DE602004001384T2 - Automatischer authentifikationsauswahlserver - Google Patents

Automatischer authentifikationsauswahlserver Download PDF

Info

Publication number
DE602004001384T2
DE602004001384T2 DE602004001384T DE602004001384T DE602004001384T2 DE 602004001384 T2 DE602004001384 T2 DE 602004001384T2 DE 602004001384 T DE602004001384 T DE 602004001384T DE 602004001384 T DE602004001384 T DE 602004001384T DE 602004001384 T2 DE602004001384 T2 DE 602004001384T2
Authority
DE
Germany
Prior art keywords
authentication
terminal
user
service
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE602004001384T
Other languages
English (en)
Other versions
DE602004001384D1 (de
Inventor
Patrick Bauban
Philippe Michon
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of DE602004001384D1 publication Critical patent/DE602004001384D1/de
Application granted granted Critical
Publication of DE602004001384T2 publication Critical patent/DE602004001384T2/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/303Terminal profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Hardware Redundancy (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Description

  • Die vorliegende Erfindung betrifft einen Server zur Authentifizierung eines Nutzers eines Endgerätes zwecks Zugang zu einem von einem Anbieter über einen Auftragnehmer bereitgestellten Dienst durch dynamische Auswahl eines Authentifizierungsverfahrens über ein Telekommunikationsnetz. Genauer gesagt entspricht das Authentifizierungsverfahren einer Authentifizierung, die mindestens in Abhängigkeit vom Anbieter, vom Endgerät, vom Netz und einem Authentifizierungssicherheitsniveau ausgewählt wird.
  • Die zahlreichen bestehenden Authentifizierungssysteme unterscheiden sich nach Sicherheitsniveau und Authentifizierungsverfahren. Eine klassische Authentifizierung über ID (Login) und Passwort ist statisch, d.h. die ID und das Passwort, die über das Netz übermittelt werden, sind bei aufeinanderfolgenden Authentifizierungen stets gleich. Diese Art der Authentifizierung ermöglicht, dass sich Dritte das Passwort missbräuchlich aneignen können, und bietet somit nur ein niedriges Sicherheitsniveau.
  • Eine Authentifizierung über eine „Zufallszahl (Challenge)/Antwort" ist dynamisch. Sie beruht auf dem Prinzip der Verwendung eines Einmal-Passwortes, das als OTP (One-Time-Passwort) bezeichnet wird. Die Erfassung eines Passworts ist demzufolge unnötig, da das Passwort nicht wiederverwendet werden kann. Wenn sich ein Nutzer bei einem Server authentifizieren möchte, so erzeugt der Server eine als Challenge bezeichnete Zufallszahl und sendet sie an das Endgerät des Nutzers. Der Nutzer gibt das Passwort ein und wendet es über Chiffrier- und Verwürfelungsalgorithmen an. Das Endgerät des Nutzers sendet das QTP an den Server, der damit über die für die Authentifizierung des Nutzers erforderlichen Informationen verfügt.
  • Authentifizierungen mithilfe von Zertifikaten sind ebenfalls dynamisch. Sie arbeiten mit kryptographischen Algorithmen mit öffentlichen und asymmetrischen Schlüsseln. Ein Zertifikat umfasst eine Nutzeridentität, einen öffentlichen Schlüssel und einen privaten Schlüssel, die von einer Zertifizierungsstelle zertifiziert werden. Der private Schlüssel wird vom Nutzer geheimgehalten und im Endgerät des Nutzers gespeichert. Ein eingegebenes oder gesprochenes Passwort, ein biometrischer Abdruck oder ein vertraulicher Code kann erforderlich sein, um den privaten Schlüssel zu aktivieren. In der Praxis sendet ein Server nach Aktivierung des privaten Schlüssels eine Challenge an das Nutzerendgerät. Das Nutzergerät signiert die Challenge mit dem privaten Schlüssel des entsprechenden Nutzers und sendet sie an den Server. Der Server authentifiziert dann den Nutzer mit dessen öffentlichem Schlüssel. Eine Authentifizierung durch elektronische Signatur arbeitet beispielsweise auf Basis von Zertifikaten.
  • Da die Authentifizierungsverfahren generell komplex und aufwändig umzusetzen sind, kann ein Auftragnehmer von Diensteanbietern es übernehmen, Nutzerauthentifizierungsverfahren in transparenter Weise im Auftrag seiner als „Anbieter" bezeichneten Kunden durchzuführen. Ein Anbieter eines Informationsdienstes in Echtzeit im Internet kann auf einen Auftragnehmer zurückgreifen, um das Nutzerauthentifizierungsverfahren vollständig zu verwalten. In ein und demselben Netz sind die Authentifizierungsverfahren des Auftragnehmers generell für alle von ihm betreuten Anbieter, d.h. seine Kunden, gleich. Zudem kann ein Anbieter das von ihm bevorzugte Authentifizierungsverfahren nicht ohne Weiteres in Abhängigkeit von der Kombination aus Endgerät (Mobiltelefon, PC, Fernsehen, PDA) und Telekommunikationsnetz, das von den Nutzern genutzt wird, (GPRS, Internet) ändern.
  • EP1158745 beschreibt ein Server/Client-System zur Überwachung des Zugriffs auf Anwendungsfunktionen über ein Nutzerendgerät. Das System umfasst einen Server, der eine Authentifizierungskomponente und eine Sicherheitskomponente beinhaltet. Die Authentifizierungskomponente sieht mehrere detailliert beschriebene Authentifizierungsmechanismen vor. Diese Authentifizierungsmechanismen basieren insbesondere auf einem ausgewählten Passwort, einer ausgewählten Nutzer-ID und einer ausgewählten numerischen Signatur und sind abhängig von in der Client-Anfrage enthaltenen Angaben, wie dem vom Client angefragten Inhalt und dem Typ des Client-Endgerätes. Die Sicherheitskomponente definiert eine Sicherheitsregelung, die die Sicherheitsbedingungen für den Zugriff auf die Anwendungsfunktionen beschreibt. Bei erfolgreicher Authentifizierung und Erfüllung der Zugangsbedingungen für den Zugriff auf eine Anwendungsfunktion ruft die Sicherheitskomponente dann die Anwendungsfunktion auf.
  • EP1288765 beschreibt eine einzige spezielle Authentifizierung eines Nutzerendgerätes bei einem Diensteanbieter, die durch einen vom Diensteanbieter unabhängigen Authentifizierungsserver erfolgt.
  • Gegenstand von EP1301006 ist die Anpassung des Zugangs zu Netzressourcen je nach Nutzer. Der Zugang zu den Netzressourcen wird einem Nutzer in Abhängigkeit von Zugangscharakteristiken, wie Typ des vom Nutzer verwendeten Endgerätes, Standort des Endgerätes, Charakteristiken des Authentifizierungsverfahrens des Endgerätes, Betriebssystem des Endgerätes usw., gewährt.
  • In keinem der drei vorstehend genannten Dokumente wird irgendeine Art der Auswahl der Authentifizierung durch einen Anbieter, der nicht derjenige, der den Inhalt liefert, ist, vorgeschlagen.
  • Ziel der vorliegenden Erfindung ist es, die vorstehend genannten Nachteile zu beheben durch automatische Auswahl einer Authentifizierung in Abhängigkeit vom Anbieter und den Charakteristiken eines Nutzerendgerätes und eines Telekommunikationsnetzes.
  • Um dieses Ziel zu erreichen, ist ein Authentifizierungsserver zur automatischen Auswahl einer Authentifizierung aus mehreren jeweils durch Authentifizierungs-IDs gekennzeichneten Authentifizierungen mit dem Ziel der Authentifizierung eines Endgerätenutzers zwecks Autorisierung des Zugangs zu einem Dienst, der von einem Diensteserver eines durch eine Anbieter-ID gekennzeichneten Anbieters über ein Kommunikationsnetz bereitgestellt wird, dadurch gekennzeichnet, dass er Folgendes umfasst:
    eine Einrichtung zum Auswählen aus einem Speicher einer Authentifizierungs-ID in Abhängigkeit von der Anbieter-ID und dem Typ des Endgerätes und dem Typ des Kommunikationsnetzes sowie eine Einrichtung zur Authentifizierung des Nutzers gemäß einem der Authentifizierungs-ID zugeordneten Authentifizierungsvorgang.
  • Die Einrichtung zum Auswählen kann ebenfalls die Authentifizierungs-ID in Abhängigkeit von einem Authentifizierungssicherheitsniveau entsprechend der Anbieter-ID und/oder in Abhängigkeit von der Anbieter-ID zugeordneten Authentifizierungregeln auswählen, die auf mindestens ein der Anbieter-ID und/oder dem Endgerätetyp und/oder dem Kommunikationsnetztyp entsprechendes Authentifizierungsicherheits-niveau angewandt werden.
  • Nach einer ersten Ausführung wird, wenn der Nutzer einen vom Diensteserver bereitgestellten Dienst nutzen möchte, eine Verbindung zwischen dem Nutzerendgerät und dem Diensteserver hergestellt, der bei der Einrichtung zum Auswählen die Authentifizierung des Nutzers anfordert. Bei dieser ersten Ausführung umfasst der Diensteserver eine Einrichtung zum Übermitteln mindestens der Anbieter-ID und des Typs des Endgerätes und des Typs des Kommunikationsnetzes an die Einrichtung zum Auswählen als Antwort auf die zwischen dem Nutzerendgerät und dem Diensteserver hergestellte Verbindung als Antwort auf die – wie vorstehend erwähnt – erstellte Verbindung.
  • Nach einer zweiten Ausführung wird eine Verbindung zwischen dem Nutzerendgerät und der Einrichtung zum Auswählen hergestellt, sobald der Nutzer einen Dienst auf dem Diensteserver nutzen möchte. Bei dieser Ausführung übermittelt die Einrichtung zum Auswählen eine Liste von durch Dienste-IDs gekennzeichneten Diensten als Antwort auf die – wie vorstehend erwähnt – hergestellte Verbindung, und das Endgerät übermittelt eine Dienste-ID eines vom Nutzer aus der übermittelten Liste ausgewählten Dienstes an die Einrichtung zum Auswählen, damit diese die Authentifizierungs-ID auch in Abhängigkeit von der gewählten Dienste-ID auswählt. Nach einer Variante der zweiten Ausführung, die mit dieser kombiniert werden kann, übermittelt die Einrichtung zum Auswählen als Antwort auf eine zwischen dem Nutzerendgerät und der Einrichtung zum Auswählen an das Endgerät eine Liste von Anbieter-IDs, und das Endgerät übermittelt an die Einrichtung zum Auswählen eine vom Nutzer aus der übermittelten Liste ausgewählte Anbieter-ID, damit die Einrichtung zum Auswählen die Authentifizierungs-ID hauptsächlich in Abhängigkeit von der gewählten Anbieter-ID auswählt.
  • Die Erfindung betrifft auch ein Verfahren zur automatischen Auswahl einer Authentifizierung aus mehreren jeweils durch Authentifizierungs-IDs gekennzeichneten Authentifizierungen mit dem Ziel der Authentifizierung eines Endgerätenutzers zwecks Autorisierung des Zugangs zu einem Dienst, der von einem Dienstserver eines durch eine Anbieter-ID gekennzeichneten Anbieters über ein Kommunikationsnetz bereitgestellt wird. Das Verfahren ist dadurch gekennzeichnet, dass es folgende Schritte umfasst:
    • – Auswahl aus einem Speicher einer Authentifizierungs-ID in Abhängigkeit von der Anbieter-ID und dem Typ des Endgerätes und dem Typ des Kommunikationsnetzes und
    • – Authentifizierung des Nutzers gemäß einem der Authentifizierungs-ID zugeordneten Authentifizierungsvorgang.
  • Weitere Charakteristiken und Vorteile der vorliegenden Erfindung werden klarer beim Lesen der folgenden Beschreibung mehrerer bevorzugter Ausführungen der Erfindung, die sich als nicht einschränkende Beispiele verstehen, in Verbindung mit den Bezugszeichen:
    • – in einem als 1 bezeichneten schematischen Blockdiagramm eines erfindungsgemäßen Systems zur automatischen Authentifizierungsauswahl;
    • – in einem als 2 bezeichneten schematischen Algorithmus eines Verfahrens zur Authentifizierungsauswahl, das im System zur automatischen Authentifizierungsauswahl gemäß einer ersten Ausführung der Erfindung verwirklicht ist;
    • – in einem als 3 bezeichneten schematischen Algorithmus eines Verfahrens zur Authentifizierungsauswahl, das im System zur automatischen Authentifizierungsauswahl gemäß einer zweiten Ausführung der Erfindung verwirklicht ist.
  • Bei den Ausführungen der Erfindung übernimmt das System zur automatischen Authentifizierungsauswahl den Informationsaustausch zwischen einem Auftragnehmer, einem Diensteanbieter und einem Nutzer.
  • Das System zur automatischen Authentifizierungsauswahl gemäß der Erfindung basiert auf einer Architektur des Typs Client-Server. Es umfasst gemäß 1 hauptsächlich mehrere interaktive Endgeräte T, mindestens eine Authentifizierungsserver SA als „Auftragnehmer" und mindestens einen Diensteserver SE als „Diensteanbieter".
  • Ein Nutzer greift über sein interaktives Endgerät auf Dienste zu, die eine Authentifizierung des Nutzers verlangen. Nach der Ausführung gemäß 1 ist ein Nutzerendgerät T1 beispielsweise vom Typ intelligenter Fernsehempfänger. Der Fernsehempfänger T1 arbeitet mit einer Fernbedienung mit Display und alphanumerischer Tastatur zusammen, die über eine Infrarotverbindung auch als Maus dient. In einer Variante wird die Fernbedienung durch eine vollständigere, drahtlose Tastatur ergänzt, die über eine Nahfunkverbindung mit dem Fernseher verbunden ist.
  • Weitere im Haus verwendete Endgeräte, ob tragbar oder nicht, sind denkbar, wie PC, Telefon, Videospielkonsole, Radiogerät, Schaltzentrale einer Alarmanlage usw. Das Endgerät T wird über eine Telekommunikationsverbindung LT und ein Zugangsnetz RA, wie z.B. eine Telefonleitung und das vermittelte Telefonnetz, mit einem Netz zur Hochgeschwindigkeitsübertragung von Datenpaketen vom Typ Internet bedient, an das der Authentifizierungsserver SA angeschlossen ist.
  • Nach einer weiteren Ausführung ist das vorzugsweise mit mindestens einem Lautsprecher ausgerüstetes Nutzerendgerät T2 ein PC, der direkt über Modem an die Verbindung LT angeschlossen ist. Nach anderen Ausführungen umfasst das Nutzerendgerät T3 eine elektronische Telekommunikationsvorrichtung oder -gerät zur persönlichen Nutzung durch den Nutzer, wobei dies ein persönlicher digitaler Assistent PDA sein kann, oder aber ein intelligentes Radiogerät anstelle des Fernsehempfängers T1, wobei auch ein Nebeneinander der beiden Typen von Empfängern möglich ist.
  • Die Telekommunikationsverbindung LT kann eine xDSL-Leitung (DSL = Digital Subscriber Line) oder eine ISDN-Leitung (ISDN = Integrated Services Digital Network) sein, die mit dem jeweiligen Zugangsnetz verbunden ist.
  • Nach wieder einer anderen Ausführung ist das Endgerät T9 ein zellulares Mobilfunkendgerät, die Telekommunikationsverbindung LT ein Sprechfunkkanal und das Zugangsnetz RA das Festnetz eines Sprechfunknetzes, z.B. vom Typ GSM (Global System for Mobile communications) oder UMTS (Universal Mobile Telecommunications System).
  • Die Nutzerendgeräte und die Zugangsnetze sind nicht auf die obigen Beispiele aus 1 beschränkt und können von anderen bekannten Endgeräten und Zugangsnetzen gebildet werden.
  • Der Authentifizierungsserver SA beinhaltet ein Authentifizierungs-auswahlmodul MSA, ein Authentifizie rungsmodul MA und mindestens einen Speicher mit sechs Entsprechungstabellen TA1 bis TA6. Der Authentifizierungsserver ist einem Auftragnehmer zugeordnet.
  • Bei einer Variante umfasst der Authentifizierungsserver SA zwei separate Server, die jeweils das Authentifizierungsauswahlmodul MSA und das Authentifizierungsmodul SA beinhalten. In einem beliebigen HTTP-Server ist das Modul MA mit dem Telekommunikationsnetz RC und folglich mit dem Paketübertragungsnetz RP verbunden und kommuniziert so mit dem Server SA, der das Modul MSA beinhaltet.
  • In der ersten Tabelle TA1 ist eine Authentifizierungs-ID AUID einer Authentifizierungsvorgangs-ID PAID zugewiesen. Eine Authentifizierung bezeichnet generell eine Gesamtheit von Parametern, wie z.B. Login, Passwort und Nutzercharakteristiken, sowie einen gesamten Authentifizierungsvorgang, bei dem diese Gesamtheit von Parametern genutzt wird. Ein Authentifizierungsvorgang steht für eine Abfolge von Schritten einer durch die Authentifizierungs-ID bestimmten Authentifizierung.
  • In der zweiten Tabelle TA2 ist jede Authentifizierungs-ID AUID mindestens einem Typ von Endgerät T und einem Typ von Kommunikationsnetz RC zugewiesen, die in der Lage sind, die so bestimmte Authentifizierung zu unterstützen. Denn die Authentifizierungen unterscheiden sich je nach Typ des Endgerätes T und Typ des Kommunikationsnetzes RC, über das der Nachrichtenaustausch zwischen dem Endgerät und dem Server SE bzw. SA gemäß der ersten bzw. zweiten Ausführung des Verfahrens, wie im Weiteren beschrieben, läuft.
  • Das Kommunikationsnetz RC ist definiert durch eine Gesamtheit von Leitungen und Geräten, die für eine spezifische Datenübermittlung erforderlich sind. Ein SMS-Netz (SMS = Short Message Service) ist ein Kommunikationsnetz, das einem zur Übermittlung von Kurznachrichten weiterverwendeten Teil des GSM-Netzes gleichgestellt ist und spezifische Geräte beinhaltet, wie z.B. einen Kurznachrichtenserver. Ein Sprachnetz, bestehend aus einer VXML-Sprachplattform (VXML = Voice eXtensible Markup Language) sowie Anwendungsservern und einem Teil des Sprechfunk- oder vermittelten Telefonnetzes, ist ein anderes Kommunikationsnetz. Gemäß weiteren Beispielen kann ein Kommunikationsnetz im Sinne der Erfindung mindestens eines der Netze: GSM, UMTS, WAP (Wireless Application Protocol), USSD (Unstructured Supplementary Services Data), Internet usw. sein.
  • In der dritten Tabelle TA3 ist mindestens eine Dienste-ID SID mindestens einer Diensteanbieter-ID PRID, d.h. einer ID PRID eines Diensteservers SE, zugewiesen, der einen durch die ID SID bestimmten Dienst bereitstellt. Ein Dienst kann einem oder mehreren Anbietern zugeordnet sein, und umgekehrt kann ein Diensteanbieter einem oder mehreren Diensten zugeordnet sein. Zum Zwecke der Vereinfachung kann das Wort „Diensteanbieter" auch mindestens einen vom Diensteanbieter betriebenen Dienst und sogar mindestens einen vom Diensteanbieter betriebenen Diensteserver bezeichnen.
  • In der vierten Tabelle TA4 sind jeder Anbieter-ID PRID keine oder mindestens eine Authentifizierungsre gel RE und mindestens ein Authentifizierungssicherheitsniveau NAU, das vom durch die Anbieter-ID bestimmten Anbieter genehmigt ist, oder mindestens eine Authentifizierungs-ID AUID zugewiesen. Die Authentifizierungsregeln legen beispielsweise eine zu ergreifende Maßnahme fest, wenn mehrere Authentifizierungssicherheitsniveaus durch einem Anbieter genehmigt sind und/oder wenn der mittels ID bestimmte Typ von Endgerät T und der mittels ID bestimmte Typ von Kommunikationsnetz RC mehrere Authentifizierungen mit einem genehmigten Authentifizierungssicherheitsniveau unterstützen.
  • In der fünften Tabelle TA5 ist jedem Authentifizierungs-sicherheitsniveau NAU mindestens eine Authentifizierungs-ID AUID zugeordnet.
  • Die sechste Tabelle TA6 enthält Nutzer-IDs USID, wobei jeder der entsprechenden Nutzer Zugang zu mindestens einer Kombination aus Anbieter-ID und Dienste-ID (PRID, SID), für die ein Zugangsverbot besteht, hat und verknüpft gegebenenfalls die ID USID eines Nutzers mit den jeweiligen IMP-Informationen, die über die Gründe für das Zugangsverbot des Dienstes für den jeweiligen Nutzer Auskunft geben können. Die IMP-Informationen geben beispielsweise Auskunft über einen Zahlungsverzug des Nutzers. Die Tabelle TA6 weist in Verbindung mit der Tabelle TA3 jeder Nutzer-ID USID mindestens eine Kombination aus Anbieter-ID PRID und Dienste-ID SID zu.
  • Das Authentifizierungsmodul MA umfasst einen Speicher vom Typ PROM, der mehrere durch IDs bezeichnete Authentifizierungsvorgänge (-algorithmen) PAID beinhaltet, sowie eine Nutzerdatenbank, die mindestens zwei Speichertabellen TAA1 und TAA2 enthält. In der Tabelle TAA1 sind der ID USID jedes Nutzers persönliche Nutzerdaten, wie z.B. ein Name, ein Vorname, ein Passwort, ein Login usw., zugeordnet, und in der Tabelle TAA2 ist der ID USID eines Nutzers mindestens eine Kombination aus Anbieter-ID PRID und Dienste-ID SID zugeordnet.
  • Das automatische Authentifizierungsauswahlsystem nach der Erfindung umfasst vorzugsweise mehrere Diensteserver SE1 bis SEI gemäß 1. Ein Diensteserver ist vom klassischen HTTP-Typ und verfügt über mindestens eine Anwendung, die mehreren Nutzern mindestens einen Dienst über die Endgeräte T bereitstellt. Mindestens ein Diensteserver SE ist einem Diensteanbieter, der den Nutzern mindestens einen Dienst anbietet, zugeordnet. Die Art der Dienste ist für die Erfindung unerheblich. Mögliche Dienste sind beispielsweise die Abfrage eines Bankkontos oder die Bereitstellung von Börsennachrichten. Auf jedem Diensteserver SE ist ein Programmiertool, wie z.B. eine Anwendungsprogrammierschnittstelle API (Application Programming Interface), installiert. Dieses API-Tool übernimmt den Austausch von formatierten Daten zwischen einer der Diensteanwendungen, die auf einem der Diensteserver SE implementiert sind, und dem Authentifizierungsserver SA.
  • Nach der ersten Ausführung gemäß 2 umfasst ein Authentifizierungsauswahlverfahren hauptsächlich die Schritte E1 bis E13. In Schritt E1 fordert ein Nutzerendgerät T eine Verbindung zu einem der Diensteserver SE an, indem es eine Dienstezugangsanfrage an ihn sendet.
  • Als Antwort auf die zwischen dem Nutzerendgerät und dem Diensteserver SE hergestellte Verbindung stellt das auf dem Diensteserver installierte API-Programmiertool in Schritt E2 eine Verbindung zum Authentifizierungsserver her zur Übermittlung – an das Authentifizierungsauswahlmodul MSA – der Anbieter-ID PRID, des Typs des Endgerätes T und des Typs des Kommunikationsnetzes RC sowie der Dienste-IDs, sofern der Anbieter, der den Server SE betreibt, mehrere Dienste anbietet. Der Diensteserver SE leitet die zum Nutzerendgerät T bestehende Verbindung zum Authentifizierungsserver um, indem er dem Endgerät T die URL-Adresse (URL = Uniform Ressource Locator) des Servers SE übermittelt. Das Nutzerendgerät T wird daraufhin zum Authentifizierungsserver SA umgeleitet.
  • Das Authentifizierungsauswahlmodul MSA wählt aus einem Speicher (TA1 bis TA6) eine Authentifizierungs-ID AUID unter anderem in Abhängigkeit von der Anbieter-ID PRID, vom Typ des Endgerätes T und vom Typ des Kommunikationsnetzes RC, wie übermittelt, aus, damit das Authentifizierungsmodul MA anschließend einen Authentifizierungs-vorgang startet, der der am Nutzerendgerät T ausgewählten Authentifizierungs-ID zugeordnet ist.
  • In Schritt E3 wählt das Authentifizierungsauswahlmodul MSA im Authentifizierungsmodul SA aus der Tabelle TA4 mindestens ein Authentifizierungssicherheitsniveau NAU entsprechend der übermittelten Anbieter-ID PRID aus. Das Authentifizierungssicherheitsniveau trägt ebenfalls zur Auswahl der Authentifizierungs-ID AUID bei. In einer Variante ermöglichen es die Authentifizierungsregeln RE, die der Anbieter-ID PRID in der Tabelle TA4 zugeordnet sind, für den Fall, dass in Schritt 3 mehrere Authentifizierungssicherheitsniveaus ermittelt werden, ein einziges Authentifizierungsniveau NAU auszuwählen, und sie sind somit an der Auswahl der Authentifizierungs-ID AUID beteiligt-Beispielsweise kann eine Authentifizierungsregel wie folgt lauten: „Stets das höchste Authentifizierungssicherheitsniveau auswählen".
  • Danach wählt das Auswahlmodul MSA in Schritt E4 aus der Tabelle TA5 mindestens eine Authentifizierungs-ID AUID1 aus, die dem oder den in Schritt E3 ausgewählten Authentifizierungssicherheitsniveaus entspricht.
  • In Schritt E5 wählt das Auswahlmodul MSA aus der Tabelle TA2 mindestens eine Authentifizierung-ID AUID2 entsprechend dem Typ des Endgerätes und dem Typ des Kommunikationsnetzes, wie vom Server SE übermittelt, aus. Als Variante findet Schritt E5 vor oder nach Schritt E3 statt.
  • In Schritt E6 ermittelt das Auswahlmodul MSA Authentifizierungs-IDs AUID3, die den in Schritt E4 und E5 ausgewählten Authentifizierungs-IDs gemeinsam sind. Wenn es keinerlei gemeinsame Authentifizierungs-ID gibt, so wird in einem Schritt E71 eine Zurückweisungsnachricht, die besagt, dass der Zugang zum vom Nutzer angeforderten Dienst verweigert wird, vom Authentifizierungsserver SA an das Nutzerendgerät T geschickt. Bei mehreren gemeinsamen Authentifizierungs-IDs AUID3 ermöglichen es die der Anbieter-ID PRID zugeordneten Authentifi-zierungsregeln RE in einem Schritt E72, eine einzige Authentifizierungs-ID AUID auszuwählen.
  • Nachdem das Authentifizierungsauswahlmodul die Authentifi-zierungs-ID AUID ausgewählt hat, wählt das Authentifizierungs-modul MA im Authentifizierungsserver SA in Schritt E8 aus der Tabelle TA1 eine Authentifizierungsvorgangs-ID PAID entsprechend dem Authentifizierungs-ID AUID aus. Das Authentifizierungsmodul MA startet in Schritt E9 den Authentifizierungsvorgang, der durch die ausgewählte Authentifizierungsvorgangs-ID bestimmt wurde. Der Authentifizierungsvorgang ist durch Schritte definiert, die die zugehörige Authentifizierung bilden. Die ausgewählte Authentifizierung ist beispielsweise eine klassische Authentifizierung mittels Login und Passwort, und einer der Schritte des Authentifizierungsvorgangs ist dann die Übersendung einer Aufforderung – vom Authentifizierungsserver SA an das Nutzerendgerät T – zur Eingabe des Login und des Passwortes.
  • Wenn der Nutzer in Schritt E10 nicht authentifiziert wird, so sendet das Authentifizierungsmodul MA des Authentifizierungsservers SA in einem Schritt E012 eine Zurückweisungsnachricht an das Endgerät.
  • Ein authentifizierter Nutzer ist somit ein Nutzer, dessen ID USID in der Speichertabelle TAA1 des Authentifizierungsmoduls MA enthalten ist.
  • Wenn der Nutzer authentifiziert ist, so überprüft das Authentifi-zierungsmodul MA in einem Schritt E11 in der Tabelle TAA2, ob der Nutzer die Kombination Diensteanbieter/Dienst abonniert hat, d.h. ob die Nutzer-ID USID der Kombination aus ausgewählter Anbieter-ID und ausgewählter Dienste-ID (PRID, SID) in der Tabelle TAA2 zugeordnet ist. Wenn der Nutzer die Kombination Anbieter/Dienst nicht abonniert hat, so sendet das Authentifizierungsmodul MA in Schritt E012 eine Zurückweisungsnachricht an das Endgerät.
  • Wenn der Nutzer authentifiziert ist und die Kombination Anbieter/Dienst abonniert hat, so überprüft das Authentifizierungsmodul MA in Schritt E12 in der Tabelle TA6, ob für den Nutzer ein Zugangsverbot für die Kombination aus Anbieter-ID und Dienste-ID (PRID, SID) besteht. Wenn für den Nutzer ein Zugangsverbot besteht, so sendet das Authentifizierungsmodul MA in Schritt E012 eine Zurückweisungsnachricht an das Endgerät.
  • Wenn für den Nutzer kein Zugangsverbot besteht, und nach dementsprechend erfolgreicher Authentifizierung des Nutzers gibt das Authentifizierungsmodul MA im Authentifizierungsserver SA die Anweisung zur Umleitung der zum Endgerät T bestehenden Verbindung zum Diensteserver SE. Das Modul MA im Server SA gibt in Schritt E13 ebenfalls die Anweisung zur Übermittlung – an den Diensteserver SE, genauer gesagt an dessen APU-Programmiertool – des Endgerätetyps, des Kommunikationsnetztyps, der Dienste-ID SID, des ausgewählten oder durch die Authentifizierungs-ID AUID bestimmten Authentifizierungssicherheitsniveaus und eventuell der Nutzer-ID USID und/oder eines Abrechnungsscheins und/oder eines Nutzerauthentifizierungs-ergebnisses, das in diesem Falle positiv ist. Die Übermittlung der Dienste-ID SID ist nützlich, sofern der Diensteserver mehrere Dienste bereitstellt.
  • In der Praxis speichert das Authentifizierungsmodul MA das Ergebnis der Nutzerauthentifizierung, um im Falle einer Streitigkeit zwischen dem Nutzer des Endgerätes T und dem Anbieter, der den Diensteserver SE betreibt, über einen Beleg für die Authentifizierung zu verfügen.
  • Als Variante geht mindestens einer der Schritte E11 und E12 den Authentifizierungsschritten E8, E9 und E10 voraus.
  • In einer Hauptvariante der ersten Ausführung wählt das Authentifizierungsauswahlmodul MSA im Authentifizierungsserver SA in Schritt E3 aus der Tabelle TA4 alle Authentifizierungs-IDs AUID aus, die der vom Diensteserver SE übermittelten Anbieter-ID PRID zugeordnet sind, statt ein Authentifizierungssicherheitsniveau NAU auszuwählen. Bei dieser Variante entfällt der Schritt E4. In Schritt E5 wählt das Auswahlmodul MSA aus der Tabelle TA2 mindestens eine Authentifizierung-ID AUID2 entsprechend dem Typ des Endgerätes und dem Typ des Kommunikationsnetzes RC aus, die vom Server SE übermittelt wurden. In Schritt E6 ermittelt das Auswahlmodul Authentifizierungs-IDs, die denen gemeinsam sind, die aus den Auswahlvorgängen in Schritt E4 und E5 hervorgegangen sind. Wenn das Auswahlmodul keinerlei gemeinsame Authentifizierungs-ID ermittelt, so wird in Schritt 71 eine Zurückweisungsnachricht vom Authentifi-zierungsserver SA an das Nutzerendgerät T geschickt. Bei mehreren gemeinsamen Authentifizierungs-IDs ermöglichen es die der Anbieter- ID PRID zugeordneten Authentifizierungsregeln RE in Schritt E72, eine einzige Authentifizierungs-ID auszuwählen. Die sich anschließenden Schritte sind mit denen der ersten Ausführung identisch.
  • Im API-Programmiertool API kann vom Anbieter ein Parameter eingegeben werden, um zwischen einem Betriebsmodus nach Authentifizierungssicherheitsniveau entsprechend der ersten Ausführung und einem Betriebsmodus entsprechend der vorstehend genannten Variante zu wählen. Dieser Parameter wird in Schritt E2 vom API-Tool an den Authentifizierungsserver SA übermittelt. Dieser Parameter kann vorab der Anbieter-ID PRID in der Tabelle TA4 zugeordnet werden.
  • Bei einer zweiten Ausführung umfasst das Authentifizierungs-verfahren hauptsächlich die Schritte F1 bis F16 gemäß 3. Das Endgerät fordert in Schritt F1 eine direkte Verbindung zum Authentifizierungsauswahlmodul MSA im Authentifizierungsserver SA an.
  • Als Antwort auf die zwischen dem Nutzerendgerät T und dem Auswahlmodul MSA hergestellte Verbindung übermittelt der Authen-tifizierungsserver SA oder genauer gesagt das Authen-tifizierungsauswahlmodul MSA in Schritt F2 eine Liste von unterschiedlichen in der Tabelle TA3 enthaltenen Diensten {SID} an das Endgerät T. Die Liste der Dienste {SID} beinhaltet mindestens die IDs SID der Dienste und – als Variante – weitere Charakteristiken, wie z.B. einen Namen oder eine Beschreibung für jeden Dienst. Der Nutzer des Endgerätes T wählt einen Dienst aus der Liste der Dienste {SID} aus. Das Endgerät T übermittelt die Dienste-ID des vom Nutzer in Schritt F3 aus der Liste ausgewählten Dienstes an das Auswahlmodul MSA. Das Authentifizierungsauswahlmodul wählt die Authentifizierungs-ID AUID ebenfalls in Abhängigkeit von der ausgewählten Dienste-ID SID aus.
  • In Schritt F4 wählt der Authentifizierungsserver SA aus der Liste TA3 alle Anbieter-IDs, die der ausgewählten Dienste-ID SID entsprechen, in Form einer Liste von Anbieter-IDs {PRID} aus.
  • Wenn die Anbieter-ID-Liste mehrere Anbieter-IDs PRID für die ausgewählte Dienste-ID enthält, so übermittelt der Authentifizierungs-server SA in einem Schritt F51 die Liste {PRID} der IDs der Anbieter, die den durch die Dienste-ID SID bestimmten Dienst bereitstellen können, an das Nutzerendgerät T. Die Liste der Anbieter-IDs {PRID} beinhaltet mindestens die IDs der Anbieter und – als Variante – weitere Charakteristiken, wie z.B. einen Namen oder eine Beschreibung für jeden Anbieter. Der Nutzer des Endgerätes wählt einen Anbieter aus, und das Endgerät übermittelt dann in einem Schritt F52 die ID PRID des vom Nutzer ausgewählten Anbieters an den Authentifizierungsserver SR.
  • Wenn keinerlei Anbieter-ID der Dienste-ID SID entspricht, so wird in einem Schritt F53 eine Fehlermeldung vom Authentifizierungsserver SA an das Endgerät T geschickt, um dem Nutzer mitzuteilen, dass noch kein Anbieter diesen Dienst bereitstellt.
  • In einer Variante übermittelt der Authentifizierungsserver SA in Schritt F2 direkt eine Liste aller in der Tabelle TA4 enthaltenen Anbieter-IDs – anstelle der Liste der Dienste-IDs – an das Endgerät T. Der Nutzer wählt direkt einen Anbieter aus, und die ausgewählte Anbieter-ID PRID wird dann in Schritt F3 anstelle der ausgewählten Dienste-ID vom Endgerät T an das Authentifizierungsauswahlmodul MSA des Authentifizierungsservers SA übermittelt. Das Authentifizierungsauswahlmodul MSA wählt die Authentifizierungs-ID AUID insbesondere in Abhängigkeit von der ausgewählten Anbieter-ID PRID aus.
  • Wenn mehrere Dienste-IDs auf die vorher gewählte Anbieter-ID entfallen, so sendet der Authentifizierungsserver in Schritt F2 jede Anbieter-ID und die zugehörige Liste der Dienste-IDs an das Endgerät. Der Nutzer des Endgerätes wählt den Anbieter und einen von ihm bereitgestellten Dienst aus; danach übermittelt das Endgerät T in Schritt F3 die ID PRID des Anbieters und die ID SID des Dienstes, wie vom Nutzer des Endgerätes ausgewählt, an den Authentifizierungsserver SA. Bei dieser Variante entfallen die Schritte F4, F51, F52 und F53.
  • Der Authentifizierungsserver SA hat damit die Kombination aus Anbieter-ID und Dienste-ID (SID, PRID) entsprechend den Wünschen des Nutzers im Speicher.
  • Die sich anschließenden Schritte F6 bis F15 entsprechen jeweils den Schritten E3 bis E12 der ersten Ausführung des Auswahlverfahrens gemäß 2.
  • Da dem Schritt F8 der Schritt E5 entspricht, ermittelt der Authentifizierungsserver SA den Typ des Endgerätes und den Typ des für die Kommunikation zwischen Endgerät T und Authentifizierungsserver SA verwendeten Kommunikationsnetzes RC. Danach wählt der Authentifizierungsserver SA mindestens eine Authentifizierungs-ID AULD2 in Abhängigkeit vom Typ des Endgerätes T und vom Typ des Kommunikationsnetzes RC aus, wie dies für den Schritt E5 beschrieben worden ist.
  • Wenn der Nutzer authentifiziert ist, die Kombination Anbieter/Dienst abonniert hat und autorisiert ist, auf die Kombination Anbieter/Dienst zuzugreifen, so leitet der Authentifizierungsserver SA die zum Endgerät T bestehende Verbindung zum Diensteserver SE um und übermittelt in Schritt F16 an den Diensteserver SE und genauer gesagt an dessen API-Tool den Typ des Endgerätes, den Typ des Kommunikationsnetzes des Nutzers, die Dienste-ID SID, das ausgewählte Authentifizierungssicherheitsniveau und gegebenenfalls die Nutzer-ID USID und/oder einen Abrechnungsschein und/oder das Authentifi-zierungsergebis, das ja positiv ist.
  • Wenn das Ergebnis der Authentifizierung des Nutzers positiv ist und übermittelt wurde oder – einfacher – wenn der Typ des Endgerätes, der Typ des Kommunikationsnetzes und das Authentifizierungssicherheitsniveau übermittelt wurden, so autorisiert der Diensteserver SE den Zugriff über das Nutzerendgerät auf den vom Nutzer gewünschten und durch die Dienste-ID SID bestimmten Dienst. In allen anderen Fällen wird dem Nutzer der Zugriff verweigert, wie für Schritt 012 angegeben.
  • Der Typ des Endgerätes T und der Typ des Kommunikationsnetzes RC werden übermittelt, damit der Diensteserver SE die Verbindung dem Endgerät anpasst. Wenn das Endgerät beispielsweise ein zellulares Mobilfunkendgerät und das Protokoll für den Informationsaustausch über das Internet ein WAP-Protokoll ist, so kommuniziert der Dienstesserver SE mit dem Endgerät über die WML-Sprache (WML = Wireless Markup Language).
  • Bei einer Variante der zweiten Ausführung wählt der Nutzer des Endgerätes – nach Schritt F1 und vor Schritt F2 – selbst ein Authentifizierungssicherneitsniveau NAU unter mehreren vorher bekannten aus. Als Antwort auf die ausgewählte ID NAU, die das Endgerät an den Authentifizierungsserver SA übermittelt hat, übermittelt dieser in Schritt 2 Dienste-IDs SID entsprechend dem vom Nutzer ausgewählten Authentifizierungsniveau. Der Nutzer wählt den Dienst aus, wonach das Endgerät in Schritt F3 die Dienste-ID SID an den Authentifizierungsserver SA übermittelt. In den anschließenden Schritten F4 bis F16 entfällt der Schritt F6, der die Entsprechung von Schritt E3 wäre.
  • Als Variante kann der Authentifizierungsserver SA, wenn er bei der ersten und zweiten Ausführung die Nutzer-ID USID übermittelt, auch andere Parameter des Nutzers, wie z.B. den Namen, den Vornamen usw., übermitteln.
  • Die Hauptvariante der ersten Ausführung kann im Kontext der zweiten Ausführung angewandt werden.
  • Die hier beschriebene Erfindung betrifft ein Verfahren und einen Authentifizierungsauswahlserver. Nach einer bevorzugten Realisierung des Verfahrens werden dessen Schritte von den Anweisungen eines Authentifizierungsauswahlprogramms bestimmt, das in einen Authentifizierungsserver SA integriert ist, und das Verfahren nach der Erfindung kommt zur Anwendung, wenn dieses Programm auf einen Computer geladen wird, deren Funktionsweise dann durch die Ausführung des Programms gesteuert wird.
  • Folglich gilt die Erfindung auch für ein Computerprogramm, insbesondere ein zur Umsetzung der Erfindung geeignetes Computerprogramm auf oder in einem Informationsträger. Dieses Programm kann in einer beliebigen Programmiersprache erstellt sein und in Form eines ausführbaren Codes oder jeder beliebigen zur Umsetzung eines erfindungsgemäßen Verfahrens wünschenswerten Form vorliegen.
  • Der Informationsträger kann eine beliebige zur Speicherung des Programms geeignete Einheit oder Vorrichtung sein. Der Informationsträger kann beispielsweise eine Speichervorrichtung, wie einen ROM, z.B. einen CD ROM oder einen ROM mit mikroelektronischer Schaltung, oder auch eine Vorrichtung zur elektronischen Aufzeichnung, z.B. eine Diskette (Floppy Disc) oder eine Festplatte, umfassen. Andererseits kann der Informationsträger übertragbar sein, wie z.B. ein elektrisches oder optisches Signal, das über ein elektrisches oder optisches Kabel, per Funk oder in anderer Weise befördert werden kann. Das Programm nach der Erfindung kann insbesondere auf ein Netz des Typs Internet hochgeladen werden.
  • Alternativ kann der Informationsträger ein integrierter Schaltkreis sein, in den das Programm integriert ist und der zur Ausführung des erfindungsgemäßen Verfahrens oder zur Verwendung bei dessen Ausführung geeignet ist.

Claims (10)

  1. Authentifizierungsserver zur automatischen Auswahl einer von mehreren Authentifizierungen, jeweils wiedergegeben durch Authentifizierungsidentifikatoren (AUID), mit dem Ziel, einen Nutzer eines Endgerätes (T) zu authentifizieren zwecks Autorisierung des Zugangs zu einem Dienst, der von einem Diensteserver (SE) eines durch einen Anbieteridentifikator (PRID) gekennzeichneten Anbieters über ein Kommunikationsnetz (RC) bereitgestellt wird, dadurch gekennzeichnet, dass er Folgendes umfasst: eine Einrichtung (MSA) zur Auswahl aus einem Speicher (TA1 bis TA6) eines Authentifizierungsidentifikators (AUID) in Abhängigkeit vom Anbieteridentifikator (PRID) und dem Typ des Endgerätes und Typ des Kommunikationsnetzes sowie eine Einrichtung (MA) zur Authentifizierung des Nutzers gemäß einem dem Authentifizierungsidentifikator (AUID) zugeordneten Authentifizierungsvorgang.
  2. Authentifizierungsserver gemäß Anspruch 1, bei dem die Auswahleinrichtung (MSA) den Authentifizierungsidentifikator (AUID) in Abhängigkeit von einem dem Anbieteridentifikator (PRID) zugehörigen Authentifizierungssicherheitsniveau (NAU) auswählt (E4).
  3. Authentifizierungsserver gemäß Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Auswahleinrichtung (MSA) den Authentifizierungsidentifikator (AUID) in Abhängigkeit von dem Anbieteridentifikator (PRID) zuge ordneten Authentifizierungsregeln (RE) auswählt, die auf mindestens ein dem Anbieteridentifikator (PRID) und/oder dem Endgerätetyp und Kommunikationsnetztyp entsprechendes Authentifizierungssicherheitsniveau (NAU) angewandt werden.
  4. Authentifizierungsserver gemäß einem beliebigen der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass der Diensteserver (SE) eine Einrichtung (API) zum Übermitteln (E2) mindestens des Anbieteridentifikators (PRID) und des Endgerätetyps und des Kommunikationsnetztyps an die Auswahleinrichtung (MSA) als Antwort auf die zwischen dem Nutzerendgerät (T) und dem Diensteserver (SE) hergestellte Verbindung umfasst.
  5. Authentifizierungsserver gemäß einem beliebigen der Ansprüche 1 bis 3, bei dem die Auswahleinrichtung (MSA) eine Liste von durch Dienste-Identifikatoren (SID) gekennzeichnete Diensten ({SID}) als Antwort auf eine zwischen dem Nutzerendgerät (T) und der Auswahleinrichtung (MSA) hergestellte Verbindung an das Endgerät (F2) übermittelt und das Endgerät (F3) einen Dienste-Identifikator (SID) eines vom Nutzer aus der übermittelten Liste ausgewählten Dienstes an die Auswahleinrichtung übermittelt, damit die Auswahleinrichtung den Authentifizierungsidentifikator (AUID) auch in Abhängigkeit vom gewählten Dienste-Identifikator (SID) auswählt.
  6. Authentifizierungsserver gemäß einem beliebigen der Ansprüche 1 bis 5, bei dem die Auswahleinrichtung (MSA) eine Liste ({PRID}) von Anbieteridentifikatoren (PRID) als Antwort auf eine zwischen dem Nutzer endgerät (T) und der Auswahleinrichtung (MSA) hergestellte Verbindung an das Endgerät (F2) übermittelt und das Endgerät (F3) einen vom Nutzer aus der übermittelten Liste ausgewählten Anbieteridentifikator (PRID) an die Auswahleinrichtung übermittelt, damit die Auswahleinrichtung den Authentifizierungsidentifikator (AUID) insbesondere in Abhängigkeit von dem ausgewählten Anbieteridentifikator (PRID) auswählt.
  7. Authentifizierungsserver gemäß einem beliebigen der Ansprüche 1 bis 6, bei dem die Authentifizierungseinrichtung (MA) mindestens den Typ des Endgerätes, den Typ des Kommunikationsnetzes, den übermittelten Dienste-Identifikator (SID) und ein durch den ausgewählten Authentifizierungsidentifikator (AUID) bezeichnetes Authentifizierungssicherheitsniveau (NAU) an den Diensteserver (SE) übermittelt (E13, F16), sobald der Nutzer authentifiziert ist.
  8. Authentifizierungsserver gemäß einem beliebigen der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass er zwei separate Server umfasst, die die Auswahleinrichtung (MSA) bzw. die Authentifizierungseinrichtung (MA) beinhalten.
  9. Verfahren zur automatischen Auswahl einer von mehreren Authentifizierungen, jeweils wiedergegeben durch Authentifizierungsidentifikatoren (AUID), mit dem Ziel, einen Nutzer eines Endgerätes (T) zu authentifizieren zwecks Autorisierung des Zugangs zu einem Dienst, der von einem Diensteserver (SE) eines durch einen Anbieteridentifikator (PRID) gekennzeichneten Anbieters über ein Kommunikationsnetz (RC) bereitgestellt wird, dadurch gekennzeichnet, dass es folgende Stufen umfasst: – Auswahl aus einem Speicher (TA1 bis TA6) eines Authentifizierungsidentifikators (AUID) in Abhängigkeit vom Anbieteridentifikator (PRID) und dem Typ des Endgerätes und Typ des Kommunikationsnetzes und – Authentifizierung des Nutzers gemäß einem dem Authentifizierungsidentifikator (AUID) zugeordneten Authentifizierungsvorgang.
  10. Computerprogramm auf einem Informationsträger, geladen und ausgeführt auf einem Authentifizierungsserveur (SA), zur Auswahl einer von mehreren Authentifizierungen, jeweils wiedergegeben durch Authentifizierungsidentifikatoren (AUID), mit dem Ziel, einen Nutzer eines Endgerätes (T) zu authentifizieren zwecks Autorisierung des Zugangs zu einem Dienst, der von einem Diensteserver (SE) eines durch einen Anbieteridentifikator (PRID) gekennzeichneten Anbieters über ein Kommunikationsnetz (RC) bereitgestellt wird, wobei das besagte Programm dadurch gekennzeichnet ist, dass es Programmanweisungen enthält zur: – Auswahl aus einem Speicher (TA1 bis TA6) eines Authentifizierungsidentifikators (AUID) in Abhängigkeit vom Anbieteridentifikator (PRID) und dem Typ des Endgerätes und Typ des Kommunikationsnetzes sowie – Authentifizierung des Nutzers gemäß einem dem Authentifizierungsidentifikator (AUID) zugeordneten Authentifizierungsvorgang.
DE602004001384T 2003-08-05 2004-07-22 Automatischer authentifikationsauswahlserver Active DE602004001384T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR0309673 2003-08-05
FR0309673A FR2858732B1 (fr) 2003-08-05 2003-08-05 Systeme de selection automatique d'authentification
PCT/FR2004/001941 WO2005015877A1 (fr) 2003-08-05 2004-07-22 Serveur de selection automatique d’authentification

Publications (2)

Publication Number Publication Date
DE602004001384D1 DE602004001384D1 (de) 2006-08-10
DE602004001384T2 true DE602004001384T2 (de) 2007-05-03

Family

ID=34073043

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004001384T Active DE602004001384T2 (de) 2003-08-05 2004-07-22 Automatischer authentifikationsauswahlserver

Country Status (7)

Country Link
US (1) US20060174332A1 (de)
EP (1) EP1537718B1 (de)
AT (1) ATE332054T1 (de)
DE (1) DE602004001384T2 (de)
ES (1) ES2267076T3 (de)
FR (1) FR2858732B1 (de)
WO (1) WO2005015877A1 (de)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9614772B1 (en) 2003-10-20 2017-04-04 F5 Networks, Inc. System and method for directing network traffic in tunneling applications
WO2006084960A1 (fr) * 2005-02-10 2006-08-17 France Telecom Systeme de selection automatique d’authentification
US8418233B1 (en) * 2005-07-29 2013-04-09 F5 Networks, Inc. Rule based extensible authentication
US8533308B1 (en) 2005-08-12 2013-09-10 F5 Networks, Inc. Network traffic management through protocol-configurable transaction processing
WO2007027958A1 (en) * 2005-08-29 2007-03-08 Junaid Islam ARCHITECTURE FOR MOBILE IPv6 APPLICATIONS OVER IPv4
WO2007085175A1 (fr) * 2006-01-24 2007-08-02 Huawei Technologies Co., Ltd. Procédé, système d'authentification et centre d'authentification reposant sur des communications de bout en bout dans le réseau mobile
FI118841B (fi) * 2006-09-13 2008-03-31 Eads Secure Networks Oy Matkaviestimen autentikointi
US9832069B1 (en) 2008-05-30 2017-11-28 F5 Networks, Inc. Persistence based on server response in an IP multimedia subsystem (IMS)
US9130846B1 (en) 2008-08-27 2015-09-08 F5 Networks, Inc. Exposed control components for customizable load balancing and persistence
US8756661B2 (en) * 2009-08-24 2014-06-17 Ufp Identity, Inc. Dynamic user authentication for access to online services
US9830594B2 (en) 2011-05-17 2017-11-28 Ping Identity Corporation System and method for performing a secure transaction
US8346672B1 (en) 2012-04-10 2013-01-01 Accells Technologies (2009), Ltd. System and method for secure transaction process via mobile device
US9098850B2 (en) * 2011-05-17 2015-08-04 Ping Identity Corporation System and method for transaction security responsive to a signed authentication
JP2014529964A (ja) 2011-08-31 2014-11-13 ピング アイデンティティ コーポレーション モバイル機器経由の安全なトランザクション処理のシステムおよび方法
JP5903190B2 (ja) * 2012-04-01 2016-04-13 オーセンティファイ・インクAuthentify Inc. マルチパーティシステムにおける安全な認証
US9781105B2 (en) 2015-05-04 2017-10-03 Ping Identity Corporation Fallback identity authentication techniques
US10318718B2 (en) * 2016-09-23 2019-06-11 Ncr Corporation Voice authentication within messaging systems

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1158745B1 (de) * 2000-05-26 2003-09-03 International Business Machines Corporation Vorrichtung und Verfahren mit sicherem und öffentlichem Zugang
US6859879B2 (en) * 2000-05-26 2005-02-22 International Business Machine Corporation Method and system for secure pervasive access
US7093019B1 (en) * 2000-11-21 2006-08-15 Hewlett-Packard Development Company, L.P. Method and apparatus for providing an automated login process
DE60131534T2 (de) * 2001-09-04 2008-10-23 Telefonaktiebolaget Lm Ericsson (Publ) Umfassender Authentifizierungsmechanismus
US7076797B2 (en) * 2001-10-05 2006-07-11 Microsoft Corporation Granular authorization for network user sessions
US6844715B2 (en) * 2002-09-05 2005-01-18 Honeywell International Inc. Synthetic RF detection system and method

Also Published As

Publication number Publication date
EP1537718A1 (de) 2005-06-08
WO2005015877A1 (fr) 2005-02-17
EP1537718B1 (de) 2006-06-28
ES2267076T3 (es) 2007-03-01
FR2858732A1 (fr) 2005-02-11
DE602004001384D1 (de) 2006-08-10
FR2858732B1 (fr) 2005-09-16
US20060174332A1 (en) 2006-08-03
ATE332054T1 (de) 2006-07-15

Similar Documents

Publication Publication Date Title
DE602004001384T2 (de) Automatischer authentifikationsauswahlserver
DE19722424C1 (de) Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System
DE60317753T2 (de) Verfahren und Vorrichtung zur automatischen Client-Authentifizierung in einem drahtlosen Netzwerk, das durch PEAP, EAP-TLS oder andere erweiterbare Authentifizierungsprotokolle geschützt wird
CN109089264A (zh) 一种移动终端免密登录的方法及系统
DE60312911T2 (de) System für mobile Authentifizierung mit reduzierten Authentifizierungsverzögerung
US7721326B2 (en) Automatic authentication selection server
DE69904570T3 (de) Verfahren, anordnung und einrichtung zur authentifizierung durch ein kommunikationsnetz
DE112012002729T5 (de) Zero-Sign-On-Authentifizierung
DE10392283T5 (de) System, Verfahren und Vorrichtung für verbündete einzelne Dienstleistungen mit Anmeldeverfahren beziehungsweise Sign-On-Dienstleistungen
DE212010000136U1 (de) Elternanpassung
DE69839090T2 (de) Verfahren um einen service in einem daten-kommunikations-system in anspruch zu nehmen und daten-kommunikations-system
EP2632104B1 (de) Verfahren und Telekommunikationssystem zur Anmeldung eines Nutzers an einem gesicherten personalisierten IPTV-Dienst
EP2017999A1 (de) Verfahren, vorrichtung und system zur authentifizierung von netzwerkdiensten
DE69925482T2 (de) Verfahren, einrichtung und gerät zur authentifizierung
DE102016012835A1 (de) Automatisches Identifizieren einer verringerten Verfügbarkeit von Vielkanalmedienverteilern zur Authentisierung oder Autorisierung
EP2835946A1 (de) Verfahren zur Personalisierung von Cloud basierenden Web RCS-Clients
DE60008313T2 (de) SIM basierte Authentifizierung als Zahlungsverfahren in öffentlichen ISP Zugangsnetzen
DE60215482T2 (de) Architektur zur bereitstellung von internetdiensten
EP2575385B1 (de) Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos, zum Durchführen einer Transaktion, sowie Endgerät
DE102016013498A1 (de) Automatisches Bestimmen der Wiederverfügbarkeit von Vielkanalmedienverteilern zur Authentisierung oder Autorisierung
DE19911221B4 (de) Verfahren zur Verteilung von Schlüsseln an Teilnehmer von Kommunikationsnetzen
DE102014204344B4 (de) Authentifizierungsvorrichtung, Authentifizierungssystem und Authentifizierungsverfahren
EP1255394B1 (de) Just-in-Time Authentifizierung von Benutzern eines digitalen Hausnetzwerks
EP1519603A1 (de) Verfahren zur Authentisierung eines Teilnehmers für einen über ein Kommunikationssystem angebotenen Dienst
DE102005003208B4 (de) Authentisierung eines Benutzers

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
R082 Change of representative

Ref document number: 1537718

Country of ref document: EP

Representative=s name: JOCHEN MUELLER, 55411 BINGEN, DE