DE202012013589U1 - System zur Steuerung des Benutzerzugriffs auf geschützte Ressourcen unter Verwendung einer Authentifizierung auf mehreren Ebenen - Google Patents

System zur Steuerung des Benutzerzugriffs auf geschützte Ressourcen unter Verwendung einer Authentifizierung auf mehreren Ebenen Download PDF

Info

Publication number
DE202012013589U1
DE202012013589U1 DE202012013589.9U DE202012013589U DE202012013589U1 DE 202012013589 U1 DE202012013589 U1 DE 202012013589U1 DE 202012013589 U DE202012013589 U DE 202012013589U DE 202012013589 U1 DE202012013589 U1 DE 202012013589U1
Authority
DE
Germany
Prior art keywords
user
token
transponder
access
protected resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE202012013589.9U
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of DE202012013589U1 publication Critical patent/DE202012013589U1/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • G06F21/123Restricting unauthorised execution of programs by using dedicated hardware, e.g. dongles, smart cards, cryptographic processors, global positioning systems [GPS] devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/40User authentication by quorum, i.e. whereby two or more security principals are required
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data

Abstract

System zum Steuern des Benutzerzugriffs auf eine geschützte Ressource, wobei das System für Folgendes konfiguriert ist:
Erfassen eines Plug-In-Tokens, der mit einer Vorrichtung verbunden ist, die den Zugriff eines Benutzers auf die geschützte Ressource steuert, wobei der Token einem oder mehreren autorisierten Benutzern zugeordnet ist;
Identifizieren eines oder mehrerer autorisierter Benutzer, denen der erfasste Token zugeordnet ist und die autorisiert sind, auf die geschützte Ressource zuzugreifen;
Authentifizieren, ob einem ersten Benutzer, der den Zugriff auf die geschützte Ressource anfordert, der erfasste Token zugeordnet ist, und ob er autorisiert ist, auf die geschützte Ressource zuzugreifen;
Erfassen des Vorhandenseins eines oder mehrerer drahtloser Transponder eines oder mehrerer autorisierter Benutzer, denen der Token zugeordnet ist, einschließlich wenigstens eines Transponders des ersten Benutzers; und
Bereitstellen des Zugriffs auf die geschützte Ressource für den ersten Benutzer, wenn der erste Benutzer als autorisierter Benutzer authentifiziert ist, dem der erfasste Token zugeordnet ist, und der Transponder wenigstens des ersten Benutzers erfasst ist.

Description

  • Technisches Gebiet
  • Diese Offenbarung betrifft allgemein das Gebiet der Computersicherheit, und insbesondere ein System zur Steuerung des Benutzerzugriffs auf geschützte Vorrichtungen und Anwendungen unter Verwendung einer Authentifizierung auf mehreren Ebenen.
  • Hintergrund
  • In unserer modernen Gesellschaft wird der Schutz von Informationssystemen vor unautorisiertem Zugriff auf das System als Ganzes sowie auf seine einzelnen Komponenten, seine Anwendungen und Vorrichtungen immer wichtiger. Bei den meisten Benutzer-Authentifizierungssystemen wird eine Benutzerauthentifizierung in einem Schritt durchgeführt, um Zugriff auf einen Computer zu erlangen, die üblicherweise den Benutzer sein Login und ein Passwort oder einen PIN-Code eingeben lässt. Für wichtigere Aufgaben, bei denen die durch die Authentifizierung in einem Schritt gebotene Sicherheit möglicherweise nicht ausreichend ist, kann eine zusätzliche, zweite Authentifizierungs-Ebene verwendet werden. Eine solche zweite Ebene kann ein bestimmtes physisches Gerät sein, das Eigentum des Benutzers ist und das die Identität des Benutzers bestätigt, wie ein Token oder eine Smartcard.
  • Diese Vorrichtungen werden gegenwärtig verbreitet im Bankwesen und auch als eine Art, Fernzugriff auf interne Ressourcen einer Firma oder eines Unternehmens zu erlangen, verwendet. Wenn sie richtig verwendet werden, können solche Authentifizierungssysteme auf zwei Ebenen auf dramatische Weise den Zugriff eines Straftäters auf einen Personal Computer (PC) oder einen Firmen-PC des autorisierten Benutzers verhindern. Der Token sollte nur mit einem PC verbunden sein, während der Benutzer damit arbeitet. Wenn der Benutzer seinen Arbeitsplatz verlässt, muss er den Token mitnehmen oder wenigstens sperren. Solche Regeln werden von Benutzern jedoch oft missachtet. Daher umfasst diese Technologie immer einen menschlichen Risikofaktor. Wenn der Benutzer beispielsweise seinen Arbeitsplatz verlässt und vergisst, seinen Token oder seine Smartcard mitzunehmen, kann ein Straftäter Zugriff auf seinen PC erlangen. Manchmal bedarf es nur einer Abwesenheit von einer Minute, damit der Straftäter eine unautorisierte Aktion an dem PC des Benutzers vornehmen kann, wie das Erlangen eines physischen oder Fernzugriffs auf den PC des Benutzers oder das Installieren schädlicher Software, die verbotene Aktionen an dem PC vornehmen würde.
  • Es ergeben sich häufig Situationen, in denen multiple Token mit unterschiedlichen Zugriffsrechten auf das System und auf die Anwendungen und Vorrichtungen mit einem PC verbunden sind. In einer solchen Situation können, abgesehen von einem möglichen Zugriff durch einen Straftäter, mögliche unautorisierte Aktionen auch durch autorisierte Token-Benutzer durchgeführt werden. Beispielsweise sind zwei Token mit einem PC verbunden, von denen einer einem Bankbuchhalter und der andere dem Chefbuchhalter gehört. Um die Bank-Kunden-Systemkomponenten zu aktivieren, die nicht mit Geldtransaktionen in Zusammenhang stehen, ist es notwendig, den Token des Bankbuchhalters zu aktivieren, d. h. ihn zu verbinden und das richtige Passwort einzugeben. Um jedoch die Bank-Kommunikations-Anwendung zu starten, um die Erlaubnis für eine Internetverbindung für Geldüberweisungen zu erhalten, ist jedoch auch der aktivierte Token des Bankprüfers erforderlich. Falls der Bankprüfer sich von dem PC entfernt und vergessen hat, seinen Token zu sperren oder mitzunehmen, kann der Buchhalter unabsichtlich oder absichtlich die Bank-Kommunikations-Anwendung starten, Geldüberweisungen vornehmen oder eine beliebige andere Aktion durchführen, für die er nicht autorisiert ist. Solche Situationen kommen recht häufig vor. Daher scheint der menschliche Faktor ein kritisches Risiko bei der Verwendung der Authentifizierung auf zwei Ebenen zu sein. Es fällt auf, dass viele Arten von Manipulationen an Kunden-Bank-Systemen genau dem oben genannten Muster folgen, bei dem ein Benutzer sich von seinem Arbeitsplatz entfernt und vergisst, seinen Token entweder mitzunehmen oder zu sperren.
  • Die EP 1 684 204 A1 offenbart ein Verfahren zur Steuerung des Zugriffs auf einen Dienst in einer Vorrichtung in einem System, das einen Zugriffs-Manager, einen Stecker und einen Transponder umfasst, wobei der Transponder für eine Kommunikation mit dem Stecker geeignet ist und wobei der Zugriffs-Manager verifiziert, dass der Stecker in dem Gerät eingesteckt ist, dass sich der Transponder bei dem Stecker befindet, dass der Stecker für einen Zugriff auf den Dienst autorisiert ist und dass der Transponder für einen Zugriff auf den Dienst autorisiert ist, so dass bei einer erfolgreichen Verifizierung der Zugriffsmanager einen Zugriff auf den Dienst bietet.
  • Jedoch bleibt eines der Hauptprobleme bei bestehenden Systemen und Verfahren der Mangel an vollständiger Kontrolle über die geschützten Ressourcen. Bestehende Technologien bedienen sich nicht einer ausreichenden Zahl aktiver Token oder Transponder, um verschiedene Zugriffsrechte auf unterschiedliche Arten geschützter Ressourcen wie Computer-Vorrichtungen, Anwendungen und Daten zu geben und um es solchen Vorrichtungen und Anwendungen zu erlauben, verschiedene Aktionen durchzuführen und Zugriff auf bestimmte geschützte Ressourcen eines Betriebssystems, persönliche Benutzerdaten, Cookie-Dateien, Protokolle von Benutzeraktivitäten oder andere Arten geschützter Ressourcen zu erlangen. Dementsprechend besteht Bedarf an einer neuen Methodik zur Durchführung einer Authentifizierung von Benutzern auf mehreren Ebenen, um einen unautorisierten Zugriff eines Benutzers oder einer Gruppe von Benutzern auf eine geschützte Computerressource zu verhindern.
  • Kurze Beschreibung der Erfindung
  • Offenbart wird ein System zur Steuerung des Zugriffs auf geschützte Vorrichtungen und Anwendungen unter Verwendung einer Benutzer-Authentifizierung auf mehreren Ebenen gemäß Anspruch 1.
  • Ein entsprechendes Verfahren umfasst das Erfassen eines Plug-In-Tokens, der mit einer Vorrichtung verbunden ist, die den Benutzerzugriff auf eine geschützte Ressource steuert; das Identifizieren eines oder mehrerer autorisierter Benutzer, denen der erfasste Token zugeordnet ist und die autorisiert sind, auf die geschützte Ressource zuzugreifen; das Authentifizieren, ob einem ersten Benutzer, der Zugriff auf die geschützte Ressource verlangt, der erfasste Token zugeordnet ist und er autorisiert ist, auf die geschützte Ressource zuzugreifen; das Erfassen des Vorhandenseins eines oder mehrerer drahtloser Transponder eines oder mehrerer autorisierter Benutzer, denen der Token zugeordnet ist, einschließlich wenigstens eines Transponders des ersten Benutzers; und Bereitstellen des Zugriffs auf die geschützte Ressource für den ersten Benutzer, wenn der erste Benutzer als autorisierter Benutzer authentifiziert wird, dem der erfasste Token zugeordnet ist, und der Transponder wenigstens des ersten Benutzers erfasst wird.
  • Die oben stehende vereinfachte kurze Beschreibung einer oder mehrerer beispielartiger Ausführungsformen dient dem grundsätzlichen Verständnis der Erfindung. Diese kurze Beschreibung ist kein umfassender Überblick aller in Betracht gezogener Aspekte der Erfindung und soll weder Schlüsselelemente oder kritische Elemente aller Ausführungsformen definieren noch den Schutzbereich einiger oder aller Ausführungsformen umreißen. Ihr einziger Zweck ist es, eine oder mehrere Ausführungsformen in vereinfachter Form als Einführung zu der folgenden, ausführlicheren Beschreibung der Erfindung darzustellen. Um dies zu erreichen, umfassen die eine oder die mehreren Ausführungsformen die Merkmale, die in den Ansprüchen beschrieben und besonders hervorgehoben sind.
  • Kurze Beschreibung der Zeichnungen
  • Die beigefügten Zeichnungen, die Teil dieser Beschreibung sind, stellen eine oder mehrere beispielartige Ausführungsformen der Erfindung dar und dienen zusammen mit der ausführlichen Beschreibung dazu, ihre Prinzipien und Anwendungen zu erläutern.
  • 1 stellt eine beispielartige Ausführungsform eines Systems zur Steuerung des Zugriffs auf geschützte Ressourcen unter Verwendung einer Benutzer-Authentifizierung auf mehreren Ebenen dar.
  • 2A stellt eine weitere beispielartige Ausführungsform eines Systems zur Steuerung des Zugriffs auf geschützte Ressourcen unter Verwendung einer Benutzer-Authentifizierung auf mehreren Ebenen dar.
  • 2B stellt eine weitere beispielartige Ausführungsform eines Systems zur Steuerung des Zugriffs auf geschützte Ressourcen unter Verwendung einer Benutzer-Authentifizierung auf mehreren Ebenen dar.
  • 3 stellt eine beispielartige Konfiguration eines erfindungsgemäßen Transponders dar.
  • 4 stellt eine beispielartige Methodik der Benutzer-Authentifizierung auf mehreren Ebenen dar.
  • 5 stellt eine beispielartige Methodik für den Betrieb des Systems zur Steuerung des Zugriffs auf geschützte Ressourcen unter Verwendung einer Benutzer-Authentifizierung auf mehreren Ebenen dar.
  • 6 stellt ein Blockdiagramm eines Mehrzweckcomputers dar, der geeignet ist, das erfindungsgemäße System zur Steuerung des Zugriffs auf geschützte Ressourcen zu implementieren.
  • Ausführliche Beschreibung beispielartiger Ausführungsformen
  • Beispielartige Ausführungsformen der Erfindung sind hier im Kontext von Systemen, Verfahren und Computerprogrammprodukten zur Verwendung einer Authentifizierung auf mehreren Ebenen zur Steuerung des Benutzerzugriffs auf geschützte Ressourcen wie Computer-Vorrichtungen, Anwendungen und Daten einschließlich beispielsweise bestimmte geschützte Ressourcen eines Betriebssystems, persönliche Benutzerdaten, Cookie-Dateien, Protokolle von Benutzeraktivitäten und andere Arten geschützter Computer-Ressourcen beschrieben. Dem Durchschnittsfachmann wird klar sein, dass die folgende Beschreibung rein illustrativ und in keiner Weise einschränkend gemeint ist. Weitere Ausführungsformen werden dem Fachmann ohne weiteres klar werden, der von dieser Offenbarung profitiert. Im Folgenden wird detailliert auf beispielartige Ausführungsformen eingegangen, wie in den beigefügten Zeichnungen dargestellt. Dieselben Bezugszeichen werden, soweit möglich, in den Zeichnungen und in der folgenden Beschreibung verwendet, um dieselben oder gleichartige Gegenstände zu bezeichnen.
  • 1 stellt eine beispielartige Ausführungsform eines Systems zur Steuerung des Benutzerzugriffs auf geschützte Ressourcen unter Verwendung einer Authentifizierung auf mehreren Ebenen dar. Das System besteht aus einem oder mehreren Benutzer-Token zur Authentifizierung 111112 (beispielsweise Token oder Smartcards), die mit einem Computer 100 verbunden sind (beispielsweise einem Personal Computer, einem Notebook, einem Tablet), sowie einem oder mehreren kabellosen Transpondern 121122 (beispielsweise Transmitter oder RFID-Tags), die unterschiedliche Benutzer identifizieren. Jeder der Transponder 121122 kann eine beliebige Form oder Größe haben. Er kann kompakt genug sein, um in die Tasche eines Kleidungsstücks des Benutzers zu passen, oder relativ groß sein. Der Transponder 121 kann die Form eines Schlüsselanhängers, eines Identifikations-Namensschilds oder eine beliebige andere Gestalt oder Form haben. Außerdem kann der Transponder 121 direkt an der Haut des Benutzers angebracht sein. Solche Technologien umfassen beispielsweise Mikrochips auf Disulfid-Molybdän-Basis. Bezüglich der meisten seiner Eigenschaften übertrifft Molybdän Silikon, das in den meisten modernen elektronischen Geräten verwendet wird. Ein aus diesem Material hergestellter Chip ist flexibler, hat sehr kleine Komponenten und verbraucht weniger Energie. Solche Molybdän-Transistoren können viel schneller schalten, so dass Computer-Operationen mit viel höherer Geschwindigkeit durchgeführt werden. Die Funktion des Transponders 121 kann auch in ein anderes Gerät eingebaut werden, wie ein Mobiltelefon, ein Smartphone oder einen tragbaren Personal Computer. Bei einer beispielartigen Ausführungsform können die Token 111112 einen eingebauten digitalen Empfänger-Transmitter aufweisen, der die Verbindung zu den Transpondern 121122 über eine drahtlose Verbindung hält (wie RFID, Bluetooth, IrDA oder eine andere Art drahtloser Verbindung). In diesem Fall kann der Token 111 sich selbst sperren oder entsperren und die Steuerungsregeln von Vorrichtungen und Anwendungen in dem Computer 100 auf der Grundlage des Ergebnisses der Verbindung zu den Transpondern 121122 nutzen.
  • Bei einer beispielartigen Ausführungsform können unterschiedliche Regeln für unterschiedliche Kombinationen von Token und zugehörigen Transpondern verwendet werden. Beispielsweise kann eine Regel zur Steuerung von Vorrichtungen und Anwendungen im Verlauf einer Verbindung zwischen dem Token 111 und dem Transponder 121 anwendbar sein, während im Fall einer Verbindung zwischen dem Token 111 und dem Transponder 122 eine andere Regel gelten kann. Zum Zweck der Verlässlichkeit können die Verbindung und Authentifizierung des Transponders 121 zu dem Token 111 unter Verwendung verschiedener Verschlüsselungssysteme durchgeführt werden. Beispielsweise kann ein asymmetrisches Verschlüsselungssystem verwendet werden; in diesem Fall ist die Verbindung zweigleisig (in zwei Richtungen). Der Token 111 generiert Zufallsdaten und codiert sie mit einem öffentlichen Schlüssel des Tokens 111. Anschließend sendet er die codierten Daten an den Transponder 121, der seinerseits die Informationen mit Hilfe seines privaten Schlüssels decodiert. Anschließend codiert der Transponder 121 mit seinem öffentlichen Schlüssel die Nachricht, an der er einige Veränderungen vornehmen kann (zum Beispiel kann er die Transpondernummer, Benutzerdaten, eine eindeutige Vorgangskennung hinzufügen), und sendet sie zurück an den Token 111. Der Token 111 decodiert die empfangenen Daten mit Hilfe seines eigenen privaten Schlüssels und führt die Verifizierung durch. In diesem Fall werden die Paare geheimer Schlüssel generiert, wenn der Token 111 dem Transponder 121 zugeordnet wird. Diese geheimen Schlüssel können in regelmäßigen Abständen durch das System gewechselt oder aktualisiert werden. Bei einem Beispiel einer Ausführungsform kann der Token 111 zusätzlich den Abstand zu dem Transponder 121 messen. Der Abstand kann beispielsweise auf der Grundlage einer Messung der Verzögerung des Empfangs von Nachrichten von dem Transponder 121 und/oder einer Messung der Signalstärke an dem Empfänger des Tokens 111 gemessen werden. Bei einem anderen Beispiel einer Ausführungsform kann der Token 111 auch die relative Position des Transponders 121 im Raum bestimmen. In diesem Fall kann der Token 111 oder der Transponder 121 zwei Antennen haben, um die Raumdiversität zu verbessern und die Ortsbestimmung zu erleichtern.
  • 2A zeigt eine weitere beispielartige Ausführungsform des Systems zur Steuerung des Zugriffs auf geschützte Ressourcen unter Verwendung einer Benutzer-Authentifizierung auf mehreren Ebenen. Insbesondere kann der Computer 100 mit einem Sperrmodul 200 verbunden sein (z. B. einem Hub, einem Netzwerk-Konzentrator, einem USB-Konzentrator), das die Verbindung zu den Transpondern 121122 ausführt. Das Sperrmodul 200 kann Befehle für den PC empfangen und seine eigenen Befehle an den PC senden. Bei einem Beispiel einer Ausführungsform kann das Sperrmodul 200 mit einem oder mehreren Token 111112 sowie anderen Vorrichtungen 113114 verbunden sein, die eine geeignete Schnittstelle für die Verbindung aufweisen (solche Vorrichtungen können beispielsweise eine Flash-Card, ein externes Modem oder Dateneingabevorrichtungen wie eine Maus oder eine Tastatur sein). Bei diesem Beispiel wird das Sperren und Entsperren eines oder mehrerer Token sowie die Anwendung der Regeln zur Steuerung der Vorrichtungen und Anwendungen in dem Computer 100 durch das Sperrmodul 200 durchgeführt. Das Sperrmodul 200 kann auch eine oder mehrere mit ihm verbundene Vorrichtungen wie die Token 111112 und andere verbundene Vorrichtungen 113114 trennen sowie den PC vollständig sperren. Bei einer weiteren beispielartigen Ausführungsform kann der Transponder 121 die Funktion des Tokens 111 umfassen, wodurch es für den Benutzer unnötig wird, die beiden getrennten Vorrichtungen mit sich zu führen.
  • 2B stellt noch eine weitere beispielartige Ausführungsform des Systems zur Steuerung des Zugriffs auf geschützte Ressourcen unter Verwendung einer Benutzer-Authentifizierung auf mehreren Ebenen dar. Insbesondere kann das Transmitter-Modul 210 (beispielsweise Bluetooth oder ein beliebiger anderer drahtloser Transmitter) mit dem Computer 100 verbunden oder darin eingebaut sein und verwendet werden, um eine Zwei-Wege-Verbindung zu den Transpondern 121122 zu schaffen (beispielsweise ein Transmitter oder eine tragbare Vorrichtung mit einem eingebauten Bluetooth-Modul oder einem beliebigen anderen drahtlosen Modul). Der Computer 100 ist mit einem oder mehreren Token 111112 sowie anderen Vorrichtungen 113114 verbunden. Bei diesem Ausführungsbeispiel führt die auf dem Computer 100 installierte Anwendung ein Sperren und Entsperren der Token 111112 sowie ein Anwenden der Regeln zur Steuerung der Vorrichtungen und Anwendungen durch. Diese Ausführungsform der Erfindung erfordert keine spezielle Hardware-Ausrüstung und ist einfacher und billiger im Gebrauch. Ein weiterer Vorteil dieser Ausführungsform ist die Möglichkeit, eine zentrale Konfiguration und Einrichtung des Systems durchzuführen. Bei einer Ausführungsform kann der Transponder 121 die Funktion des Tokens 111 umfassen.
  • 3 stellt eine beispielartige Ausführungsform des Transponders 121 dar. Der Transponder 121 umfasst einen Zentralprozessor 320 und ein Speichermodul 330 und kann auch einige andere Vorrichtungen umfassen. Der Zentralprozessor 320 kann ein Co-Prozessor, ein Mikrokontroller oder eine beliebige andere rechenfähige Vorrichtung sein. Der Prozessor 320 wird verwendet, um die Systemeffizienz und die Kooperation aller Komponenten des Transponders aufrechtzuerhalten. Das Speichermodul 330, das mit dem Zentralprozessor 320 verbunden ist, kann ein nichtflüchtiger Speicher sein, der kryptografische Schlüssel wie digitale Signaturen, ein digitales Zertifikat für eine Benutzerauthentifizierung auf einem der Token 111112 und andere Daten speichern kann. Das Speichermodul 330 kann die gesamte oder einen Teil der Information in codierter Form speichern, um bessere Sicherheit zu bieten. Die Benutzerauthentifizierungs-Anwendung kann in dem Prozessor 320 durchgeführt werden.
  • Der Transponder 121 umfasst auch eine Stromquelle 340 (beispielsweise eine aufladbare Zelle, eine Zink-Kohle-Batterie oder eine alkalische Batterie), die den Prozessor 320 und das Speichermodul 330 sowie die Dateneingabevorrichtung 350 mit Energie versorgt, die verwendet werden kann, um ein Passwort einzugeben oder ein Notsignal weiterzuleiten (eine solche Vorrichtung kann beispielsweise aus einer oder mehreren Tasten der Tastatur bestehen). Der Transponder umfasst auch eine drahtlose Schnittstelle 310 für eine Verbindung zu den Token 111112, dem Sperrmodul 200 oder dem Transmittermodul 210. Die drahtlose Verbindung zwischen den Transpondern 121122 und den oben genannten Vorrichtungen kann durch drahtlose Protokolle wie RFID, Bluetooth, ZigBee, WiFi oder ein beliebiges anderes drahtloses Verbindungsprotokoll durchgeführt werden. Bei einer der Ausführungsformen der Erfindung können die Komponenten 310330 in einem Regler mit einem integrierten drahtlosen Verbindungsmodul kombiniert sein.
  • 4 stellt eine beispielartige Methodik der Benutzer-Authentifizierung auf mehreren Ebenen dar. Bei Erfassung eines Plug-In-Tokens 111, der mit dem Computer 100 verbunden ist, in Schritt 400, wird während des nächsten Schritts 405 die Authentifizierung eines oder mehrerer Benutzer dieses Tokens 111 an dem Computer 100 durchgeführt. Ein Benutzer kann in Schritt 405 nach einem Login-Namen und einem Passwort gefragt werden, falls es notwendig ist, dieses Passwort in den Computer 100 einzugeben. Wenn der Benutzer nicht autorisiert ist, wird der Token 111 nicht aktiviert, und in Schritt 415 können neue Regeln gemäß den Bedingungen für die Anwendung solcher Regeln angewendet werden. In Schritt 410 wird innerhalb des Empfangsbereichs des Tokens 111, der Sperrvorrichtung 200 oder des internen/externen Empfängers/Transmitters 210 die Verbindung zu allen zugänglichen Transpondern hergestellt, einschließlich des Transponders des authentifizierten Benutzers. Falls die erforderliche Gruppe von Transpondern 121122, die Zugriff auf den Token 111 haben, innerhalb des Empfangsbereichs dieses Tokens vorhanden ist, werden bei deren Identifizierung in Schritt 420 geeignete Regeln für das Sperren/Aktivieren des Tokens 111, des Computers 100 oder des Sperrmoduls 200 sowie die Regeln für die Steuerung von Vorrichtungen und Anwendungen angewandt. Diese Regeln hängen beispielsweise ab von: dem Vorhandensein eines oder mehrerer spezifischer Transponder 121122 oder deren Kombinationen innerhalb des Empfangsbereichs des Computers 100, des Sperrmoduls 200 und/oder eines oder mehrerer Token 121122; von der Zeit des Nichtvorhandenseins oder Vorhandenseins eines oder einer Kombination aus Transpondern 121122 innerhalb des Empfangsbereichs der oben genannten Vorrichtungen; von der aktuellen Zeit und dem aktuellen Datum; und/oder von Nachrichten, die von einem oder mehreren Transpondern 121122 kommen. Falls die erforderliche Gruppe von einem oder mehreren Transpondern 121122 innerhalb des Empfangsbereichs des Tokens 111 nicht vorhanden ist, wird dieser Token 111 nicht aktiviert, woraufhin die geeigneten Regeln für die Steuerung von Vorrichtungen und Anwendungen in Schritt 415 angewandt werden. Die Regeln, die Bedingungen für die Aktivierung und die Regelhierarchie können von dem Administrator des Computers 100 festgelegt werden. Bei der Ausführungsform, in der der Transponder 121 die Funktion des Tokens 111 umfasst, fehlt Schritt 400, da die Token-Funktion in den Transponder eingebaut ist. Die Benutzer-Authentifizierung des Transponders 121 wird in Schritt 405 durchgeführt, wenn er innerhalb des Empfangsbereichs des Computers 100 vorhanden ist. Bei der Benutzerautorisierung werden die geeigneten Regeln für ein Sperren/Aktivieren des Computers 100 oder des Sperrmoduls 200 zusammen mit den Regeln zur Steuerung der Vorrichtungen und Anwendungen angewandt.
  • 5 stellt eine beispielartige Methodik des Betriebs des Systems zur Steuerung des Zugriffs auf geschützte Ressourcen und Anwendungen unter Verwendung einer Benutzer-Authentifizierung auf mehreren Ebenen dar. In Schritt 500 führt das System mit Hilfe des in 4 gezeigten Algorithmus eine Authentifizierung aller Token 111112 durch, die mit dem Computer 100 verbunden sind. In Schritt 505 wendet das System die Regeln zur Steuerung von Vorrichtungen und Anwendungen entsprechend den Token 111112, die bereits mit dem Computer verbunden sind, und den Transpondern 121122, die mit den Token 111112 verknüpft sind, sowie entsprechend dem Timing und anderer Bedingungen an. Anschließend werden in den Schritten 510, 515, 520 und 525 die Ereignisse überwacht. In Schritt 510 prüft das System, ob die Zahl der Transponder 121122 innerhalb des Empfangsbereichs des Tokens 111 geändert wurde. Wenn in Schritt 505 ihre Zahl geändert wurde, können neue Regeln zur Steuerung der Vorrichtungen und Anwendungen angewandt werden. In dem Fall, wenn in Schritt 510 aufgrund einer Fehlfunktion oder des Nichtvorhandenseins des Empfängers des Tokens 111, des Computers 100 oder des Sperrmoduls 210 keine Verbindung zu den Transpondern hergestellt wurde, ist Schritt 505 der nächste Schritt, in dem die Fehlfunktions-Bedingung des Empfängers als Bedingung für die Anwendung der Regeln wirkt. Bei einem Beispiel einer Ausführungsform kann die oben genannte Bedingung als Bedingung für das Nichtvorhandensein der Verbindung aller Token 111112 zu allen Transpondern 121122 wirken, so dass ähnliche Regeln gelten.
  • Bei einem anderen Beispiel einer Ausführungsform können die Regeln zur Steuerung der Vorrichtungen und Anwendungen zusätzlich das Generieren und Senden einer Nachricht an den Netzwerk-Administrator oder den Sicherheitsdienst umfassen, da oft die Fehlfunktionen der Transmittervorrichtung auf eine bösartige Aktion zurückzuführen sein können. Wenn in Schritt 510 keine Änderungen aufgetreten sind, dann wird in Schritt 515 eine Überprüfung durchgeführt, um zu bestimmen, ob es ein Signal von der Dateneingabevorrichtung eines oder mehrerer Transponder 121122 gegeben hat. Falls ein solches Signal tatsächlich gekommen ist, werden in Schritt 505 die geeigneten Regeln angewandt. Falls es keine Signale gegeben hat, wird in Schritt 520 eine Prüfung durchgeführt, um zu bestimmen, ob einer der Transponder 121122 innerhalb des Empfangsbereichs länger als die vorbestimmte Zeit aktiv war. Wenn keiner der Transponder 121122 innerhalb des Empfangsbereichs länger als die vorbestimmte Zeit aktiv war, wird mit Schritt 525 weitergearbeitet. Wenn einer oder mehrere der Transponder 121122 innerhalb des Empfangsbereichs länger als eine vorbestimmte Zeitspanne aktiv war, wird in Schritt 505 eine geeignete Regel angewandt.
  • Es ist zu beachten, dass, wenn beispielsweise mehr als 10–60 Sekunden keine Verbindung zu dem Transponder 121 bestand, angenommen werden kann, dass der Transponder 121 nicht aktiv war, weil der Benutzer des Transponders 121 sich tatsächlich von seinem Arbeitsplatz entfernt hat. Wenn diese Zeit beispielsweise weniger als 10–30 Sekunden betrug, kann angenommen werden, dass der Benutzer des Transponders 121 sich nicht entfernt hat und der Transponder 121 weiterhin aktiv war, dass jedoch Unterbrechungen der Verbindung aufgetreten sein können oder dass der Benutzer sich für einen kurzen Zeitraum entfernt hat. Die Zeit der Inaktivität für den Transponder 121 kann von dem Netzwerkadministrator vorbestimmt werden und kann für verschiedene Transponder unterschiedlich sein, oder sie kann abhängig von Zeit oder Datum oder von anderen Bedingungen variieren. In Schritt 525 wird eine Prüfung durchgeführt, um zu bestimmen, ob das aktuelle Datum und die aktuelle Zeit sich geändert haben, so dass neue Regeln zur Steuerung der Vorrichtungen und Anwendungen angewandt werden können. In dem Fall, wenn auf der Grundlage des aktuellen Datums und der aktuellen Zeit eine neue Regel angewandt werden muss, wird sie in Schritt 505 angewandt. Anderenfalls wird die Beobachtung in Schritt 510 fortgesetzt. Ein Beispiel einer solchen Regel kann das Sperren des Zugriffs des Nutzers auf den Computer 100 und das Generieren einer Nachricht an den Sicherheitsdienst sein, wenn der Transponder des vorgesetzten Benutzers (z. B. des Chefbuchhalters der Bank) ununterbrochen mehr als 8 Stunden lang innerhalb des Empfangsbereichs des Tokens war, da eine solche Situation untypisch wäre und das Ergebnis betrügerischer Handlungen durch den vorgesetzten Benutzer (z. B. des Chefbuchhalters der Bank) sein kann. Bei dem oben genannten Beispiel kann das Auftreten des Fehlens der Verbindung zu dem Transponder über weniger als eine vorbestimmte Zeitspanne nicht als Abwesenheit des Transponders innerhalb des Empfangsbereichs betrachtet werden, da ein kurzes Fehlen einer Verbindung (z. B. weniger als 10–30 Sekunden) durch Unterbrechungen der Verbindung oder eine kurzzeitige Abwesenheit des Benutzers von seinem Arbeitsplatz verursacht sein kann.
  • In einem Beispiel einer Ausführungsform kann ein zusätzlicher Schritt hinzugefügt werden, um den Abstand zu den Transpondern 121122 zu bestimmen. Es kann auch ein weiterer Schritt hinzugefügt werden, während dessen die Bestimmung der relativen Position der Transponder 121122 durchgeführt wird. In diesem Fall können die in Schritt 505 angewandten Regeln zur Steuerung von Vorrichtungen und Anwendungen auch die Bedingungen für die Anwendung der Regeln umfassen, wie der Abstand von dem Token 111 zu dem Transponder 121 oder zu einer Gruppe der Transponder 121122 (in dem Fall, wenn die geeigneten Transponder 121122 innerhalb des Empfangsbereichs des Tokens 111 sind) oder die Position des Transponders 121 oder einer Gruppe der Transponder 121122 bezüglich des Tokens 111 im Raum sowie alle möglichen Kombinationen der oben genannten Bedingungen für die Anwendung der Regeln zur Steuerung der Vorrichtungen und Anwendungen (beispielsweise der aktuelle Wochentag und der aktuelle Abstand zu dem Transponder). Es ist zu beachten, dass im Fall der Verbindung eines neuen Tokens mit dem Computer oder im Fall einer Trennung eines der Token das Überwachen der in den Schritten 510, 515, 520, 525 auftretenden Ereignisse zusammen mit dem in den Schritten 400420 durchgeführten Vorgang der Authentifizierung des Tokens durchgeführt werden kann, da in manchen Fällen die erwähnte Authentifizierung lange dauern kann (insbesondere wenn der Benutzer lange braucht, um das Passwort einzugeben), wobei während dieser Zeit einige Ereignisse auftreten können (beispielsweise die Verbindung oder Trennung eines neuen Transponders usw.). Zusammen mit diesem Ereignis kann auch die Authentifizierung mehrerer Token an dem Computer 100 oder dem Sperrmodul 200 durchgeführt werden.
  • Die unten stehende Tabelle 1 zeigt ein Beispiel für Regeln zur Steuerung des Zugriffs auf geschützte Ressourcen wie Vorrichtungen, Anwendungen und Daten.
    Priorität Anwendung der Regeln Regeln
    0 Immer Anwendungsausführung erlauben [Betriebssystemkomponente]
    1 Immer Anwendungsausführung erlauben [Microsoft Office]
    2 Immer Anwendungsausführung erlauben [1C]
    3 Mittagspause Anwendungsausführung erlauben [Solitaire, Miner]
    4 Geschäftszeit + Transponder von Buchhalter Schmidt innerhalb Empfangsbereich des Tokens Anwendungsausführung erlauben [Kunde Sberbank]
    5 Geschäftszeit + Transponder von Buchhalter Schmidt oder Meier innerhalb Empfangsbereich des Tokens Anwendungsausführung erlauben [Kunde Bank of Moscow]
    6 Transponder des Chefbuchhalters innerhalb Empfangsbereich des Tokens Anwendungsausführung erlauben [Kunde Sberbank, Kunde Bank of Moscow]
    7 Immer Allen alles verbieten
  • In Schritt 505 analysiert das System die Tabelle der Regeln zur Steuerung der Vorrichtungen und Anwendungen (z. B. Tabelle 1). Einer Suche nach einer Regel wird eine Priorität zugeordnet (in unserem Fall ist 0 die oberste Priorität). Zuerst überprüft das System die Bedingungen – falls vorhanden – für die Anwendung der Regel. Falls es tatsächlich eine Bedingung für die Anwendung der Regel gibt und diese nicht erfüllt ist, wird die Regel übersprungen und die nächste Regel in der Prioritätsrangfolge wird genommen. Falls keine Bedingung für die Anwendung der Regel existiert (das in Tabelle 1 gezeigte Beispiel hat in diesen Fällen die Bedingung „immer”) oder wenn sie existiert und erfüllt ist, wird die Regel angewandt und eine Prüfung wird ausgeführt, um festzustellen, ob sie befolgt wird oder nicht. Wenn sie befolgt wird, heißt das, dass dieser Regel eine Aktion zugeordnet ist (beispielsweise das Erlauben der Aktivierung einer Anwendung, das Verbieten der Aktivierung einer Anwendung, oder das Senden einer Anfrage an den Netzwerk-Administrator usw.), die das System ausführen soll.
  • Falls eine Regel nicht angewandt wird (d. h. der Regel keine Aktion zugeordnet ist), wird keine Aktion durchgeführt. Dann wird die nächste Regel in der Prioritätenrangfolge herangezogen. Die Suche wird in dem Fall beendet, wenn die herangezogene Regel die letzte in der Tabelle ist (üblicherweise ist der letzten Regel keine Bedingung für die Anwendung der Regel und keine Überprüfungen zugeordnet, d. h. sie lautet wie folgt: „Allen Benutzern immer jede Aktion erlauben/verbieten”. In diesem Fall wird die letzte Regel nur in dem Fall angewandt, dass keine andere Regel angewandt wurde. Bei einem Beispiel einer Ausführungsform können stehende Regeln angewandt werden, d. h. Regeln, die jederzeit überprüft werden (in Tabelle 1 sind dies die Regeln mit der Priorität 0–2). In dem betrachteten Beispiel in Tabelle 1 werden, wenn der PC gestartet wird, die Regeln 0–2 gleichzeitig angewandt, was es ermöglichen würde, die Komponente des Betriebssystems und zwei Anwendungen, nämlich Microsoft Office und Anwendung 1C, zu starten. Wenn die Mittagspause kommt (dieses Ereignis wird in Schritt 525 bestimmt), wird in Schritt 505 eine Suche in Tabelle 1 durchgeführt, wo die Regel mit der Priorität 3 gefunden und angewandt wird.
  • In Tabelle 1 werden die Regeln mit den Prioritäten 0–2 verwendet, um den Computer zu booten, und auch, damit ein notwendiges Minimum an Aktionen durchgeführt werden kann. Die Regel mit Priorität 3 ist ein Beispiel für eine zeitabhängige Bedingung für die Anwendung der Regeln zur Steuerung von Vorrichtungen und Anwendungen. Die Regeln 4–5 sind Beispiele für Regeln, deren Bedingungen abhängig sind von der Zeit und dem Vorhandensein eines Transponders innerhalb des Empfangsbereichs des Tokens. An diesem Punkt funktioniert Regel 6 zusammen mit den Regeln 4–5 (eine der Regeln 4–5 wird angewandt, wenn ein Buchhalter als Benutzer bei der Arbeit ist, anderenfalls wird Regel 6 angewandt, wenn der Transponder des Buchhalters als Benutzer innerhalb des Empfangsbereichs des Transponders des Chefbuchhalters ist). Regel 7 sperrt den Zugriff auf alle Anwendungen und Vorrichtungen für alle autorisierten Benutzer zu jeder Zeit und wird angewandt, falls die Regeln 0–6 nicht angewandt wurden.
  • Die unten stehende Tabelle 2 zeigt ein weiteres Beispiel für Regeln zur Steuerung des Zugriffs auf geschützte Ressourcen wie Vorrichtungen, Anwendungen und Daten.
    Priorität Anwendung von Regeln Regeln
    0 Immer Anwendungsausführung erlauben [Betriebssystemkomponente]
    1 Immer Anwendungsausführung erlauben [Microsoft Office]
    2 Immer Anwendungsausführung erlauben [1C]
    3 Mittagspause Anwendungsausführung erlauben [Solitaire, Miner]
    4 Kein Transponder des Chefbuchhalters innerhalb Empfangsbereich des Tokens Allen alles verbieten
    5 Geschäftszeit + Transponder von Buchhalter Schmidt innerhalb Empfangsbereich des Tokens Anwendungsausführung erlauben [Kunde Sberbank]
    6 Geschäftszeit + Transponder von Buchhalter Schmidt oder Meier innerhalb Empfangsbereich des Tokens Anwendungsausführung erlauben [Kunde Bank of Moscow]
    7 Immer Allen alles verbieten
  • Im Vergleich zu Tabelle 1 umfasst Tabelle 2 eine neue Regel mit Priorität 4, und die Regel mit Priorität 6 wurde aus der Tabelle entfernt. Regel 4 zeigt die Logik des Verbots des Zugriffs durch einen beliebigen Nutzer auf die geschützte Ressource bei Nichtvorhandensein des Transponders des vorgesetzten Benutzers (z. B. des Chefbuchhalters) innerhalb des Empfangsbereichs des Tokens. In diesem Fall kann kein Buchhalter in Abwesenheit des Chefbuchhalters der Bank in dem Kunden-Bank-System arbeiten. Insbesondere kann das System wie folgt operieren. Zuerst identifiziert das System einen oder mehrere autorisierte Benutzer, denen der Token zugeordnet ist, einschließlich der Identifikation eines vorgesetzten Benutzers. Das System sucht und erfasst anschließend die Transponder aller Benutzer, denen der Token zugeordnet ist, einschließlich eines Transponders des vorgesetzten Benutzers. Zuletzt bietet das System allen erfassten Benutzern nur dann Zugriff auf die geschützte Ressource, wenn der Transponder des vorgesetzten Benutzers innerhalb des Empfangsbereichs des Tokens erfasst wurde.
  • Es ist zu beachten, dass die Tabellen der Regeln zur Steuerung der Vorrichtungen und Anwendungen zusätzliche Spalten aufweisen können, die in den oben dargestellten Beispielen nicht gezeigt sind. Außerdem können Aktionen im Zusammenhang mit einer Regel zusätzlich einem Benutzer oder einer Gruppe von Benutzern den Zugriff auf die Computervorrichtungen verbieten oder erlauben. Bei einem Beispiel einer Ausführungsform können solche Vorrichtungen verschiedene Medien wie Festplattenlaufwerke, entfernbare Laufwerke, Banddaten, CDs/DVDs, Vorrichtungen zur Datenübertragung, z. B. ein Modem, Vorrichtungen zur Übersetzung digitaler Daten in physische Daten, z. B. Drucker, oder Schnittstellen, die verwendet werden, um Vorrichtungen an den Computer anzuschließen (beispielsweise USB, Bluetooth, IrDA) sein. Solche Aktionen gemäß den Regeln zur Steuerung von Vorrichtungen und Anwendungen können den Zugriff der Programme auf persönliche Benutzerdaten, Ressourcen des Betriebssystems und andere Arten geschützter Computerressourcen planen und steuern. Solche Daten können sowohl Benutzerdateien (z. B. der Ordner „Meine Dokumente” im Betriebssystem Windows, Cookie-Dateien, Benutzeraktivitätsprotokolle usw.) als auch die Dateien, Ordner und Registrierungsschlüssel sein, die Arbeitsparameter und wichtige Informationen aus häufig benutzten Programmen enthalten. Außerdem können Aktionen gemäß den Regeln zur Steuerung von Vorrichtungen und Anwendungen den Start des Betriebssystems und unterschiedlicher auf dem PC installierter Anwendungen durch den Benutzer regeln.
  • 6 stellt eine beispielartige Ausführungsform eines Computersystems 5 dar, das zur Implementierung des Systems für eine Benutzer-Authentifizierung auf mehreren Ebenen verwendet werden kann. Wie gezeigt kann das Computersystem 5 einen oder mehrere Hardware-Prozessoren 15, Speicher 20, ein oder mehrere Festplattenlaufwerke 30, ein oder mehrere optische Laufwerke 35, eine oder mehrere serielle Schnittstellen 40, eine Grafikkarte 45, eine Audiokarte 50 und Netzwerkkarte(n) 55 umfassen, die von einem Systembus 10 verbunden werden. Der Systembus 10 kann eine beliebige von verschiedenen Busstrukturarten sein, einschließlich eines Speicherbusses oder eines Speicher-Controllers, eines Peripheriebusses und eines lokalen Busses, wobei eine beliebige einer Vielzahl von bekannten Busarchitekturen verwendet wird. Der Prozessor 15 kann einen oder mehrere Intel®Core 2 Quad 2,33 GHz-Prozessoren oder eine andere Art Mikroprozessor aufweisen.
  • Der Systemspeicher 20 kann einen permanenten Speicher (ROM) 21 und einen Arbeitsspeicher (RAM) 23 umfassen. Der Speicher 20 kann als DRAM (dynamisches RAM), EPROM, EEPROM, Flash- oder andere Art der Speicherarchitektur ausgeführt sein. Das ROM 21 speichert ein Eingabe-/Ausgabesystem (BIOS) 22, das die Grundroutinen enthält, die helfen, Informationen zwischen den Komponenten des Computersystems 5 zu übertragen, beispielsweise beim Hochfahren. Das RAM 23 speichert das Betriebssystem 24 (OS), wie Windows® XP Professional oder eine andere Art eines Betriebssystems, das für das Management und die Koordination der Vorgänge und die Zuweisung und das Teilen der Hardware-Ressourcen in dem Computersystem 5 verantwortlich ist. Der Speicher 20 speichert auch Anwendungen und Programme 25. Der Speicher 20 speichert auch verschiedene Laufzeitdaten 26, die von den Programmen 25 verwendet werden.
  • Das Computersystem 5 kann weiterhin ein oder mehrere Festplattenlaufwerke 30, wie ein SATA-Magnetfestplattenlaufwerk (HDD), sowie ein oder mehrere optische Laufwerke 35 zum Lesen oder Schreiben auf einer entfernbaren optischen Platte wie einer CD-ROM, DVD-ROM oder anderen optischen Medien aufweisen. Die Laufwerke 30 und 35 und ihre angeschlossenen computerlesbaren Medien bieten eine nichtflüchtige Speicherung computerlesbarer Instruktionen, Datenstrukturen, Anwendungen und Programmodulen/Subroutinen, die hier offenbarte Algorithmen und Verfahren ausführen. Obgleich das beispielartige Computersystem 5 magnetische und optische Platten verwendet, wird dem Fachmann klar sein, dass andere Arten computerlesbarer Medien, die Daten speichern können, die einem Computersystem 5 zugänglich sind, wie Magnetcassetten, Flash-Speicherkarten, digitale Videodisks, RAMs, ROMs, EPROMs und andere Speicherarten ebenfalls in alternativen Ausführungsformen des Computersystems 5 verwendet werden können.
  • Das Computersystem 5 umfasst weiterhin eine Vielzahl serieller Schnittstellen 40 wie einen universellen seriellen Bus (USB) zur Verbindung einer oder mehrerer Dateneingabeeinrichtungen 75, wie eine Tastatur, eine Maus, ein Touchpad und andere. Serielle Schnittstellen 40 können auch verwendet werden, um eine oder mehrere Datenausgabeeinrichtungen 80 zu verbinden, wie einen Drucker, einen Scanner und andere, sowie ein oder mehrere andere Peripheriegeräte 85 wie externe Datenspeichereinrichtungen und Ähnliches. Das System 5 kann auch eine Grafikkarte 45 wie nVidia® GeForce® GT 240M oder eine andere Videokarte umfassen, um eine Schnittstelle mit einem Monitor 60 oder einer anderen Videowiedergabeeinrichtung zu bilden. Das System 5 kann auch eine Audiokarte 50 umfassen, um Ton über interne oder externe Lautsprecher 65 zu reproduzieren. Zusätzlich kann das System 5 eine oder mehrere Netzwerkkarten 55 umfassen, wie Ethernet, WiFi, GSM, Bluetooth, oder eine andere drahtgebundene, drahtlose oder Mobilfunknetz-Schnittstelle, um das Computersystem 5 mit einem Netzwerk 70 wie dem Internet zu verbinden.
  • In verschiedenen Ausführungsformen können die hier beschriebenen Algorithmen und Verfahren in Hardware, Software, Firmware oder einer beliebigen Kombination daraus ausgeführt werden. Wenn sie in Software ausgeführt werden, können die Funktionen als eine oder mehrere Instruktionen oder als Code auf einem nichtflüchtigen computerlesbaren Medium gespeichert werden. Das computerlesbare Medium umfasst sowohl eine Speicherung auf dem Computer als auch ein Kommunikationsmedium, das den Transfer eines Computerprogramms von einem Ort zum anderen ermöglicht. Ein Speichermedium kann ein beliebiges verfügbares Medium sein, auf das ein Computer zugreifen kann. Beispielhalber und nicht im einschränkenden Sinn kann dieses computerlesbare Medium RAM, ROM, EEPROM, CD-ROM oder andere Arten eines optischen oder magnetischen Laufwerks oder anderen magnetischen Speichermediums oder eines beliebigen anderen Mediums umfassen, das verwendet werden kann, um einen gewünschten Programmcode in Form von Instruktionen oder Datenstrukturen zu tragen oder zu speichern, und auf das durch einen Computer zugegriffen werden kann. Außerdem kann eine beliebige Verbindung als computerlesbares Medium bezeichnet werden. Wenn beispielsweise Software von einer Website, einem Server oder einer anderen entfernten Quelle unter Verwendung eines Koaxialkabels, eines faseroptischen Kabels, eines verdrillten Doppelkabels, eines digitalen Teilnehmeranschlusses (DSL) oder drahtloser Technologien wie Infrarot, Funk und Mikrowelle übertragen wird, sind diese von der Definition eines Mediums umfasst.
  • Der Klarheit halber sind hier nicht alle Routinemerkmale der Ausführungsformen offenbart. Es ist klar, dass bei der Entwicklung jeder tatsächlichen Ausführungsform der Erfindung zahlreiche ausführungsformspezifische Entscheidungen getroffen werden müssen, um die spezifischen Ziele des Entwicklers zu erreichen, und dass diese spezifischen Ziele bei verschiedenen Ausführungsformen und verschiedenen Entwicklern unterschiedlich sind. Es ist klar, dass ein solcher Entwicklungsaufwand komplex und zeitaufwändig sein kann, er ist aber dennoch eine Routineentwicklungsaufgabe für den Durchschnittsfachmann, der von dieser Offenbarung profitiert.
  • Weiterhin ist zu beachten, dass die hier verwendete Phraseologie oder Terminologie der Beschreibung dient und nicht einschränkend zu verstehen ist, so dass die Terminologie oder Phraseologie dieser Beschreibung vom Fachmann vor dem Hintergrund der Lehren und der Anleitung, die hierin ausgeführt sind, im Zusammenhang mit dem Wissen des Fachmanns auf dem einschlägigen Gebiet/den einschlägigen Gebieten auszulegen ist. Weiterhin ist nicht beabsichtigt, dass einem Begriff in der Beschreibung oder den Ansprüchen eine ungewöhnliche oder spezielle Bedeutung zugeschrieben werden soll, sofern dies nicht ausdrücklich vermerkt ist.
  • Die unterschiedlichen, hier offenbarten Ausführungsformen schließen gegenwärtige und zukünftige bekannte Äquivalente der hier zur Illustration genannten bekannten Komponenten ein. Während Aspekte und Anwendungen gezeigt und beschrieben wurden, wird dem Fachmann, der von dieser Offenbarung profitiert, klar sein, dass viele weitere Modifikationen zu den oben erwähnten möglich sind, ohne von den hier offenbarten erfinderischen Konzepten abzuweichen.
  • Das erfindungsgemäße System zur Steuerung des Benutzerzugriffs auf eine geschützte Ressource kann in den folgenden Verfahren angewandt werden:
    • a) Verfahren zum Steuern des Benutzerzugriffs auf eine geschützte Ressource, wobei das Verfahren umfasst: Erfassen eines Plug-In-Tokens, der mit einer Vorrichtung verbunden ist, die den Zugriff eines Benutzers auf die geschützte Ressource steuert, wobei der Token einem oder mehreren autorisierten Benutzern zugeordnet ist; Identifizieren eines oder mehrerer autorisierter Benutzer, denen der erfasste Token zugeordnet ist und die autorisiert sind, auf die geschützte Ressource zuzugreifen; Authentifizieren, ob einem ersten Benutzer, der den Zugriff auf die geschützte Ressource anfordert, der erfasste Token zugeordnet ist, und ob er autorisiert ist, auf die geschützte Ressource zuzugreifen; Erfassen des Vorhandenseins eines oder mehrerer drahtloser Transponder eines oder mehrerer autorisierter Benutzer, denen der Token zugeordnet ist, einschließlich wenigstens eines Transponders des ersten Benutzers; und Bereitstellen des Zugriffs auf die geschützte Ressource für den ersten Benutzer, wenn der erste Benutzer als autorisierter Benutzer authentifiziert ist, dem der erfasste Token zugeordnet ist, und der Transponder wenigstens des ersten Benutzers erfasst ist.
    • b) Verfahren nach Absatz a), wobei das Authentifizieren, ob einem ersten Benutzer, der Zugriff auf die geschützte Ressource anfordert, der erfasste Token zugeordnet ist, und ob er autorisiert ist, auf die geschützte Ressource zuzugreifen, weiterhin umfasst: Empfangen des Login-Namens und des Passworts des ersten Benutzers; und Authentifizieren des ersten Benutzers unter Verwendung des empfangenen Login-Namens und Passworts des Benutzers.
    • c) Verfahren nach Absatz a), wobei der drahtlose Transponder so betätigbar ist, dass er drahtlos mit dem Token oder der Vorrichtung kommuniziert, und wobei das Erfassen des Vorhandenseins eines oder mehrerer drahtloser Transponder eines oder mehrerer autorisierter Benutzer, denen der Token zugeordnet ist, das Erfassen von drahtlosen Signalübertragungen von einem oder mehreren Transponder umfasst.
    • d) Verfahren nach Absatz c), wobei die drahtlosen Signalübertragungen von dem Transponder verschlüsselt sind.
    • e) Verfahren nach Absatz c), weiterhin umfassend: Messen einer Signalstärke oder einer Übertragungsverzögerung der drahtlosen Signalübertragung von dem Transponder; und Bestimmen der ungefähren Position des drahtlosen Transponders auf der Grundlage der gemessenen Signalstärke oder Übertragungsverzögerung.
    • f) Verfahren nach Absatz c), wobei das Identifizieren eines oder mehrerer autorisierter Benutzer, denen der erfasste Token zugeordnet ist, das Identifizieren eines dem ersten Benutzer vorgesetzten Benutzers umfasst; wobei das Erfassen eines oder mehrerer drahtloser Transponder von Benutzern, denen der Token zugeordnet ist, das Erfassen eines Transponders des vorgesetzten Benutzers umfasst; und wobei das Bereitstellen des Zugriffs auf die geschützte Ressource für den ersten Benutzer das Bereitstellen des Zugriffs auf die geschützte Ressource für den ersten Benutzer, wenn der Transponder wenigstens des vorgesetzten Benutzers erfasst wird, umfasst.
    • g) Verfahren nach Absatz f), wobei das Erfassen des Vorhandenseins eines oder mehrerer drahtloser Transponder eines oder mehrerer autorisierter Benutzer umfasst: Bestimmen einer Zeitdauer, während derer ein oder mehrere drahtlose Transponder autorisierter Benutzer, einschließlich der Transponder des ersten Benutzers und des vorgesetzten Benutzers, erfasst wurden; und Bereitstellen des Zugriffs auf die geschützte Ressource für den ersten Benutzer auf der Grundlage der Zeitdauer, während derer die Transponder des ersten Benutzers und des vorgesetzten Benutzers erfasst wurden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • EP 1684204 A1 [0005]

Claims (7)

  1. System zum Steuern des Benutzerzugriffs auf eine geschützte Ressource, wobei das System für Folgendes konfiguriert ist: Erfassen eines Plug-In-Tokens, der mit einer Vorrichtung verbunden ist, die den Zugriff eines Benutzers auf die geschützte Ressource steuert, wobei der Token einem oder mehreren autorisierten Benutzern zugeordnet ist; Identifizieren eines oder mehrerer autorisierter Benutzer, denen der erfasste Token zugeordnet ist und die autorisiert sind, auf die geschützte Ressource zuzugreifen; Authentifizieren, ob einem ersten Benutzer, der den Zugriff auf die geschützte Ressource anfordert, der erfasste Token zugeordnet ist, und ob er autorisiert ist, auf die geschützte Ressource zuzugreifen; Erfassen des Vorhandenseins eines oder mehrerer drahtloser Transponder eines oder mehrerer autorisierter Benutzer, denen der Token zugeordnet ist, einschließlich wenigstens eines Transponders des ersten Benutzers; und Bereitstellen des Zugriffs auf die geschützte Ressource für den ersten Benutzer, wenn der erste Benutzer als autorisierter Benutzer authentifiziert ist, dem der erfasste Token zugeordnet ist, und der Transponder wenigstens des ersten Benutzers erfasst ist.
  2. System nach Anspruch 1, wobei das Authentifizieren, ob einem ersten Benutzer, der Zugriff auf die geschützte Ressource anfordert, der erfasste Token zugeordnet ist, und ob er autorisiert ist, auf die geschützte Ressource zuzugreifen, weiterhin umfasst: Empfangen des Login-Namens und des Passworts des ersten Benutzers; und Authentifizieren des ersten Benutzers unter Verwendung des empfangenen Login-Namens und Passworts des Benutzers.
  3. System nach Anspruch 1, wobei der drahtlose Transponder so betätigbar ist, dass er drahtlos mit dem Token oder der Vorrichtung kommuniziert, und wobei das Erfassen des Vorhandenseins eines oder mehrerer drahtloser Transponder eines oder mehrerer autorisierter Benutzer, denen der Token zugeordnet ist, das Erfassen von drahtlosen Signalübertragungen von einem oder mehreren Transponder umfasst.
  4. System nach Anspruch 3, wobei die drahtlosen Signalübertragungen von dem Transponder verschlüsselt sind.
  5. System nach Anspruch 3, wobei das System weiterhin für Folgendes konfiguriert ist: Messen einer Signalstärke oder einer Übertragungsverzögerung der drahtlosen Signalübertragung von dem Transponder; und Bestimmen der ungefähren Position des drahtlosen Transponders auf der Grundlage der gemessenen Signalstärke oder Übertragungsverzögerung.
  6. System nach Anspruch 3, wobei das Identifizieren eines oder mehrerer autorisierter Benutzer, denen der erfasste Token zugeordnet ist, das Identifizieren eines dem ersten Benutzer vorgesetzten Benutzers umfasst; wobei das Erfassen eines oder mehrerer drahtloser Transponder von Benutzern, denen der Token zugeordnet ist, das Erfassen eines Transponders des vorgesetzten Benutzers umfasst; und wobei das Bereitstellen des Zugriffs auf die geschützte Ressource für den ersten Benutzer das Bereitstellen des Zugriffs auf die geschützte Ressource für den ersten Benutzer, wenn der Transponder wenigstens des vorgesetzten Benutzers erfasst wird, umfasst.
  7. System nach Anspruch 6, wobei das Erfassen des Vorhandenseins eines oder mehrerer drahtloser Transponder eines oder mehrerer autorisierter Benutzer umfasst: Bestimmen einer Zeitdauer, während derer ein oder mehrere drahtlose Transponder autorisierter Benutzer, einschließlich der Transponder des ersten Benutzers und des vorgesetzten Benutzers, erfasst wurden; und Bereitstellen des Zugriffs auf die geschützte Ressource für den ersten Benutzer auf der Grundlage der Zeitdauer, während derer die Transponder des ersten Benutzers und des vorgesetzten Benutzers erfasst wurden.
DE202012013589.9U 2012-08-10 2012-10-11 System zur Steuerung des Benutzerzugriffs auf geschützte Ressourcen unter Verwendung einer Authentifizierung auf mehreren Ebenen Expired - Lifetime DE202012013589U1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
RU2012134243 2012-08-10
RU2012134243/08A RU2495488C1 (ru) 2012-09-28 2012-09-28 Система и способ контроля устройств и приложений при использовании многофакторной аутентификации

Publications (1)

Publication Number Publication Date
DE202012013589U1 true DE202012013589U1 (de) 2018-02-08

Family

ID=47435693

Family Applications (1)

Application Number Title Priority Date Filing Date
DE202012013589.9U Expired - Lifetime DE202012013589U1 (de) 2012-08-10 2012-10-11 System zur Steuerung des Benutzerzugriffs auf geschützte Ressourcen unter Verwendung einer Authentifizierung auf mehreren Ebenen

Country Status (5)

Country Link
US (1) US8769657B2 (de)
EP (1) EP2696307A1 (de)
CN (1) CN103400068B (de)
DE (1) DE202012013589U1 (de)
RU (1) RU2495488C1 (de)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7882307B1 (en) * 2006-04-14 2011-02-01 Tilera Corporation Managing cache memory in a parallel processing environment
US10372938B2 (en) * 2009-05-06 2019-08-06 Token, Inc. Resource protection using tokenized information
CZ2014126A3 (cs) * 2014-03-03 2015-09-16 AVAST Software s.r.o. Způsob a sestava pro zabezpečení ovládání bankovního účtu
EP2919431B1 (de) * 2014-03-12 2017-11-08 Accenture Global Services Limited Sichere verteilung von elektronischem inhalt unter berücksichtigung des empfängerorts
CN103870745B (zh) * 2014-04-01 2017-08-29 联想(北京)有限公司 电子设备和安全启动电子设备的方法
SG10201902107VA (en) * 2014-04-07 2019-04-29 Eyeverify Inc Bio leash for user authentication
US10454970B2 (en) * 2014-06-30 2019-10-22 Vescel, Llc Authorization of access to a data resource in addition to specific actions to be performed on the data resource based on an authorized context enforced by a use policy
US9699594B2 (en) * 2015-02-27 2017-07-04 Plantronics, Inc. Mobile user device and method of communication over a wireless medium
US11038894B2 (en) * 2015-04-07 2021-06-15 Hewlett-Packard Development Company, L.P. Providing selective access to resources
US9673979B1 (en) 2015-06-26 2017-06-06 EMC IP Holding Company LLC Hierarchical, deterministic, one-time login tokens
EP3382937B1 (de) * 2017-03-28 2022-05-18 Rohde & Schwarz GmbH & Co. KG Übertragungsvorrichtung, system sowie verfahren zur übertragung von überwachungsinformationen
US10956583B2 (en) 2018-06-27 2021-03-23 At&T Intellectual Property I, L.P. Multi-phase digital content protection
WO2020162878A1 (en) * 2019-02-04 2020-08-13 Hewlett-Packard Development Company, L.P. Control of access to hierarchical nodes
US10992681B2 (en) 2019-02-27 2021-04-27 Bank Of America Corporation Authentication using blockchains
US11170128B2 (en) 2019-02-27 2021-11-09 Bank Of America Corporation Information security using blockchains
US11589227B2 (en) 2020-02-11 2023-02-21 Kyndryl, Inc. Multilevel authentication using a mobile device

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1684204A1 (de) 2005-01-24 2006-07-26 THOMSON Licensing Anwesenheitsbasierte Zugriffkontrolle

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5629981A (en) 1994-07-29 1997-05-13 Texas Instruments Incorporated Information management and security system
US6088450A (en) 1996-04-17 2000-07-11 Intel Corporation Authentication system based on periodic challenge/response protocol
US6523119B2 (en) 1996-12-04 2003-02-18 Rainbow Technologies, Inc. Software protection device and method
US6243039B1 (en) * 1998-04-21 2001-06-05 Mci Communications Corporation Anytime/anywhere child locator system
US6971021B1 (en) 2000-03-08 2005-11-29 Rainbow Technologies, Inc. Non-wire contact device application for cryptographic module interfaces
US6871063B1 (en) 2000-06-30 2005-03-22 Intel Corporation Method and apparatus for controlling access to a computer system
US7589614B2 (en) * 2000-11-29 2009-09-15 Ensure Technologies, Inc. Method of allowing access to an electronic device
AU2002365558A1 (en) * 2001-11-21 2003-06-10 Marconi Intellectual Property (Us) Inc. Wireless communication device interconnectivity
US20030151506A1 (en) * 2002-02-11 2003-08-14 Mark Luccketti Method and apparatus for locating missing persons
US8166311B1 (en) * 2002-06-20 2012-04-24 At&T Intellectual Property I, Lp Methods and systems for promoting authentication of technical service communications in a telecommunications system
US7009561B2 (en) * 2003-03-11 2006-03-07 Menache, Llp Radio frequency motion tracking system and method
US7269732B2 (en) * 2003-06-05 2007-09-11 Sap Aktiengesellschaft Securing access to an application service based on a proximity token
US7378939B2 (en) 2004-03-30 2008-05-27 Sengupta Uttam K Method and apparatus for providing proximity based authentication, security, and notification in a wireless system
US7209029B2 (en) * 2004-06-01 2007-04-24 Kaba Ilco, Inc. Electronic lock system and method for providing access thereto
US7142119B2 (en) * 2004-06-30 2006-11-28 Sap Ag Monitoring and alarm system
US7669245B2 (en) * 2005-06-08 2010-02-23 Searete, Llc User accessibility to electronic paper
US8495389B2 (en) 2005-12-16 2013-07-23 Safenet, Inc. Locking changing hard disk content to a hardware token
EP1811421A1 (de) * 2005-12-29 2007-07-25 AXSionics AG Sicherheitstoken und Verfahren zur Benutzerauthentifizierung mit dem Sicherheitstoken
US7775427B2 (en) * 2005-12-31 2010-08-17 Broadcom Corporation System and method for binding a smartcard and a smartcard reader
US20090210942A1 (en) * 2006-02-21 2009-08-20 Gil Abel Device, system and method of accessing a security token
US20090006846A1 (en) 2007-06-27 2009-01-01 Apple Inc. Bluetooth device as security access key
RU86331U1 (ru) * 2009-01-19 2009-08-27 Федеральное государственное унитарное предприятие "18 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации Накопитель с защитой доступа к памяти
US8294580B2 (en) * 2009-07-07 2012-10-23 Honeywell International Inc. System and method of monitoring personal protective equipment
US9443071B2 (en) * 2010-06-18 2016-09-13 At&T Intellectual Property I, L.P. Proximity based device security
WO2012037479A1 (en) * 2010-09-17 2012-03-22 Universal Secure Registry, Llc Apparatus, system and method employing a wireless user-device
RU106976U1 (ru) * 2010-12-30 2011-07-27 Федеральное государственное унитарное предприятие "18 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации Автоматизированное рабочее место с идентификацией авторизированного пользователя
US20120284769A1 (en) * 2011-05-06 2012-11-08 Kyle Dixon Systems and Methods of Intelligent Policy-Based Geo-Fencing

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1684204A1 (de) 2005-01-24 2006-07-26 THOMSON Licensing Anwesenheitsbasierte Zugriffkontrolle

Also Published As

Publication number Publication date
RU2495488C1 (ru) 2013-10-10
US20140047531A1 (en) 2014-02-13
EP2696307A1 (de) 2014-02-12
CN103400068B (zh) 2016-01-20
CN103400068A (zh) 2013-11-20
US8769657B2 (en) 2014-07-01

Similar Documents

Publication Publication Date Title
DE202012013589U1 (de) System zur Steuerung des Benutzerzugriffs auf geschützte Ressourcen unter Verwendung einer Authentifizierung auf mehreren Ebenen
DE202017006897U1 (de) Systeme zum Bereitstellen einer universellen dezentralisierten Lösung für das Verifizieren von Benutzern mit Querverifikationsmerkmalen
EP2949094B1 (de) Verfahren zur authentisierung eines nutzers gegenüber einem automat
DE202016008801U1 (de) Systeme zur Verwaltung digitaler Identitäten
WO2016128446A1 (de) Computerimplementiertes verfahren zur zugriffskontrolle
DE202016008688U1 (de) Systeme zur Bereitstellung einer Blockketten-basierten Multifaktor-Identitätsprüfung von Personen
EP3336735B1 (de) Erstellen einer datenbank für eine dynamische multifaktorauthentifizierung
EP3699791B1 (de) Zugangskontrolle mit einem mobilfunkgerät
DE102011056191A1 (de) Vorrichtung zum Schutz von Sicherheitstoken gegen Malware
DE102016120524A1 (de) Verwenden von persönlichen RF-Signaturen für verbesserte Authentifizierungsmetrik
DE112017000633T5 (de) Sichere archivierung und wiederherstellung von multifaktor-authentifizierungsschablonen
DE102006011402A1 (de) Verfahren und Apparatur zur sicheren Verarbeitung von schützenswerten Informationen
DE112018006031B4 (de) Authentifizieren einer zahlungskarte
EP3336732B1 (de) Nutzerauthentifizierung mit einer mehrzahl von merkmalen
EP2996299B1 (de) Verfahren und Anordnung zur Autorisierung einer Aktion an einem Selbstbedienungssystem
EP3125464B1 (de) Sperrdienst für ein durch einen id-token erzeugtes zertifikat
EP2137705B1 (de) Verfahren zur übertragung von daten einer person an eine kontrolleinrichtung
EP3336736B1 (de) Hilfs-id-token zur multi-faktor-authentifizierung
WO2013120473A1 (de) Universalkarte zur vereinfachung des gebrauchs einer vielzahl an karten
DE102016207339A1 (de) Verfahren zur sicheren Interaktion eines Nutzers mit einem mobilen Endgerät und einer weiteren Instanz
EP3186741B1 (de) Zugriffsschutz für fremddaten im nichtflüchtigen speicher eines tokens
EP3036673B1 (de) Verfahren zur datenzugriffsteuerung
DE102022210717A1 (de) Verfahren für ein Fahrzeug, Computerprogramm, Vorrichtung und Fahrzeug
EP2823598B1 (de) Verfahren zur erstellung einer abgeleiteten instanz
DE102012214132A1 (de) Verfahren zur Freigabe einer Transaktion

Legal Events

Date Code Title Description
R082 Change of representative

Representative=s name: V. FUENER EBBINGHAUS FINCK HANO, DE

R207 Utility model specification
R150 Utility model maintained after payment of first maintenance fee after three years
R151 Utility model maintained after payment of second maintenance fee after six years
R152 Utility model maintained after payment of third maintenance fee after eight years
R071 Expiry of right