann aber auch explizit darauf schließen, indem die Anwesenheit festgesellt wird. Dies kann beispielsweise wiederholt oder zyklisch erfolgen, so dass eine zyklisch aktualisierte Information in der datenverarbeitenden Vorrichtung angeben kann, ob sich derzeit ein Nutzer oder der Nutzer in einem vorbestimmten Kommunikationsbereich befindet oder nicht. Dies kann insbesondere dadurch verbessert werden, indem das erste Datensignal als drahtloses optisches Datensignal in einen Sendebereich, das heißt, einen von der Signalquelle beleuchteten Bereich, so dass aus einem Empfang des zweiten Datensignals geschlossen werden kann, dass das erste Datensignal empfangen wurde und sich somit die Schlüsselvorrichtung in dem Sendebereich befindet oder zumindest zum Zeitpunkt des Sendens des ersten Datensignals befunden hat. Alternativ oder zusätzlich kann das zweite Datensignal als drahtloses optisches Datensignal von einer drahtlosen optischen Empfangsvorrichtung empfangen werden. Das Bestimmen der Anwesenheit kann dadurch erfolgen, dass die Schlüsselvorrichtung zum Zeitpunkt des Sendens des zweiten Datensignals in einem Empfangsbereich, aus welchem drahtlose optische Datensignale empfangen werden können, angeordnet ist.
-
Das Verfahren 150 umfasst einen Schritt 130', bei dem das Authentifizieren des Nutzers basierend auf der bestimmten Anwesenheit, das bedeutet, basierend auf einem Ergebnis des Schritts 160 erfolgt. Auch das Verfahren 150 ist gemäß 140 so eingerichtet, dass das erste Datensignal und/oder das zweite Datensignal als drahtloses optisches Datensignal gesendet wird.
-
Die Verfahren 100 und 150 sind so beschrieben, dass zumindest eines der Datensignal drahtlos optisch gesendet wird. Es besteht jedoch ebenfalls die Möglichkeit, beide Datensignale als drahtloses optisches Datensignal zu senden.
-
2 zeigt ein schematisches Ablaufdiagramm eines Verfahrens 200 gemäß einem Ausführungsbeispiel, bei dem die Authentifizierung des Nutzers eine zumindest zweistufige Authentifizierung ist. In einem Schritt 210 erfolgt ein Durchführen einer ersten Teil-Authentifizierung vor dem Authentifizieren des Nutzers basierend auf dem zweiten Datensignal. Ein Schritt 220 umfasst ein Durchführen einer zweiten Teil-Authentifizierung basierend auf dem Senden des ersten Datensignals und/oder des zweiten Datensignals als drahtloses optisches Datensignal, beispielsweise durch Ausführen des Verfahrens 100 und/oder 150.
-
Die zeitliche Reihenfolge dahin gehend, dass das Durchführen der ersten Teil-Authentifizierung vor dem Authentifizieren des Nutzers basierend auf dem zweiten Datensignal erfolgt, schränkt die Ausführungsbeispiele nicht dahin gehend ein, dass die erste Teil-Authentifizierung vor dem Schritt 220 abgeschlossen sein muss. Vielmehr sehen Ausführungsbeispiele ebenfalls vor, dass ein Teilergebnis der ersten Teil-Authentifizierung, beispielsweise ein erfolgreich eingegebenes Passwort, die zweite Teil-Authentifizierung ermöglicht oder auslöst und ein Ergebnis der zweiten Teil-Authentifizierung des Schritts 220, ein gemeinsames Ergebnis für die Schritte 210 und 20 darstellt.
-
Die erste Teil-Authentifizierung kann unter Verwendung einer Vorrichtung ausgeführt werden. Die zweite Teil-Authentifizierung gemäß dem Schritt 220 kann ausgeführt werden, um beispielsweise zu bestätigen oder sicherzustellen, dass der Nutzer benachbart zu der Vorrichtung positioniert ist, das bedeutet, anwesend ist. Wird beispielsweise das Beispiel „Onlinebanking“, so kann durch die Bestätigung der Anwesenheit des Nutzers sichergestellt werden, dass die übermittelten Informationen nicht von einem anderen Ort übermittelt wurden und dabei lediglich vorgespielt wurde, dass ein bestimmtes Terminal, die Vorrichtung, benutzt wurde. Eine benachbarte Anwesenheit des Nutzers ist dabei beispielhaft, da es Vorteile bietet direkt am Eingabeterminal oder einer anderen jeweilig benutzten Vorrichtung positioniert zu sein. Alternativ kann der entsprechende Bereich auch an einer beliebigen anderen vordefinierten Stelle eingerichtet werden, so dass die Anwesenheit des Nutzers an dieser vordefinierten Stelle überprüft werden kann. Eine erste Stufe und eine zweite Stufe der Authentifizierung kann dabei in beliebiger Reihenfolge und/oder zumindest teilweise gleichzeitig ausgeführt werden.
-
3 zeigt ein schematisches Ablaufdiagramm eines Verfahrens 300 gemäß einem Ausführungsbeispiel. Das Verfahren 300 umfasst einen Schritt 310, bei dem ein Einrichten eines Kommunikationsbereichs erfolgt, in welchem eine drahtlose optische Kommunikation bereitgestellt wird. Je nach Anforderung kann diese drahtlose optische Kommunikation unidirektional sein und beispielsweise in Richtung der Schlüsselvorrichtung eingerichtet sein oder zum Empfang von der Schlüsselvorrichtung. Alternativ kann auch eine bidirektionale Kommunikation eingerichtet werden, insbesondere, um einen Austausch des ersten Datensignals und des zweiten Datensignals als drahtlose optische Datensignale zu ermöglichen.
-
Ein Schritt 320 umfasst ein Positionieren der Schlüsselvorrichtung in dem Kommunikationsbereich, so dass das Senden des drahtlosen optischen Datensignals mit einer Anwesenheit des der Schlüsselvorrichtung zugeordneten Nutzers in oder benachbart zu dem Kommunikationsbereich assoziiert ist. Dies kann dadurch erfolgen, dass beispielweise ein Senden bzw. ein Empfangen des drahtlosen optischen Datensignals außerhalb des Kommunikationsbereichs verhindert ist oder, anders ausgedrückt, nur innerhalb des Kommunikationsbereichs möglich ist. Sobald die Kommunikation also erfolgreich ausgeführt wird, kann daraus geschlossen werden, dass die Schlüsselvorrichtung in dem Kommunikationsspeicher angeordnet ist und dass sich der Nutzer in der Nachbarschaft hierzu befindet.
-
Ein Schritt 330 umfasst ein Ausführen eines Verfahrens zur Authentifizierung unter Verwendung des drahtlosen optischen Signals, beispielsweise das Verfahren 110, 150 oder 200.
-
Auf den Empfang des ersten Datensignals hin kann die Schlüsselvorrichtung, das zweite Datensignal automatisch senden. Ein automatisches Senden kann bedeuten, dass es keiner Dateneingabe oder keiner Benutzereingabe auf das erste Datensignal hin bedarf. Dies ermöglicht eine einfache Zwei-Stufen-Authentifizierung und/oder ein automatisches Entsperren eines Rechners. So kann beispielsweise das Ablegen der Schlüsselvorrichtung in einem entsprechend eingerichteten Kommunikationsbereich dazu führen, dass automatisch ein bestimmter Dienst freigegeben wird, wie eben beispielsweise der Zugang zu einem Rechner. Dies verhindert nicht, dass im zeitlichen Wechsel oder für andere Dienste, eine Dateneingabe oder Benutzereingabe erfolgt oder erforderlich ist.
-
4 zeigt ein schematisches Ablaufdiagramm eines Verfahrens 400. Ein Schritt 410 umfasst ein Übermitteln von Informationen an die Schlüsselvorrichtung mittels des ersten Datensignals. Hierbei sind Informationen beinhaltet, die über eine reine Aufforderung zum Senden eines Signals hinausgehen und Informationen aufweisen, die von der Schlüsselvorrichtung weiterverarbeitet werden, bspw. um eine hieraus abgeleitete Information in ein Antwortsigna, das zweite Datensignal z integrieren, so dass unterschiedliche Informationen zwar stets das Senden des zweiten Datensignals bewirken können, aber einen unterschiedlichen Informationsinhalt aufweisen können.
-
Ein Schritt 420 umfasst ein Empfangen einer Benutzereingabe mit der Schlüsselvorrichtung. Die Benutzereingabe kann dabei so erfolgen, dass zuvor eine Anforderung der Benutzereingabe an den Nutzer ausgegeben wird. So kann diese Anforderung sich beispielsweise auf die mittels des ersten Datensignals übermittelten Informationen beziehen, etwa ähnlich einem sogenannten Challenge (Anforderung)/Response (Antwort)-Verfahrens. Es kann somit eine Betätigung der Schlüsselvorrichtung erfolgen. Ein Schritt 430 umfasst ein Bereitstellen des zweiten Datensignals oder eines dritten Datensignals basierend auf der Benutzereingabe. So kann beispielsweise die Schlüsselvorrichtung das zweite Datensignal, das auf der Benutzereingabe basiert, senden oder eine anderer Vorrichtung anweisen, ein solches Datensignal, das dritte Datensignal, zu senden.
-
Es wird darauf hingewiesen, dass das erste Datensignal, das zweite Datensignal und/oder weitere Datensignale ein einzelnes zusammenhängendes Datensignal sein können, aber auch eine Sequenz von Datensignalen oder Nachrichten. So kann beispielweise ein Datensignal über mehrere Ressourcen (Zeit, Frequenz, Code oder dergleichen) aufgeteilt sein und/oder auf mehrere Nachrichten aufgeteilt werden. Auch solche aufgeteilten Signale werden im Zusammenhang mit den vorliegenden Ausführungsbeispielen als ein gemeinsames Datensignal verstanden.
-
5 zeigt ein schematisches Ablaufdiagramm eines Verfahrens 500 gemäß einem Ausführungsbeispiel, das beispielsweise als Teil des Verfahrens 100, 150, 200, 300 oder 400 ausgeführt werden kann. Ein Schritt 510 umfasst ein Empfangen des zweiten Datensignals, beispielsweise auf den Schritt 120 hin. Ein Schritt 520 umfasst ein Auswerten des zweiten Datensignals, ob die Schlüsselvorrichtung einer vorbestimmten Schlüsselvorrichtung entspricht. Dies kann bedeuten, dass eine Kennung der Schlüsselvorrichtung oder eine darin abgelegte Information ausgewertet wird. Die Information kann mit einem Nutzer assoziiert sein, beispielsweise in einer Datenbank oder dergleichen. Der Schritt 520 kann auch so verstanden werden, dass ein Abgleich erfolgt, ob das zweite Datensignal eine Information aufweist, die empfängerseitig erwartet wird. Neben der Kennung der Schlüsselvorrichtung kann dies auch eine Response eines Challenge/Response-Verfahrens, ein Passwort oder dergleichen sein.
-
In einem Schritt 530 erfolgt eine Unterscheidung, ob die Schlüsselvorrichtung der vordefinierten Schlüsselvorrichtung entspricht. Ist dies der Fall (ja) 532, so kann ein Ausführen des Authentifizierens erfolgen, das bedeutet, das Ausführen des Authentifizierens erfolgt nur dann, wenn die Schlüsselvorrichtung der vordefinierten Schlüsselvorrichtung entspricht. Hierzu ist ein Schritt 540 vorgesehen, der beispielsweise dem Schritt 130 oder 130' oder 220 oder 330 entsprechen kann, jedoch an die positive Entscheidung 532 gekoppelt ist bzw. hiervon abhängig ist.
-
Im negativen Fall (nein) 534 kann ein Ausgeben eines Datensignals erfolgen, dass die Schlüsselvorrichtung nicht der vordefinierten Schlüsselvorrichtung entspricht und/oder dass möglicherweise keine geeignete Schlüsselvorrichtung erkannt wurde. Alternativ oder zusätzlich kann ein Verweigern einer von der Authentifizierung abhängigen Berechtigung basierend darauf, dass die Schlüsselvorrichtung nicht der vordefinierten Schlüsselvorrichtung entspricht, erfolgen. Hierfür ist ein Schritt 550 vorgesehen, der auch als aktive Zurückweisung verstanden werden kann.
-
Der Schritt 550 kann optional sein, da auch das Nicht-Ausführen einer entsprechenden Berechtigung oder ein Abbruch eines Verfahrens als implizite Verweigerung der Berechtigung verstanden werden kann.
-
6a zeigt ein schematisches Blockschaltbild eines Authentifizierungssystems 601 gemäß einem Ausführungsbeispiel, das ausgebildet ist, um ein erfindungsgemäßes Verfahren auszuführen, beispielsweis das Verfahren 100, 150, 200, 300, 400 und/oder 500. Das Authentifizierungssystem 601 umfasst beispielsweise eine Vorrichtung 62, für deren Betrieb das Authentifizieren ausgeführt wird. Hierbei kann es sich beispielsweise um eine Maschine oder eine sonstige Vorrichtung handeln, die zum direkten, elektronischen oder mechanischen oder elektrischen Ausführen einer Funktion einer Nutzerauthentifizierung bedarf, wozu beispielsweise ein Türmechanismus, eine Roboterprogrammierung oder dergleichen gehören kann, kann jedoch auch eine Einrichtung zur Informationswiedergabe und/oder Informationseingabe umfassen, beispielsweise ein Terminal, mittels dessen ein möglicherweise entfernt bereitgestellter Dienst bedient oder angefragt wird, beispielsweise die Authentifizierung zum Zugang zu einem Portal oder zu einem Onlinebanking oder dergleichen. Die Vorrichtung 62 ist ausgebildet, um direkt oder indirekt ein erstes Datensignal 64 an eine Schlüsselvorrichtung 66 zu senden. Die Schlüsselvorrichtung 66 ist ausgebildet, um ein zweites Datensignal 68 an die Vorrichtung 62 zu senden. Das erste Datensignal 64 kann beispielsweise mittels des Schritts 110 direkt oder indirekt, das bedeutet, in Form einer direkten Verbindung, mittels eines Relays oder in weiterverarbeiteter Form an die Schlüsselvorrichtung 66 gesendet werden. Das zweite Datensignal 68 kann beispielsweise mittels des Schritts 120 und/oder 430 übermittelt werden. Das zweite Datensignal wird beispielsweise als drahtloses optisches Signal übermittelt.
-
Das erste Datensignal kann optional ebenfalls ein drahtloses optisches Signal sein, kann aber auch beliebig anders ausgeführt sein, beispielsweise als drahtgebundenes Signal, als Funksignal oder dergleichen.
-
6b zeigt ein schematisches Blockschaltbild eines Authentifizierungssystems 602 gemäß einem Ausführungsbeispiel, bei dem anders als im Authentifizierungssystem 601 das Datensignal 64 als drahtloses optisches Datensignal gesendet wird, während das Datensignal 68 lediglich optional drahtlos optisch ausgeführt ist und alternativ ebenso drahtgebunden elektrisch oder optisch sein kann und/oder drahtlos in Form eines Funksignals ausgeführt sein kann.
-
7 zeigt ein schematisches Blockschaltbild eines Authentifizierungssystems 70 gemäß einem Ausführungsbeispiel. Das Authentifizierungssystem 70 kann eine Vorrichtung 72 umfassen, für deren Betrieb das Authentifizieren ausgeführt wird. Die Vorrichtung 72 kann beispielsweise ein Terminal sein, das einen Zugriff auf einen entfernt ausgeführten Dienst aufweist, kann aber auch einen direkten Zugang zu einem Dienst oder einer Funktion bereitstellen, wie es vorrangehend beschrieben ist. Obwohl die Vorrichtung 72 als Terminal oder Rechnereinheit dargestellt ist, ist eine beliebige andere Vorrichtung möglich, beispielsweise, eine Tür, eine Maschine, ein Fahrzeug oder dergleichen.
-
Das Authentifizierungssystem 70 umfasst ferner einen drahtlosen optischen Hot-Spot 74 zum Senden und/oder Empfangen eines drahtlosen optischen Signals. Als Hot-Spot wird eine unidirektionale oder bidirektionale Signalquelle und/oder Signalsenke verstanden, die ausgelegt ist, um einen Kommunikationsbereich 76, wie er beispielsweise in dem Schritt 310 eingerichtet werden kann, abzudecken, indem aus dem Kommunikationsbereich 76 drahtlose Signale von dem drahtlosen optischen Hot-Spot empfangen werden können oder diesen gesendet werden können. Beispielsweise kann der drahtlose Hot-Spot 74 einen Lichtkegel 78 erzeugen, der den Kommunikationsbereich 76 zumindest teilweise erzeugt. Der Lichtkegel 78 kann für den Sendefall des drahtlosen optischen Hot-Spots 74 eingerichtet sein, wobei für den Empfangsfall ein korrespondierender Kommunikationsbereich 76 auch ohne Beleuchtung erzeugt werden kann.
-
Das Authentifizierungssystem 70 ermöglicht es, auf unterschiedliche Weise, die Schlüsselvorrichtung 68 dazu anzuregen, das Antwortsignal 68 zu senden. Das entsprechende Datensignal 64 kann beispielsweise drahtgebunden als Datensignal 641 von der Vorrichtung 72 an die Schlüsselvorrichtung 68 gesendet werden, entweder direkt oder beispielsweise an eine Docking-Vorrichtung, in welcher die Schlüsselvorrichtung 68 gelegt wird und dort eine drahtgebundene Verbindung herstellt. Alternativ kann das Datensignal 64 als drahtloses optisches Datensignal 642 von dem für eine drahtlose optische Kommunikation eingerichteten Terminal 72 an die Schlüsselvorrichtung 68 gesendet werden. Alternativ oder zusätzlich ist es möglich, das Datensignal 64 als drahtloses optisches Datensignal 643 von dem drahtlosen optischen Hot-Spot 74 an die Schlüsselvorrichtung 68 zu senden.
-
Das Antwortsignal, das Datensignal 68 kann als drahtgebundenes Datensignal 681 von der Schlüsselvorrichtung 68 an das Terminal 72 gesendet werden, kann alternativ oder zusätzlich aber auch als drahtloses optisches Datensignal 682 von der Schlüsselvorrichtung direkt an das Terminal 72 oder indirekt als drahtloses optisches Datensignal 683 an den drahtlosen optischen Hot-Spot 74 gesendet werden.
-
Zumindest eines der Datensignale 64 und 68 wird dabei als drahtloses optisches Datensignal gesendet. Das bedeutet, eine Verwendung des Datensignals 641 führt zu einer Verwendung des Datensignals 682 oder 683 , während eine Verwendung des Datensignals 681 zu einer Verwendung des Datensignals 642 oder 643 führt.
-
Zur Authentifizierung des Nutzers an der Vorrichtung 72, das heißt, dem Terminal, kann das Terminal 72 ein Anfragesignal 82 als drahtgebundenes Anfrage-Signal 821 und /oder als drahtloses optisches Anfrage-Signal 822 an den drahtlosen optischen Hot-Spot 74 senden. Das Anfrage-Signal 821 oder 822 kann entweder eine implizite Anweisung an den drahtlosen optischen Hot-Spot 74 aufweisen, eine Authentifizierung der Schlüsselvorrichtung 68 durch Übermitteln des drahtlosen optischen Datensignals 643 auszuführen. Hierfür kann der drahtlose optische Hot-Spot 74 eingerichtet sein, um die Authentifizierung selbstständig auszuführen und dem Terminal 72 ein Antwortsignal 84 als drahtgebundenes Antwortsignal 841 oder als drahtloses optisches Antwortsignal 842 zu übermitteln, das ein positives bzw. negatives Ergebnis der Authentifizierung angibt. Das bedeutet, in einem einfachen Fall kann es sich hierbei um eine binäre Information handeln, die angibt, ob die Authentifizierung der Schlüsselvorrichtung 68 erfolgreich war. Die Signale 821 , 641 und 681 können auch funkgebunden sein wie im Zusammenhang mit 6a und 6b beschrieben.
-
Alternativ oder zusätzlich ist es möglich, den drahtlosen optischen Hot-Spot 74 als Relay zu betreiben, das lediglich Signale weiterleitet oder von drahtgebunden/Funk auf drahtlos optisch oder andersherum umsetzt, so dass es sich bei dem Signal 821 oder 822 um das Signal 643 und/oder bei dem Signal 841 oder 842 um das Signal 683 handeln kann.
-
In anderen Worten zeigt 7 eine Abbildung mit einem erfindungsgemäßen Ausführungsbeispiel. Das Eingabegerät 72 befindet sich im selben Spot/Lichtkegel 78 des zugeordneten Li-Fi-Hot-Spots 74 wie das Schlüsselgerät 68. In diesem Beispiel erhalten beide Geräte, das Eingabegerät 72 und das Schlüsselgerät 68 das gleiche optisch drahtlose Signal. Damit ist sichergestellt, dass der Nutzer, welcher die Eingaben macht, auch tatsächlich vor dem Eingabegerät präsent ist.
-
8 zeigt ein schematisches Blockschaltbild eines Authentifizierungssystems 80 gemäß einem Ausführungsbeispiel, das eine Steuerungseinheit 86 aufweist. Die Steuerungseinheit 86 ist ausgebildet, um das Anfrage-Signal 82, das heißt, den Request, zu empfangen und um ein Anweisungssignal 88 an den drahtlosen optischen Hot-Spot 74 zu senden, das eine Anweisung enthält, das drahtlose optische Datensignal 643, das heißt, das erste Datensignal zu senden und/oder das drahtlose optische Datensignal 683 , das heißt, das zweite Datensignal zu empfangen.
-
Die Steuerungseinheit 86 kann eine Authentifizierungslogik und/oder Informationen bezüglich einer notwendigen Authentifizierung aufweisen und die Vorrichtung 72 und/oder den drahtlosen optischen Hot-Spot 74 so steuern, dass die Authentifizierung ausgeführt wird. Die Steuerungseinheit 86 kann bspw. einen Prozessor, einen Mikrokontroller, eine zentrale Recheneinheit (Central Processing Unit - CPU), eine applikationsspezifische integrierte Schaltung (ASIC) oder dergleichen aufweisen. Insbesondere ist es dadurch möglich, die Vorrichtung 72 lediglich zur Nutzerinteraktion zu verwenden und beispielsweise entsprechende Datenbanken oder Speichermedien oder dergleichen entfernt vom Nutzer aufzubewahren.
-
Der Kommunikationsbereich 76 kann ein Überwachungsbereich oder Arbeitsbereich sein, in dessen Bereich eine Anwesenheit des Nutzers zumindest zeitweise erwartet wird. Der Kommunikationsbereich 76 kann sich auch auf das die Vorrichtung 72 erstrecken, was ein weiter erhöhtes Maß an Sicherheit bietet. Die Steuerungseinheit 86 kann bspw. Instruktionen sowohl an die Vorrichtung 72 als auch an die Vorrichtung 74 aussenden, um zu überprüfen, ob die Schlüsselvorrichtung 68 und die Vorrichtung 72 dasselbe optische Signal empfangen, etwa indem sowohl die Vorrichtung 72 als auch die Vorrichtung 68 Rückmeldung an den Li-Fi-Hot-Spot 74 übermitteln und der Hot-Spot 74 oder die Steuerungseinheit 86 überprüft, ob die Rückmeldungen übereinstimmen. Hierzu kann es sich beispielsweise um eine Response eines Challenge/Response-Verfahrens handeln, worunter auch eine einfache Bestätigung (Acknowledgement; ACK) fallen kann.
-
Die Steuerungseinheit 86 kann ganz oder teilweise in dem drahtlosen optischen Hot-Spot 74 und/oder ganz oder teilweise in der Vorrichtung 72 angeordnet sein.
-
Eine die Steuerungseinheit aufweisende Vorrichtung kann so ausgeführt sein, dass die Steuerungseinheit ausgebildet ist, um eine drahtlos optische Signalquelle, beispielsweise den drahtlosen optischen Hot-Spot 74 und zwei oder mehr weitere Vorrichtungen zu steuern. Diese Vorrichtungen können zum Beispiel die Vorrichtung 72 und die Schlüsselvorrichtung 68 umfassen, die zur drahtlosen optischen Authentifizierung unter Verwendung zumindest eines drahtlosen optischen Datensignals eingerichtet sind.
-
Die Steuerung der Vorrichtungen kann dabei aus einem Erzeugen von Anweisungen und/oder einem Weiterleiten von Rückmeldungen bestehen, um die Authentifizierung zu koordinieren. So kann die Steuerungseinheit ausgebildet sein, um einer ersten Vorrichtung, beispielsweise der Vorrichtung 72 oder dem Hot-Spot 74 das Datensignal 64 bereitzustellen, das Informationen aufweist, die ausgelegt sind, um die erste Vorrichtung so zu steuern, dass die erste Vorrichtung mittels eines ersten drahtlosen optischen Datensignals Informationen von einer zweiten Vorrichtung, beispielsweise dem Hot-Spot 74 beziehungsweise der Vorrichtung 72 anfordert, ob eine weitere Vorrichtung, etwa die Schlüsselvorrichtung 68 zu einer drahtlosen optischen Datenverbindung in einem vorbestimmten Kommunikationsbereich, dem Kommunikationsbereich 76, positioniert ist.
-
Das bedeutet, die Steuerungseinheit 86 kann ausgebildet sein, um die weiteren Vorrichtungen 72, 74 und/oder 68 direkt oder indirekt so zu steuern, um die Authentifizierung zu koordinieren.
-
9 zeigt ein schematisches Blockschaltbild eines Authentifizierungssystems 90 gemäß einem Ausführungsbeispiel. Beispielsweise ist die Steuerungseinheit 86 als Teil des Hot-Spots 74 oder der Vorrichtung 72 ganz oder teilweise implementiert. Unabhängig hiervon ist beispielhaft der Hot-Spot 74 benachbart zu dem Terminal 72 angeordnet.
-
Unabhängig hiervon kann der Kommunikationsbereich 76 ein vergleichsweise kleiner Bereich sein, der beispielsweise die einfache, doppelte oder dreifache Ausdehnung der Schlüsselvorrichtung 68 aufweist, beispielsweise an einem Arbeitsplatz, Schreibtisch oder dergleichen. Ausführungsbeispiele beschränken sich jedoch nicht hierauf, sondern ermöglichen eine beliebige Größe des Kommunikationsbereichs. Durch zyklische Abfrage und/oder ständige Empfangsbereitschaft kann festgestellt werden, dass die Schlüsselvorrichtung 68 in dem Kommunikationsbereich 76 positioniert wird oder wurde. Dies ermöglicht die automatische Durchführung einer Authentifizierung an der Vorrichtung 72, was beispielsweise zu einem automatischen Entsperren eines Rechners oder zu einer automatischen Öffnung einer Tür oder zu einer automatischen Freigabe bestimmter Funktionen an einer Vorrichtung oder einer Maschine genutzt werden kann. Das bedeutet, das Senden des Datensignals 68 kann automatisch ausgeführt werden. Dies kann sowohl als vollständige Authentifizierung eingesetzt werden, indem die Positionierung der Schlüsselvorrichtung 68 in dem Kommunikationsbereich 76 bereits zur Entsperrung der Vorrichtung 72 oder eines hiervon ausgeführten Dienstes ausgeführt wird, kann aber auch als komfortable zweite Stufe einer Zwei-Stufen-Authentifizierung genutzt werden, beispielsweise indem eine erfolgreiche Passworteingabe oder dergleichen durch eine Abfrage, ob die Schlüsselvorrichtung 68 in dem Kommunikationsbereich 76 positioniert ist, ausgeführt wird. Derartige Konzepte können ohne weiteres auch in dem Authentifizierungssystem 60, 70 und/oder 80 implementiert werden.
-
In anderen Worten verwendet das Li-Fi-Key (drahtloser optischer Schlüssel)-Verfahren Li-Fi-Technologie, um sicherzustellen, dass der Nutzer tatsächlich am Eingabegerät präsent ist. Dazu können das Eingabegerät (Rechner, Workstation, Terminal, Maschine, Tür, etc.) und ein dem Nutzer zugeordnetes Schlüsselgerät im gleichen Spot, dem Kommunikationsbereich eines optisch drahtlosen Datenübertragungsgerätes (auch bezeichnet Li-Fi Hot-Spot oder drahtloser optischer Hot-Spot) präsent sein. Mindestens das Schlüsselgerät ist ausgebildet, um Signale des Li-Fi Hot-Spot zu empfangen und/oder auszuwerten. Das Eingabegerät, beispielsweise die Vorrichtung 72 kann ebenfalls über einen entsprechenden Empfänger verfügen, beispielsweise wenn nicht sichergestellt werden kann, dass das Eingabegerät und das Schlüsselgerät räumlich in direkter Nähe sind, beispielsweise durch eine feste Installation.
-
Unter Verweis auf die Authentifizierungssysteme 70 und/oder 80 kann die Vorrichtung 72 auch außerhalb des Kommunikationsbereichs 76 angeordnet sein, beispielsweise an einem entfernten Ort. Möchte sich der Nutzer an einem Eingabegerät anmelden oder eine authentifizierungsbedürftige Aktion ausführen, so kann über ein diesem Eingabegerät, der Vorrichtung 72, zugeordneten Li-Fi-Hot-Spot ein Signal ausgesendet werden. Wird dieses Signal vom Schlüsselgerät, der Schlüsselvorrichtung 68, des entsprechenden Nutzers empfangen und bestätigt, so gilt die Aktion als autorisiert. Für eine erhöhte Sicherheit kann die Rückmeldung vom Schlüsselgerät dabei ebenfalls optisch drahtlos erfolgen. Alternativ ist es möglich, dass das Schlüsselgerät ein entsprechendes optisches drahtloses Signal an den dem Empfangsgerät zugeordneten Li-Fi-Hot-Spot sendet. Hierzu kann es wichtig sein, dass mindestens einmal ein optisches drahtloses Signal zwischen Schlüsselgerät und dem zugeordneten Li-Fi-Hot-Spot gesendet, empfangen und ausgewertet wird. Kann einem Eingabegerät kein Li-Fi-Hot-Spot eindeutig zugeordnet werden, so kann eine eindeutige Zuordnung eines Endgeräts, beispielsweise der Vorrichtung 72 zu einem Li-Fi-Hot-Spot ebenfalls durch das beschriebene Austauschen von mindestens einem optischen drahtlosen Signal zwischen Eingabegerät und dem entsprechenden Li-Fi-Hot-Spot gewährleistet werden. Dies kann durch unterschiedliche Verfahren und/oder Vorrichtungen erreicht werden. So kann Vorrichtung 72 beispielsweise ohne Eingabegerät vorhanden sein, wie beispielsweise eine Tastatur. Um eine Eingabe an der Vorrichtung 72 zu tätigen, könnten nun ein beliebiges Eingabegerät ebenfalls über ein optisch drahtloses Signal als Eingabegerät für Vorrichtung 72 identifiziert werden. In speziellen Fällen könnte auch die Schlüsselvorrichtung 68 direkt als Eingabegerät fungieren.
-
Obwohl manche Aspekte im Zusammenhang mit einer Vorrichtung beschrieben wurden, versteht es sich, dass diese Aspekte auch eine Beschreibung des entsprechenden Verfahrens darstellen, sodass ein Block oder ein Bauelement einer Vorrichtung auch als ein entsprechender Verfahrensschritt oder als ein Merkmal eines Verfahrensschrittes zu verstehen ist. Analog dazu stellen Aspekte, die im Zusammenhang mit einem oder als ein Verfahrensschritt beschrieben wurden, auch eine Beschreibung eines entsprechenden Blocks oder Details oder Merkmals einer entsprechenden Vorrichtung dar.
-
Die oben beschriebenen Ausführungsbeispiele stellen lediglich eine Veranschaulichung der Prinzipien der vorliegenden Erfindung dar. Es versteht sich, dass Modifikationen und Variationen der hierin beschriebenen Anordnungen und Einzelheiten anderen Fachleuten einleuchten werden. Deshalb ist beabsichtigt, dass die Erfindung lediglich durch den Schutzumfang der nachstehenden Patentansprüche und nicht durch die spezifischen Einzelheiten, die anhand der Beschreibung und der Erläuterung der Ausführungsbeispiele hierin präsentiert wurden, beschränkt sei.