-
FACHGEBIET
-
Die vorliegende Offenbarung bezieht sich auf Verfahren zum Autorisieren und Verifizieren der Identität einer ersten Vorrichtung, welche versucht über ein Netzwerk auf eine zweite Vorrichtung zuzugreifen, und insbesondere auf ein Verfahren zum Erzeugen eines digitalen Fingerabdrucks für eine Client-Vorrichtung mittels einer Pseudozufallszahl.
-
HINTERGRUND
-
Die Verteilung von Informationen von einem System, z. B. einem System-Server, an eine Client-Vorrichtung, welche mit dem System-Server über ein Netzwerk in Verbindung steht, erfordert eine Sicherstellung, dass die Client-Vorrichtung autorisiert ist den Inhalt, welcher aus dem System-Server angefordert wird, zu empfangen. Dies gilt besonders für automatisierte oder „freihändige” Verteilung von Informationen von einem System an eine Client-Vorrichtung. Die Client-Vorrichtung muss eindeutig identifiziert und dem System bekannt sein, bevor das System Informationen an die Client-Vorrichtung übermittelt. Anders ausgedrückt muss die Identität der Client-Vorrichtung durch den System-Server verifiziert werden, bevor der System-Server beginnt, Informationen an die Client-Vorrichtung freizugeben.
-
Bestehende Lösungswege, welche versuchen, die Identität einer anfragenden Vorrichtung sicherzustellen, sind oftmals auf die Verwendung von Computernamen, Benutzernamen, oder installierte Software auf der Client-Vorrichtung angewiesen gewesen. Derartige Sicherheitsmaßnahmen alleine werden oftmals leicht von unautorisierten Dritten oder „Hackern” überwunden. Dies kann zur Folge haben, dass vertrauliche und sensible Informationen von dem System an eine nicht autorisierte Vorrichtung fehlgeleitet werden, welche auf das Netzwerk zugegriffen hat und versucht, eine Verbindung mit dem System-Server herzustellen.
-
Die Druckschrift
US 6,067,621 zeigt ein bekanntes Authentifikationssystem zur Authentifikation eines autorisierten Nutzers einer IC-Karte.
-
Die Druckschrift
US 2204/0010685 A1 zeigt eine Servicebereitstellungsvorrichtung und ein Servicebereitstellungsverfahren. Systemidentifikationsdaten zum Spezifizieren einer Servicezieleinrichtung und des Nutzers der betroffenen Einrichtung werden an die betroffene Einrichtung ausgegeben. Eine Authentifikationsverarbeitung wird basierend auf den Systemidentifikationsdaten ausgeführt, um einen Service zu der betroffenen Einrichtung bereitzustellen.
-
Versuche, die Schwächen von vorher exisitierenden Sicherheitssystemen zu verringern, haben oftmals lästige Arbeitsabläufe aufgewiesen, welche von einer Client-Vorrichtung oder dem Betrieb einer Client-Vorrichtung zugeordneten Personen durchgeführt werden müssen. Derartige Systeme haben oftmals zusätzliche Kosten zur Folge gehabt, wobei jedoch eine nur geringe tatsächliche zusätzliche Sicherheit erzielt wurde.
-
Es ist eine Aufgabe der vorliegenden Erfindung, eine Kommunikation zwischen einer Client-Vorrichtung und einem System sicherer zu gestalten.
-
Zur Lösung dieser Aufgabe wird gemäß einem ersten Aspekt der Erfindung ein Verfahren nach Anspruch 1 bereitgestellt. Als eine weitere Lösung wird gemäß einem zweiten Aspekt der Erfindung ein Verfahren nach Anspruch 2 bereitgestellt.
-
Die vorliegende Offenbarung ist auf Verfahren zur Sicherstellung der Identität einer ersten Vorrichtung gerichtet, welche versucht, auf eine zweite Vorrichtung in einem Netzwerk zuzugreifen und Informationen von dieser zu erhalten. In einem Beispiel, weisen die erste Vorrichtung eine Client-Vorrichtung und die zweite Vorrichtung ein System oder einen Server mit Informationen auf, welche die Client-Vorrichtung versucht zu erhalten.
-
In einer Ausführung weist das Verfahren das Durchführen eines Anfangsregistrierungsprozesses für die Client-Vorrichtung auf. Der Registrierungsprozess weist zusätzlich zum Lesen eines vorgegebenen Teils von Informationen aus der Client-Vorrichtung, welche zu einer in der Client-Vorrichtung eingebundenen Hardwarekomponente gehören, das Lesen einer Netzwerkadresse einer Komponenten der Client-Vorrichtung auf. Ein kryptografisches Programm wird verwendet, um die Netzwerkadresse und den vorgegebenen Teil von Informationen als Eingaben zu empfangen, und um daraus einen Registrierungs-Identifikationscode (ID) für die Client-Vorrichtung zu erzeugen.
-
Für den Arbeitsablauf der Anfangsregistrierung stellt die Client-Vorrichtung den Registrierungs-ID-Code und zumindest einen zusätzlichen Teil von Benutzeridentifizierungsinformationen für das System bereit, wenn sie das System über das Netzwerk anruft. Die Identifizierungsinformationen werden dem System vorab bekannt sein. Das System verwendet den Teil von Benutzer-Identifizierungsinformationen als eine Anfangsverifikation der Authentizität der Identität der Client-Vorrichtung. Das System erzeugt dann einen Pseudozufallszahlencode (PRN). Der PRN-Code wird von dem System an die Client-Vorrichtung übermittelt, wo er von der Client-Vorrichtung bei jeder nachfolgenden Nachricht, welche sie an das System übermittelt, verwendet werden kann. Der PRN-Code wird von der Client-Vorrichtung vorzugsweise nur genau bevor der momentane Anruf mit dem System beendet ist gespeichert. Auf ähnliche Weise speichert das System den PRN-Code auf einer eigenen Massenspeichervorrichtung vorzugsweise erst kurz bevor der Anruf beendet ist.
-
Wenn die Client-Vorrichtung das System später anruft, um eine neue Informationsaustauschsession zu starten (d. h., nachdem der Anfangsregistrierungsprozess abgeschlossen worden ist), verwendet die Client-Vorrichtung ihren gespeicherten PRN-Code, um beim Erzeugen eines neuen, eindeutigen Einmal-ID-Codes zu helfen, welcher verwendet werden kann, um ihre Identität dem System zu authentifizieren. Die Client-Vorrichtung tut dies durch Verwenden des gespeicherten PRN-Codes als eine Eingabe für ihren PRN-Generator, was zur Folge hat, dass ein neuer PRN-Code erzeugt wird. Der neue PRN-Code ist die nächste Zahl in einer PRN-Sequenz. Der Registrierungs-ID-Code wird auch mittels der Hardware- und Netzwerkadresseneingaben neu erzeugt, wie oben beim Anfangsregistrierungsprozess beschrieben wurde. Sobald der Registrierungs-ID-Code neu erzeugt worden ist, können er und der neue PRN-Code dann in das kryptografische Programm, welches der Client-Vorrichtung zugeordnet ist, eingegeben werden, um einen eindeutigen, clientseitigen Einmal-Hashcode zu erzeugen. Dieser clientseitige Einmal-Hashcode stellt im Wesentlichen einen neuen, digitalen Einmal-Fingerabdruck für die Client-Vorrichtung dar.
-
Das System führt auf seiner Seite einen ähnlichen Vorgang durch. Das System verwendet den vorher gespeicherten PRN-Code, welcher während des Anfangsregistrierungsprozesses erzeugt wurde, als eine Eingabe an seinen PRN-Generator, um einen neuen PRN-Code zu erzeugen. Der neue PRN-Code wird mit dem gespeicherten Registrierungs-ID-Code für die jeweilige Client-Vorrichtung verwendet, welche nun einen neuen Anruf an das System durchführt, als eine Eingabe an ihren zugeordneten PRN-Generator, um einen neuen PRN-Code zu erzeugen, welcher den nächsten PRN-Code in einer PRN-Sequenz darstellt. In diesem Zusammenhang ist es einsichtig, dass die PRN-Generatoren, welche von der Client-Vorrichtung und dem System verwendet werden, dieselben sind, und demzufolge, die exakt selbe Eingabe vorausgesetzt, die exakt selbe Ausgabe ergeben werden.
-
Das System verwendet dann den neuen PRN-Code, den er gerade erzeugt hat, zusammen mit dem vorher gespeicherten Registrierungs-ID-Code als eine Eingabe an sein zugeordnetes kryptografisches Hashprogramm. Das kryptografische Hashprogramm erzeugt einen systemseitigen, eindeutigen Einmal-Hashcode. Das kryptografische Hashprogramm ist identisch mit dem Hashprogramm, welches von der Client-Vorrichtung verwendet wird. Das System vergleicht dann den clientseitigen Hashcode, welchen es gerade empfangen hat, mit dem systemseitigen Hashcode, welchen es gerade erzeugt hat, um zu sehen, ob sie übereinstimmen. Falls sie es tun, dann ist die Identität der Client-Vorrichtung, welche einen neuen Anruf an das System durchführt, authentifiziert. Das System erlaubt dann, dass eine weitere Kommunikation zwischen ihm und der Client-Vorrichtung stattfindet. Falls eine Übereinstimmung nicht besteht, beendet das System den Anruf. Der neue PRN-Code wird sowohl von der Client-Vorrichtung als auch dem System gespeichert, aber vorzugsweise erst kurz bevor die Kommunikation abgeschlossen ist.
-
In einer beispielhaften Ausführung liest das oben beschriebene Registrierungsprogramm, welches auf der Steuervorrichtung arbeitet, eine Netzwerkadresse einer Netzwerkkarte der Client-Vorrichtung und eine Datenträgerserien-ID-Nummer einer Massenspeichervorrichtung auf der Client-Vorrichtung. Die Benutzer-Identifizierungsinformationen, welche von dem Benutzer mit dem Registrierungs-ID-Code beim Anrufen des Systems bereitgestellt werden, können einen oder mehrere aus der Gruppe eines Benutzernamens, eines Benutzerpassworts und eines vom Benutzer ausgewählten Vorrichtungsnamens für die Client-Vorrichtung aufweisen.
-
Ein besonderer Vorteil des Verfahrens der vorliegenden Offenbarung ist, dass ein eindeutiger, digitaler Einmalidentifizierungs-„Fingerabdruck” von der Client-Vorrichtung jedes Mal erzeugt wird, wenn die Client-Vorrichtung erneut das System anruft, und ein neuer PRN-Code von dem System an die Client-Vorrichtung bereitgestellt wird, wenn die Identität der Client-Vorrichtung authentifiziert ist.
-
Die verschiedenen Ausführungen des Verfahrens der vorliegenden Offenbarung stellen eine außergewöhnlich hohe Sicherheit zum Authentifizieren der Identität einer Client-Vorrichtung bereit, ohne beachtliche Mitwirkung, Kosten oder beachtliche technische Schritte, welche von Bedienern der Client-Vorrichtung gemacht werden müssen, zu erfordern.
-
KURZBESCHREIBUNG DER ZEICHNUNGEN
-
1 ist ein die Umgebung betreffendes Blockansichts-Diagramm, welches eine typische Umgebung veranschaulicht, in der das Verfahren der vorliegenden Offenbarung eingesetzt werden kann, in der eine Client-Vorrichtung über ein Weitverkehrsnetz mit einem entfernt gelegenen System-Server in Verbindung steht;
-
2 ist ein Flussdiagramm eines beispielhaften Verfahrens zur Erzeugung eines Registrierungs-ID-Codes für die in 1 gezeigte Client-Vorrichtung;
-
3 ist ein Flussdiagramm einer beispielhaften Prozedur zum anfänglichen Registrieren der Client-Vorrichtung zur Verwendung mit dem System-Server; und
-
4 ist ein Flussdiagramm einer beispielhaften zukünftigen Anrufsequenz, durch welche die Client-Vorrichtung ihren ID-Hashcode neu erzeugt und durch welche der System-Server den neu erzeugten ID-Hashcode verwendet, um die Identität der Client-Vorrichtung zu authentifizieren.
-
AUSFÜHRLICHE BESCHREIBUNG
-
Bezug nehmend auf 1 wird ein System 10 gezeigt, welches das Verfahren der vorliegenden Offenbarung verwendet. In diesem Beispiel weist das System 10 einen System-Server 12 auf, welcher über ein Weitverkehrsnetz 14, wie z. B. das Internet, mit zumindest einer Client-Vorrichtung 16a–16f ferngekoppelt ist. Die Darstellung einer Vielzahl von Client-Vorrichtungen 16a–16f beabsichtigt lediglich darzustellen, dass in einem typischen Szenario oftmals mehr als eine Client-Vorrichtung 16 in dem Netzwerk betrieben und bidirektional kommunikationsfähig mit dem System-Server 12 sein wird. Der System-Server 12 weist einen Pseudozufallszahlengenerator (PRN) 12a auf.
-
Die Client-Vorrichtungen 16a–16f weisen typischerweise jeweils Computerendgeräte auf, welche jeweils ein Anzeigeendgerät 18, eine Tastatur 20 zur Dateneingabe und ein Verarbeitungsmodul 22 aufweisen. Das Verarbeitungsmodul 22 weist typischerweise eine Netzwerkkarte 24 und eine Massenspeichervorrichtung, wie z. B. ein Festplattenlaufwerk 26, auf. Jede Client-Vorrichtung 16 weist einen Pseudozufallszahlengenerator (PRN) 27 auf, welcher auf dem Festplattenlaufwerk 26 gespeichert sein kann. Der PRN-Generator 27 ist vorzugsweise ein robuster PRN-Generator, welcher dafür bekannt ist, eine hohe Periodizität aufzuweisen. Die Client-Vorrichtungen 16a–16f können jeweils identisch sein oder sie können geringfügig unterschiedliche Konfigurationen aufweisen, aber in jedem Fall stellt jede eine Verarbeitungsvorrichtung dar, welche den System-Server 12 anrufen und bidirektional über das Weitverkehrsnetz 14 mit dem System-Server 12 kommunizieren kann.
-
Bezug nehmend auf 2 stellt ein Flussdiagramm 32 einen beispielhaften Prozess zum Erzeugen eines Registrierungs-Identifizierungscodes (ID) gemäß einer Ausführung des Verfahrens der vorliegenden Offenbarung dar. Die Erzeugung eines Registrierungs-ID-Codes ermöglicht, dass ein eindeutiger Code erstellt werden kann, welcher spezifische Hardwaremerkmale der jeweiligen Client-Vorrichtung 16 berücksichtigt, welche in einem Versuch Informationen von dem System-Server 12 zu erhalten eine Verbindung mit dem System-Server 12 herstellen wird. Ein besonderer Vorteil ist, dass der Registrierungs-ID-Code, welcher aus den Vorgängen des Flussdiagramms 32 erstellt wird, eindeutig mit der jeweiligen Client-Vorrichtung 16, welche den System-Server 12 anruft, verknüpft ist.
-
Im Vorgang 34 wird die primäre MAC-Adresse der Netzwerkschnittstelle 24 in dem Verarbeitungsmodul 22 der Client-Vorrichtung 16 gelesen. Im Vorgang 36 wird die Datenträgerserien-ID-Nummer der primären Partition der Festplatte 26 des Verarbeitungsmoduls 22 gelesen. Im Vorgang 38 wird eine kryptografische Hashfunktion von der Client-Vorrichtung 16 mittels der primären MAC-Adresse und der Datenträger-ID-Seriennummer der Client-Vorrichtung 16 ausgeführt, um dadurch einen Registrierungs-ID-Code für die Client-Vorrichtung 16 zu erzeugen. Es ist einsichtig, dass der in 2 dargelegte Vorgang jedes Mal ausgeführt wird, wenn ein neuer Anruf von der Client-Vorrichtung 16 durchgeführt wird, um eine neue Informationsaustausch-Session mit dem System-Server 12 aufzubauen, und durchgeführt werden muss, bevor Informationen von dem System-Server 12 an die Client-Vorrichtung 16 übertragen werden.
-
Die kryptografische Hashfunktion, welche im Vorgang 38 ausgeführt wird, ist in diesem Beispiel vorzugsweise eine kryptografische Einwegfunktion, welche eine eindeutige Sequenz von Bits oder einen „Hashcode” erzeugt. Ein spezifischer Typ einer kryptografischen Hashfunktion, welche für die Verwendung geeignet ist, ist als die „Whirlpool” kryptografische Hashfunktion bekannt, welche von V. Rijmen und P. Barreto entwickelt wurde. Die Whirlpool kryptografische Hashfunktion arbeitet mit Nachrichten, welche eine geringere Länge als 2256 Bits aufweisen, und erzeugt ein Message Digest von 512 Bits. Die kryptografische Hashfunktion kann mathematisch überprüft werden, um, dieselben Eingaben vorausgesetzt, jedes Mal wenn sie ausgeführt wird einen bestimmten Hashcode zu erzeugen. Des Weiteren ist es praktisch unmöglich die Eingabe an die Hashfunktion abzuleiten, wenn der Hashcode alleine gegeben ist. Die Hashfunktion ist ferner äußerst resistent gegen Versuche die Eingaben durch wiederholte geringfügige Änderungen an den Eingaben und dann wiederholtem Prüfen des entstehenden Hashcodes zu erraten.
-
Ein weiterer erheblicher Vorteil des Registrierungs-ID-Codes ist, dass er automatisch aus der zugrundeliegenden Hardwareumgebung jeder Client-Vorrichtung 16, jedes Mal wenn die Client-Vorrichtung 16 verwendet wird, berechnet wird. Demzufolge wird der Registrierungs-ID-Code niemals auf der Festplatte 26 der Client-Vorrichtung 16 gespeichert, und ist deshalb nicht anfällig für Hacking oder andere Schadensformen aus anderen Vorrichtungen, welche unautorisierten Zugang zu dem Netzwerk erhalten können.
-
Bezug nehmend auf 3, ist nun ein Anfangsregistrierungsprozess 40 dargestellt, welcher es einer vorgegebenen Client-Vorrichtung 16 ermöglicht zur Verwendung mit dem System-Server 12 registriert zu werden. Im Vorgang 42 wird die Client-Vorrichtung 16 verwendet, um den System-Server 12 anzurufen, sobald der Registrierungs-ID-Code erzeugt ist. Im Vorgang 44 stellt der die Client-Vorrichtung 16 bedienende Benutzer, wenn der Anfangskontakt mit dem System-Server 12 hergestellt ist, vorzugsweise einen vorher ausgewählten „Benutzernamen”, ein vorher ausgewähltes „Passwort” und einen vorher ausgewählten „Registrierungsnamen” als Eingaben an die spezifische Client-Vorrichtung 16 bereit, welche verwendet wird, um den System-Server 12 anzurufen. Es ist bevorzugt, dass alle drei derartigen Eingaben bereitgestellt werden, obwohl einsichtig ist, dass nach wie vor eine hohe Sicherheitsstufe erreicht wäre, selbst wenn nur eine oder zwei der zuvor genannten durch den Benutzer gewählten Identifizierungspunkte bereitgestellt wären. Der „Benutzername”, das „Passwort” und der „Registrierungsname” werden vorher dem System-Server 12 bekannt sein.
-
Im Vorgang 46 stellt die Client-Vorrichtung 16 automatisch den Registrierungs-ID-Code, welcher direkt vorher durch das Registrierungssoftwareprogramm erzeugt wurde, an den System-Server 12 bereit. Im Vorgang 48 überprüft der System-Server 12 um zu sehen, ob eine andere Client-Vorrichtung mit demselben „Registrierungsnamen”, wie der von dem Benutzer eingegebene, bereits verwendet wird. Falls die Antwort auf diese Prüfung „JA” ist, dann wird der Zugang zu dem System-Server 12 verweigert und der Registrierungsprozess der Client-Vorrichtung 16 auf dem System-Server 12 ist beendet. Falls die Antwort auf die Prüfung im Vorgang 48 „NEIN” ist, dann werden der „Registrierungsname” und die „Registrierungs-ID”, welche von der Client-Vorrichtung 16 bereitgestellt werden, auf dem System-Server 12 (d. h., auf einer dem System-Server 12 zugeordneten geeigneten Massenspeichervorrichtung) gespeichert.
-
Beim Vorgang 52 verwendet der System-Server 12 seinen PRN-Generator 12a, um einen PRN-Code zu erzeugen und übermittelt diesen PRN-Code an die Client-Vorrichtung 16, welche anruft. Beim Vorgang 54 speichern sowohl der System-Server 12 als auch die Client-Vorrichtung 16 den PRN-Code. Der PRN-Code kann auf dem Festplattenlaufwerk 26 der Client-Vorrichtung 16 gespeichert werden. Der System-Server 12 kann den PRN-Code auf einer beliebigen Art einer geeigneten Massenspeichervorrichtung (Festplattenlaufwerk, Magnetbandspeichervorrichtung, etc.), welcher er betrieblich zugeordnet ist, speichern. Im Vorgang 56 verwendet die Client-Vorrichtung 16 den gespeicherten PRN-Code wenn sie einen späteren Anruf an den System-Server 12 durchführt. Der PRN-Code wird verwendet, um zu helfen einen neuen, eindeutigen Einmal-ID-Hashcode zu erzeugen, welcher wirkungsvoll als ein digitaler Fingerabdruck für die Client-Vorrichtung 16 fungiert, wenn die Client-Vorrichtung 16 einen späteren Anruf an den System-Server 12 durchführt. Dies wird in den nachfolgenden Absätzen weiter beschrieben.
-
Bezug nehmend auf 4 wird nun eine Vielzahl von beispielhaften Vorgängen zum Durchführen eines neuen, nachfolgenden Anrufs von der Client-Vorrichtung 16 an das System 12 dargelegt. Es ist verständlich, dass die vorherige Informationsaustausch-Session zwischen der Client-Vorrichtung 16 und dem System-Server 12 beendet worden ist, und dass die Client-Vorrichtung 16 nun den System-Server 12 anruft und versucht eine neue Informationsaustausch-Session zu starten.
-
In Vorgang 58 verwendet die Client-Vorrichtung 16 den gespeicherten PRN-Code, welcher von der vorherigen Informationsaustausch-Session erzeugt wurde, als eine Eingabe an ihren PRN-Generator 27, um eine neue PRN zu erzeugen, welche die nächste PRN in der PRN-Sequenz darstellt. Beim Vorgang 60 verwendet die Client-Vorrichtung 16 die neue PRN und den neu erzeugten Registrierungs-ID-Code als Eingaben an ein kryptografisches Hashprogramm, welches in Zusammenhang mit der Client-Vorrichtung 16 arbeitet. Das kryptografische Hashprogramm kann auf dem Festplattenlaufwerk 26 der Client-Vorrichtung 12 gespeichert sein oder auf einem anderen Permanentspeichermedium gespeichert sein, welches in Verbindung mit dem Verarbeitungsmodul 22 der Client-Vorrichtung 16 arbeitet. Das kryptografische Hashprogramm erzeugt einen „clientseitigen” Einmal-Hashcode, welcher eindeutig die jeweilige Client-Vorrichtung 16 identifiziert, welche im Begriff ist einen neuen Anruf an den System-Server 12 durchzuführen.
-
Beim Vorgang 62 startet dann die Client-Vorrichtung 16 einen neuen Anruf an den System-Server 12 und stellt den neuen clientseitigen Hashcode dem System-Server 12 bereit. Beim Vorgang 64 verwendet der System-Server 12, nachdem er den neuen Anruf von der Client-Vorrichtung 16 empfangen hat und ihm der neue clientseitigen Hashcode dargelegt wurde, die vorher gespeicherte PRN für die Client-Vorrichtung 16, welche nun einen neuen Anruf an diese durchführt, als eine Eingabe an seinen eigenen PRN-Generator 12a. Aus diesem Vorgang erzeugt der System-Server 12 einen neuen „systemseitigen” PRN-Code, welcher der nächste PRN-Code in der PRN-Sequenz ist.
-
Beim Vorgang 66 werden dann der neue systemseitige PRN-Code und der Registrierungs-ID-Code, welche von der Client-Vorrichtung 16 dargelegt werden, als Eingaben an ein kryptografisches Hashprogramm verwendet, welches auf einem Speichermedium gespeichert ist (z. B., einem Festplattenlaufwerk oder einem anderen Permanentspeicher), welches dem System-Server 12 zugeordnet ist. Dieser Vorgang erzeugt einen eindeutigen, „systemseitigen” Einmal-Hashcode.
-
Es ist einsichtig, dass das kryptografische Hashprogramm, welches von der Client-Vorrichtung 16 verwendet wird, und das kryptografische Hashprogramm, welches von dem System-Server 12 verwendet wird, identische Programme sind, welche, die exakt selben Eingaben vorausgesetzt, denselben Ausgabe-Hashcode erzeugen. In ähnlicher Weise sind der PRN-Generator 27 der Client-Vorrichtung 16 und der PRN-Generator des System-Servers 12 identisch, und werden demzufolge, die exakt selbe Eingabe vorausgesetzt, identische PRN-Codes erzeugen.
-
Beim Vorgang 68 vergleicht der System-Server 12 den systemseitigen Hashcode mit dem clientseitigen Hashcode, um zu sehen, ob sie übereinstimmen. Falls sie es nicht tun, beendet der System-Server 12 den Anruf, den die Client-Vorrichtung 16 durchführt, wie beim Vorgang 70 angegeben. Falls sie übereinstimmen, dann authentifiziert dies dem System-Server 12 die Identität der Client-Vorrichtung 16, wie beim Vorgang 72 angegeben. Der System-Server 12 erlaubt dann, dass eine Informationsaustausch-Session zwischen diesem und der Client-Vorrichtung 16 durchgeführt wird. Der System-Server 12 und die Client-Vorrichtung 16 speichern beide, vorzugweise direkt bevor sie den Anruf beenden, ihre neuen (d. h., identischen) PRN-Codes in ihren entsprechenden Speichern. Das Warten bis zum Ende eines Anrufs, um die neu erzeugten PRN-Codes im Speicher zu speichern, fügt einen zusätzlichen Sicherheitsgrad für sowohl die Client-Vorrichtung 16 als auch den System-Server 12 hinzu, da dieser Code nicht für irgendeine unautorisierte Vorrichtung zugängig sein wird, welche unautorisierten Zugang zu der Client-Vorrichtung 16 oder dem System-Server 12 auf den Netzwerk 14 erhalten kann.
-
Das Verfahren der vorliegenden Offenbarung stellt dadurch einen erheblichen Vorteil dar, dass lästige und/oder kostspielige Arbeitsabläufe von Benutzern der Client-Vorrichtung 16 nicht erforderlich sind. Da der Registrierungs-ID-Code aus einer Kombination von Faktoren erhalten wird, welche von den Hardwarecharakteristiken der jeweiligen Client-Vorrichtung 16 und der Netzwerkadresse der Client-Vorrichtung 16, abgeleitet sind, macht es dies praktisch oder gänzlich unmöglich für eine unautorisierte Vorrichtung einen Registrierungs-ID-Code zu erzeugen, welcher sie selbst betrügerisch als eine autorisierte Client-Vorrichtung identifiziert. Des Weiteren wird eine weitere Sicherheitsebene bereitgestellt, da Berechtigungsinformationen, welche von dem Benutzer bereitgestellt werden, nicht durch Lesen einer beliebigen Datei aus der Client-Vorrichtung 16 erhalten oder abgeleitet werden können. Ferner gibt es praktisch kein Risiko, dass eine unautorisierte Vorrichtung diesen Code erhalten und/oder verwenden kann, da ein neuer Pseudozufallszahlencode ein „Einmal”-Code ist, welcher jedes Mal wenn die Client-Vorrichtung 16 den System-Server 12 anruft erzeugt wird. Schließlich, da ein neuer „Einmal”-Hashcode von der Client-Vorrichtung 16 jedes Mal generiert wird, wenn sie den System-Server 12 kontaktiert, schließt dies praktisch die Möglichkeit aus, dass ihn eine unautorisierte Vorrichtung erhalten kann und ihn verwenden kann, um auf den System-Server 12 zuzugreifen,. Diese Merkmale ermöglichen im Großen und Ganzen, dass ein äußerst hoher Sicherheitsgrad erreicht wird, wenn die Identität einer bestimmten Client-Vorrichtung, welche versucht eine Verbindung mit dem System-Server 12 herzustellen, authentifiziert wird. Das System und Verfahren der vorliegenden Offenbarung ermöglicht es, hohe Sicherheitsverbindungen bei einer unsicheren Leitung zu gewährleisten.