-
Die
vorliegende Erfindung betrifft einen Server zur Authentifizierung
eines Nutzers eines Endgerätes
zwecks Zugang zu einem von einem Anbieter über einen Auftragnehmer bereitgestellten
Dienst durch dynamische Auswahl eines Authentifizierungsverfahrens über ein
Telekommunikationsnetz. Genauer gesagt entspricht das Authentifizierungsverfahren
einer Authentifizierung, die mindestens in Abhängigkeit vom Anbieter, vom
Endgerät,
vom Netz und einem Authentifizierungssicherheitsniveau ausgewählt wird.
-
Die
zahlreichen bestehenden Authentifizierungssysteme unterscheiden
sich nach Sicherheitsniveau und Authentifizierungsverfahren. Eine
klassische Authentifizierung über
ID (Login) und Passwort ist statisch, d.h. die ID und das Passwort,
die über das
Netz übermittelt
werden, sind bei aufeinanderfolgenden Authentifizierungen stets
gleich. Diese Art der Authentifizierung ermöglicht, dass sich Dritte das Passwort
missbräuchlich
aneignen können,
und bietet somit nur ein niedriges Sicherheitsniveau.
-
Eine
Authentifizierung über
eine „Zufallszahl (Challenge)/Antwort" ist dynamisch. Sie
beruht auf dem Prinzip der Verwendung eines Einmal-Passwortes, das
als OTP (One-Time-Passwort) bezeichnet wird. Die Erfassung eines
Passworts ist demzufolge unnötig,
da das Passwort nicht wiederverwendet werden kann. Wenn sich ein
Nutzer bei einem Server authentifizieren möchte, so erzeugt der Server
eine als Challenge bezeichnete Zufallszahl und sendet sie an das
Endgerät
des Nutzers. Der Nutzer gibt das Passwort ein und wendet es über Chiffrier-
und Verwürfelungsalgorithmen
an. Das Endgerät
des Nutzers sendet das QTP an den Server, der damit über die
für die
Authentifizierung des Nutzers erforderlichen Informationen verfügt.
-
Authentifizierungen
mithilfe von Zertifikaten sind ebenfalls dynamisch. Sie arbeiten
mit kryptographischen Algorithmen mit öffentlichen und asymmetrischen
Schlüsseln.
Ein Zertifikat umfasst eine Nutzeridentität, einen öffentlichen Schlüssel und
einen privaten Schlüssel,
die von einer Zertifizierungsstelle zertifiziert werden. Der private
Schlüssel
wird vom Nutzer geheimgehalten und im Endgerät des Nutzers gespeichert.
Ein eingegebenes oder gesprochenes Passwort, ein biometrischer Abdruck
oder ein vertraulicher Code kann erforderlich sein, um den privaten
Schlüssel
zu aktivieren. In der Praxis sendet ein Server nach Aktivierung
des privaten Schlüssels
eine Challenge an das Nutzerendgerät. Das Nutzergerät signiert
die Challenge mit dem privaten Schlüssel des entsprechenden Nutzers
und sendet sie an den Server. Der Server authentifiziert dann den
Nutzer mit dessen öffentlichem
Schlüssel.
Eine Authentifizierung durch elektronische Signatur arbeitet beispielsweise
auf Basis von Zertifikaten.
-
Da
die Authentifizierungsverfahren generell komplex und aufwändig umzusetzen
sind, kann ein Auftragnehmer von Diensteanbietern es übernehmen,
Nutzerauthentifizierungsverfahren in transparenter Weise im Auftrag
seiner als „Anbieter" bezeichneten Kunden
durchzuführen.
Ein Anbieter eines Informationsdienstes in Echtzeit im Internet
kann auf einen Auftragnehmer zurückgreifen,
um das Nutzerauthentifizierungsverfahren vollständig zu verwalten. In ein und
demselben Netz sind die Authentifizierungsverfahren des Auftragnehmers
generell für
alle von ihm betreuten Anbieter, d.h. seine Kunden, gleich. Zudem
kann ein Anbieter das von ihm bevorzugte Authentifizierungsverfahren
nicht ohne Weiteres in Abhängigkeit
von der Kombination aus Endgerät
(Mobiltelefon, PC, Fernsehen, PDA) und Telekommunikationsnetz, das
von den Nutzern genutzt wird, (GPRS, Internet) ändern.
-
EP1158745 beschreibt ein
Server/Client-System zur Überwachung
des Zugriffs auf Anwendungsfunktionen über ein Nutzerendgerät. Das System
umfasst einen Server, der eine Authentifizierungskomponente und
eine Sicherheitskomponente beinhaltet. Die Authentifizierungskomponente
sieht mehrere detailliert beschriebene Authentifizierungsmechanismen
vor. Diese Authentifizierungsmechanismen basieren insbesondere auf
einem ausgewählten
Passwort, einer ausgewählten
Nutzer-ID und einer ausgewählten
numerischen Signatur und sind abhängig von in der Client-Anfrage
enthaltenen Angaben, wie dem vom Client angefragten Inhalt und dem
Typ des Client-Endgerätes. Die
Sicherheitskomponente definiert eine Sicherheitsregelung, die die Sicherheitsbedingungen
für den
Zugriff auf die Anwendungsfunktionen beschreibt. Bei erfolgreicher Authentifizierung
und Erfüllung
der Zugangsbedingungen für
den Zugriff auf eine Anwendungsfunktion ruft die Sicherheitskomponente
dann die Anwendungsfunktion auf.
-
EP1288765 beschreibt eine
einzige spezielle Authentifizierung eines Nutzerendgerätes bei
einem Diensteanbieter, die durch einen vom Diensteanbieter unabhängigen Authentifizierungsserver
erfolgt.
-
Gegenstand
von
EP1301006 ist die
Anpassung des Zugangs zu Netzressourcen je nach Nutzer. Der Zugang
zu den Netzressourcen wird einem Nutzer in Abhängigkeit von Zugangscharakteristiken, wie
Typ des vom Nutzer verwendeten Endgerätes, Standort des Endgerätes, Charakteristiken
des Authentifizierungsverfahrens des Endgerätes, Betriebssystem des Endgerätes usw.,
gewährt.
-
In
keinem der drei vorstehend genannten Dokumente wird irgendeine Art
der Auswahl der Authentifizierung durch einen Anbieter, der nicht
derjenige, der den Inhalt liefert, ist, vorgeschlagen.
-
Ziel
der vorliegenden Erfindung ist es, die vorstehend genannten Nachteile
zu beheben durch automatische Auswahl einer Authentifizierung in
Abhängigkeit
vom Anbieter und den Charakteristiken eines Nutzerendgerätes und
eines Telekommunikationsnetzes.
-
Um
dieses Ziel zu erreichen, ist ein Authentifizierungsserver zur automatischen
Auswahl einer Authentifizierung aus mehreren jeweils durch Authentifizierungs-IDs
gekennzeichneten Authentifizierungen mit dem Ziel der Authentifizierung
eines Endgerätenutzers
zwecks Autorisierung des Zugangs zu einem Dienst, der von einem
Diensteserver eines durch eine Anbieter-ID gekennzeichneten Anbieters über ein
Kommunikationsnetz bereitgestellt wird, dadurch gekennzeichnet,
dass er Folgendes umfasst:
eine Einrichtung zum Auswählen aus
einem Speicher einer Authentifizierungs-ID in Abhängigkeit
von der Anbieter-ID und dem Typ des Endgerätes und dem Typ des Kommunikationsnetzes
sowie eine Einrichtung zur Authentifizierung des Nutzers gemäß einem der
Authentifizierungs-ID zugeordneten Authentifizierungsvorgang.
-
Die
Einrichtung zum Auswählen
kann ebenfalls die Authentifizierungs-ID in Abhängigkeit von einem Authentifizierungssicherheitsniveau
entsprechend der Anbieter-ID
und/oder in Abhängigkeit
von der Anbieter-ID zugeordneten Authentifizierungregeln auswählen, die
auf mindestens ein der Anbieter-ID und/oder dem Endgerätetyp und/oder
dem Kommunikationsnetztyp entsprechendes Authentifizierungsicherheits-niveau
angewandt werden.
-
Nach
einer ersten Ausführung
wird, wenn der Nutzer einen vom Diensteserver bereitgestellten Dienst
nutzen möchte,
eine Verbindung zwischen dem Nutzerendgerät und dem Diensteserver hergestellt,
der bei der Einrichtung zum Auswählen
die Authentifizierung des Nutzers anfordert. Bei dieser ersten Ausführung umfasst
der Diensteserver eine Einrichtung zum Übermitteln mindestens der Anbieter-ID und
des Typs des Endgerätes
und des Typs des Kommunikationsnetzes an die Einrichtung zum Auswählen als
Antwort auf die zwischen dem Nutzerendgerät und dem Diensteserver hergestellte
Verbindung als Antwort auf die – wie
vorstehend erwähnt – erstellte
Verbindung.
-
Nach
einer zweiten Ausführung
wird eine Verbindung zwischen dem Nutzerendgerät und der Einrichtung zum Auswählen hergestellt,
sobald der Nutzer einen Dienst auf dem Diensteserver nutzen möchte. Bei
dieser Ausführung übermittelt
die Einrichtung zum Auswählen
eine Liste von durch Dienste-IDs gekennzeichneten Diensten als Antwort
auf die – wie
vorstehend erwähnt – hergestellte
Verbindung, und das Endgerät übermittelt
eine Dienste-ID eines vom Nutzer aus der übermittelten Liste ausgewählten Dienstes
an die Einrichtung zum Auswählen, damit
diese die Authentifizierungs-ID auch in Abhängigkeit von der gewählten Dienste-ID
auswählt.
Nach einer Variante der zweiten Ausführung, die mit dieser kombiniert
werden kann, übermittelt
die Einrichtung zum Auswählen
als Antwort auf eine zwischen dem Nutzerendgerät und der Einrichtung zum Auswählen an
das Endgerät
eine Liste von Anbieter-IDs, und das Endgerät übermittelt an die Einrichtung
zum Auswählen
eine vom Nutzer aus der übermittelten
Liste ausgewählte
Anbieter-ID, damit die Einrichtung zum Auswählen die Authentifizierungs-ID
hauptsächlich
in Abhängigkeit
von der gewählten
Anbieter-ID auswählt.
-
Die
Erfindung betrifft auch ein Verfahren zur automatischen Auswahl
einer Authentifizierung aus mehreren jeweils durch Authentifizierungs-IDs
gekennzeichneten Authentifizierungen mit dem Ziel der Authentifizierung
eines Endgerätenutzers
zwecks Autorisierung des Zugangs zu einem Dienst, der von einem
Dienstserver eines durch eine Anbieter-ID gekennzeichneten Anbieters über ein
Kommunikationsnetz bereitgestellt wird. Das Verfahren ist dadurch gekennzeichnet,
dass es folgende Schritte umfasst:
- – Auswahl
aus einem Speicher einer Authentifizierungs-ID in Abhängigkeit
von der Anbieter-ID und dem Typ des Endgerätes und dem Typ des Kommunikationsnetzes
und
- – Authentifizierung
des Nutzers gemäß einem
der Authentifizierungs-ID zugeordneten Authentifizierungsvorgang.
-
Weitere
Charakteristiken und Vorteile der vorliegenden Erfindung werden
klarer beim Lesen der folgenden Beschreibung mehrerer bevorzugter Ausführungen
der Erfindung, die sich als nicht einschränkende Beispiele verstehen,
in Verbindung mit den Bezugszeichen:
- – in einem
als 1 bezeichneten schematischen Blockdiagramm
eines erfindungsgemäßen Systems
zur automatischen Authentifizierungsauswahl;
- – in
einem als 2 bezeichneten schematischen Algorithmus
eines Verfahrens zur Authentifizierungsauswahl, das im System zur
automatischen Authentifizierungsauswahl gemäß einer ersten Ausführung der
Erfindung verwirklicht ist;
- – in
einem als 3 bezeichneten schematischen Algorithmus
eines Verfahrens zur Authentifizierungsauswahl, das im System zur
automatischen Authentifizierungsauswahl gemäß einer zweiten Ausführung der
Erfindung verwirklicht ist.
-
Bei
den Ausführungen
der Erfindung übernimmt
das System zur automatischen Authentifizierungsauswahl den Informationsaustausch
zwischen einem Auftragnehmer, einem Diensteanbieter und einem Nutzer.
-
Das
System zur automatischen Authentifizierungsauswahl gemäß der Erfindung
basiert auf einer Architektur des Typs Client-Server. Es umfasst
gemäß 1 hauptsächlich mehrere interaktive
Endgeräte
T, mindestens eine Authentifizierungsserver SA als „Auftragnehmer" und mindestens einen Diensteserver
SE als „Diensteanbieter".
-
Ein
Nutzer greift über
sein interaktives Endgerät
auf Dienste zu, die eine Authentifizierung des Nutzers verlangen.
Nach der Ausführung
gemäß 1 ist ein Nutzerendgerät T1 beispielsweise
vom Typ intelligenter Fernsehempfänger. Der Fernsehempfänger T1 arbeitet mit einer Fernbedienung mit Display
und alphanumerischer Tastatur zusammen, die über eine Infrarotverbindung
auch als Maus dient. In einer Variante wird die Fernbedienung durch
eine vollständigere,
drahtlose Tastatur ergänzt,
die über eine
Nahfunkverbindung mit dem Fernseher verbunden ist.
-
Weitere
im Haus verwendete Endgeräte,
ob tragbar oder nicht, sind denkbar, wie PC, Telefon, Videospielkonsole,
Radiogerät,
Schaltzentrale einer Alarmanlage usw. Das Endgerät T wird über eine Telekommunikationsverbindung
LT und ein Zugangsnetz RA, wie z.B. eine Telefonleitung und das
vermittelte Telefonnetz, mit einem Netz zur Hochgeschwindigkeitsübertragung
von Datenpaketen vom Typ Internet bedient, an das der Authentifizierungsserver SA
angeschlossen ist.
-
Nach
einer weiteren Ausführung
ist das vorzugsweise mit mindestens einem Lautsprecher ausgerüstetes Nutzerendgerät T2 ein PC, der direkt über Modem an die Verbindung
LT angeschlossen ist. Nach anderen Ausführungen umfasst das Nutzerendgerät T3 eine elektronische Telekommunikationsvorrichtung
oder -gerät
zur persönlichen
Nutzung durch den Nutzer, wobei dies ein persönlicher digitaler Assistent
PDA sein kann, oder aber ein intelligentes Radiogerät anstelle
des Fernsehempfängers
T1, wobei auch ein Nebeneinander der beiden
Typen von Empfängern
möglich
ist.
-
Die
Telekommunikationsverbindung LT kann eine xDSL-Leitung (DSL = Digital
Subscriber Line) oder eine ISDN-Leitung (ISDN = Integrated Services Digital
Network) sein, die mit dem jeweiligen Zugangsnetz verbunden ist.
-
Nach
wieder einer anderen Ausführung
ist das Endgerät
T9 ein zellulares Mobilfunkendgerät, die Telekommunikationsverbindung
LT ein Sprechfunkkanal und das Zugangsnetz RA das Festnetz eines
Sprechfunknetzes, z.B. vom Typ GSM (Global System for Mobile communications)
oder UMTS (Universal Mobile Telecommunications System).
-
Die
Nutzerendgeräte
und die Zugangsnetze sind nicht auf die obigen Beispiele aus 1 beschränkt und können von anderen bekannten
Endgeräten
und Zugangsnetzen gebildet werden.
-
Der
Authentifizierungsserver SA beinhaltet ein Authentifizierungs-auswahlmodul
MSA, ein Authentifizie rungsmodul MA und mindestens einen Speicher
mit sechs Entsprechungstabellen TA1 bis TA6. Der Authentifizierungsserver
ist einem Auftragnehmer zugeordnet.
-
Bei
einer Variante umfasst der Authentifizierungsserver SA zwei separate
Server, die jeweils das Authentifizierungsauswahlmodul MSA und das
Authentifizierungsmodul SA beinhalten. In einem beliebigen HTTP-Server ist das Modul
MA mit dem Telekommunikationsnetz RC und folglich mit dem Paketübertragungsnetz
RP verbunden und kommuniziert so mit dem Server SA, der das Modul
MSA beinhaltet.
-
In
der ersten Tabelle TA1 ist eine Authentifizierungs-ID AUID einer
Authentifizierungsvorgangs-ID PAID zugewiesen. Eine Authentifizierung bezeichnet
generell eine Gesamtheit von Parametern, wie z.B. Login, Passwort
und Nutzercharakteristiken, sowie einen gesamten Authentifizierungsvorgang,
bei dem diese Gesamtheit von Parametern genutzt wird. Ein Authentifizierungsvorgang
steht für eine
Abfolge von Schritten einer durch die Authentifizierungs-ID bestimmten
Authentifizierung.
-
In
der zweiten Tabelle TA2 ist jede Authentifizierungs-ID AUID mindestens
einem Typ von Endgerät
T und einem Typ von Kommunikationsnetz RC zugewiesen, die in der
Lage sind, die so bestimmte Authentifizierung zu unterstützen. Denn
die Authentifizierungen unterscheiden sich je nach Typ des Endgerätes T und
Typ des Kommunikationsnetzes RC, über das der Nachrichtenaustausch
zwischen dem Endgerät
und dem Server SE bzw. SA gemäß der ersten
bzw. zweiten Ausführung
des Verfahrens, wie im Weiteren beschrieben, läuft.
-
Das
Kommunikationsnetz RC ist definiert durch eine Gesamtheit von Leitungen
und Geräten, die
für eine
spezifische Datenübermittlung
erforderlich sind. Ein SMS-Netz
(SMS = Short Message Service) ist ein Kommunikationsnetz, das einem
zur Übermittlung
von Kurznachrichten weiterverwendeten Teil des GSM-Netzes gleichgestellt
ist und spezifische Geräte
beinhaltet, wie z.B. einen Kurznachrichtenserver. Ein Sprachnetz,
bestehend aus einer VXML-Sprachplattform (VXML = Voice eXtensible Markup
Language) sowie Anwendungsservern und einem Teil des Sprechfunk-
oder vermittelten Telefonnetzes, ist ein anderes Kommunikationsnetz.
Gemäß weiteren
Beispielen kann ein Kommunikationsnetz im Sinne der Erfindung mindestens
eines der Netze: GSM, UMTS, WAP (Wireless Application Protocol), USSD
(Unstructured Supplementary Services Data), Internet usw. sein.
-
In
der dritten Tabelle TA3 ist mindestens eine Dienste-ID SID mindestens
einer Diensteanbieter-ID PRID, d.h. einer ID PRID eines Diensteservers
SE, zugewiesen, der einen durch die ID SID bestimmten Dienst bereitstellt.
Ein Dienst kann einem oder mehreren Anbietern zugeordnet sein, und
umgekehrt kann ein Diensteanbieter einem oder mehreren Diensten
zugeordnet sein. Zum Zwecke der Vereinfachung kann das Wort „Diensteanbieter" auch mindestens
einen vom Diensteanbieter betriebenen Dienst und sogar mindestens
einen vom Diensteanbieter betriebenen Diensteserver bezeichnen.
-
In
der vierten Tabelle TA4 sind jeder Anbieter-ID PRID keine oder mindestens
eine Authentifizierungsre gel RE und mindestens ein Authentifizierungssicherheitsniveau
NAU, das vom durch die Anbieter-ID bestimmten Anbieter genehmigt
ist, oder mindestens eine Authentifizierungs-ID AUID zugewiesen.
Die Authentifizierungsregeln legen beispielsweise eine zu ergreifende
Maßnahme
fest, wenn mehrere Authentifizierungssicherheitsniveaus durch einem
Anbieter genehmigt sind und/oder wenn der mittels ID bestimmte Typ
von Endgerät
T und der mittels ID bestimmte Typ von Kommunikationsnetz RC mehrere
Authentifizierungen mit einem genehmigten Authentifizierungssicherheitsniveau
unterstützen.
-
In
der fünften
Tabelle TA5 ist jedem Authentifizierungs-sicherheitsniveau NAU mindestens
eine Authentifizierungs-ID AUID zugeordnet.
-
Die
sechste Tabelle TA6 enthält
Nutzer-IDs USID, wobei jeder der entsprechenden Nutzer Zugang zu
mindestens einer Kombination aus Anbieter-ID und Dienste-ID (PRID, SID), für die ein
Zugangsverbot besteht, hat und verknüpft gegebenenfalls die ID USID
eines Nutzers mit den jeweiligen IMP-Informationen, die über die
Gründe
für das
Zugangsverbot des Dienstes für
den jeweiligen Nutzer Auskunft geben können. Die IMP-Informationen geben
beispielsweise Auskunft über
einen Zahlungsverzug des Nutzers. Die Tabelle TA6 weist in Verbindung
mit der Tabelle TA3 jeder Nutzer-ID USID mindestens eine Kombination
aus Anbieter-ID PRID und Dienste-ID SID zu.
-
Das
Authentifizierungsmodul MA umfasst einen Speicher vom Typ PROM,
der mehrere durch IDs bezeichnete Authentifizierungsvorgänge (-algorithmen)
PAID beinhaltet, sowie eine Nutzerdatenbank, die mindestens zwei
Speichertabellen TAA1 und TAA2 enthält. In der Tabelle TAA1 sind
der ID USID jedes Nutzers persönliche
Nutzerdaten, wie z.B. ein Name, ein Vorname, ein Passwort, ein Login
usw., zugeordnet, und in der Tabelle TAA2 ist der ID USID eines
Nutzers mindestens eine Kombination aus Anbieter-ID PRID und Dienste-ID
SID zugeordnet.
-
Das
automatische Authentifizierungsauswahlsystem nach der Erfindung
umfasst vorzugsweise mehrere Diensteserver SE1 bis
SEI gemäß 1. Ein Diensteserver ist vom klassischen
HTTP-Typ und verfügt über mindestens
eine Anwendung, die mehreren Nutzern mindestens einen Dienst über die
Endgeräte
T bereitstellt. Mindestens ein Diensteserver SE ist einem Diensteanbieter,
der den Nutzern mindestens einen Dienst anbietet, zugeordnet. Die
Art der Dienste ist für
die Erfindung unerheblich. Mögliche
Dienste sind beispielsweise die Abfrage eines Bankkontos oder die
Bereitstellung von Börsennachrichten.
Auf jedem Diensteserver SE ist ein Programmiertool, wie z.B. eine
Anwendungsprogrammierschnittstelle API (Application Programming
Interface), installiert. Dieses API-Tool übernimmt den Austausch von
formatierten Daten zwischen einer der Diensteanwendungen, die auf
einem der Diensteserver SE implementiert sind, und dem Authentifizierungsserver
SA.
-
Nach
der ersten Ausführung
gemäß 2 umfasst ein Authentifizierungsauswahlverfahren hauptsächlich die
Schritte E1 bis E13. In Schritt E1 fordert ein Nutzerendgerät T eine
Verbindung zu einem der Diensteserver SE an, indem es eine Dienstezugangsanfrage
an ihn sendet.
-
Als
Antwort auf die zwischen dem Nutzerendgerät und dem Diensteserver SE
hergestellte Verbindung stellt das auf dem Diensteserver installierte
API-Programmiertool
in Schritt E2 eine Verbindung zum Authentifizierungsserver her zur Übermittlung – an das
Authentifizierungsauswahlmodul MSA – der Anbieter-ID PRID, des
Typs des Endgerätes
T und des Typs des Kommunikationsnetzes RC sowie der Dienste-IDs,
sofern der Anbieter, der den Server SE betreibt, mehrere Dienste
anbietet. Der Diensteserver SE leitet die zum Nutzerendgerät T bestehende
Verbindung zum Authentifizierungsserver um, indem er dem Endgerät T die
URL-Adresse (URL = Uniform Ressource Locator) des Servers SE übermittelt.
Das Nutzerendgerät
T wird daraufhin zum Authentifizierungsserver SA umgeleitet.
-
Das
Authentifizierungsauswahlmodul MSA wählt aus einem Speicher (TA1
bis TA6) eine Authentifizierungs-ID AUID unter anderem in Abhängigkeit von
der Anbieter-ID PRID, vom Typ des Endgerätes T und vom Typ des Kommunikationsnetzes
RC, wie übermittelt,
aus, damit das Authentifizierungsmodul MA anschließend einen
Authentifizierungs-vorgang startet, der der am Nutzerendgerät T ausgewählten Authentifizierungs-ID
zugeordnet ist.
-
In
Schritt E3 wählt
das Authentifizierungsauswahlmodul MSA im Authentifizierungsmodul
SA aus der Tabelle TA4 mindestens ein Authentifizierungssicherheitsniveau
NAU entsprechend der übermittelten
Anbieter-ID PRID aus. Das Authentifizierungssicherheitsniveau trägt ebenfalls
zur Auswahl der Authentifizierungs-ID AUID bei. In einer Variante ermöglichen
es die Authentifizierungsregeln RE, die der Anbieter-ID PRID in
der Tabelle TA4 zugeordnet sind, für den Fall, dass in Schritt
3 mehrere Authentifizierungssicherheitsniveaus ermittelt werden,
ein einziges Authentifizierungsniveau NAU auszuwählen, und sie sind somit an
der Auswahl der Authentifizierungs-ID AUID beteiligt-Beispielsweise kann
eine Authentifizierungsregel wie folgt lauten: „Stets das höchste Authentifizierungssicherheitsniveau
auswählen".
-
Danach
wählt das
Auswahlmodul MSA in Schritt E4 aus der Tabelle TA5 mindestens eine
Authentifizierungs-ID AUID1 aus, die dem oder den in Schritt E3
ausgewählten
Authentifizierungssicherheitsniveaus entspricht.
-
In
Schritt E5 wählt
das Auswahlmodul MSA aus der Tabelle TA2 mindestens eine Authentifizierung-ID
AUID2 entsprechend dem Typ des Endgerätes und dem Typ des Kommunikationsnetzes,
wie vom Server SE übermittelt,
aus. Als Variante findet Schritt E5 vor oder nach Schritt E3 statt.
-
In
Schritt E6 ermittelt das Auswahlmodul MSA Authentifizierungs-IDs
AUID3, die den in Schritt E4 und E5 ausgewählten Authentifizierungs-IDs
gemeinsam sind. Wenn es keinerlei gemeinsame Authentifizierungs-ID
gibt, so wird in einem Schritt E71 eine Zurückweisungsnachricht, die besagt,
dass der Zugang zum vom Nutzer angeforderten Dienst verweigert wird,
vom Authentifizierungsserver SA an das Nutzerendgerät T geschickt.
Bei mehreren gemeinsamen Authentifizierungs-IDs AUID3 ermöglichen
es die der Anbieter-ID PRID zugeordneten Authentifi-zierungsregeln
RE in einem Schritt E72, eine einzige Authentifizierungs-ID AUID
auszuwählen.
-
Nachdem
das Authentifizierungsauswahlmodul die Authentifi-zierungs-ID AUID
ausgewählt
hat, wählt
das Authentifizierungs-modul MA im Authentifizierungsserver SA in
Schritt E8 aus der Tabelle TA1 eine Authentifizierungsvorgangs-ID
PAID entsprechend dem Authentifizierungs-ID AUID aus. Das Authentifizierungsmodul
MA startet in Schritt E9 den Authentifizierungsvorgang, der durch
die ausgewählte Authentifizierungsvorgangs-ID
bestimmt wurde. Der Authentifizierungsvorgang ist durch Schritte
definiert, die die zugehörige
Authentifizierung bilden. Die ausgewählte Authentifizierung ist
beispielsweise eine klassische Authentifizierung mittels Login und
Passwort, und einer der Schritte des Authentifizierungsvorgangs
ist dann die Übersendung
einer Aufforderung – vom
Authentifizierungsserver SA an das Nutzerendgerät T – zur Eingabe des Login und
des Passwortes.
-
Wenn
der Nutzer in Schritt E10 nicht authentifiziert wird, so sendet
das Authentifizierungsmodul MA des Authentifizierungsservers SA
in einem Schritt E012 eine Zurückweisungsnachricht
an das Endgerät.
-
Ein
authentifizierter Nutzer ist somit ein Nutzer, dessen ID USID in
der Speichertabelle TAA1 des Authentifizierungsmoduls MA enthalten
ist.
-
Wenn
der Nutzer authentifiziert ist, so überprüft das Authentifi-zierungsmodul
MA in einem Schritt E11 in der Tabelle TAA2, ob der Nutzer die Kombination
Diensteanbieter/Dienst abonniert hat, d.h. ob die Nutzer-ID USID
der Kombination aus ausgewählter
Anbieter-ID und
ausgewählter
Dienste-ID (PRID, SID) in der Tabelle TAA2 zugeordnet ist. Wenn
der Nutzer die Kombination Anbieter/Dienst nicht abonniert hat,
so sendet das Authentifizierungsmodul MA in Schritt E012 eine Zurückweisungsnachricht
an das Endgerät.
-
Wenn
der Nutzer authentifiziert ist und die Kombination Anbieter/Dienst
abonniert hat, so überprüft das Authentifizierungsmodul
MA in Schritt E12 in der Tabelle TA6, ob für den Nutzer ein Zugangsverbot
für die
Kombination aus Anbieter-ID und Dienste-ID (PRID, SID) besteht.
Wenn für
den Nutzer ein Zugangsverbot besteht, so sendet das Authentifizierungsmodul
MA in Schritt E012 eine Zurückweisungsnachricht
an das Endgerät.
-
Wenn
für den
Nutzer kein Zugangsverbot besteht, und nach dementsprechend erfolgreicher
Authentifizierung des Nutzers gibt das Authentifizierungsmodul MA
im Authentifizierungsserver SA die Anweisung zur Umleitung der zum
Endgerät
T bestehenden Verbindung zum Diensteserver SE. Das Modul MA im Server
SA gibt in Schritt E13 ebenfalls die Anweisung zur Übermittlung – an den
Diensteserver SE, genauer gesagt an dessen APU-Programmiertool – des Endgerätetyps,
des Kommunikationsnetztyps, der Dienste-ID SID, des ausgewählten oder durch
die Authentifizierungs-ID AUID bestimmten Authentifizierungssicherheitsniveaus
und eventuell der Nutzer-ID USID und/oder eines Abrechnungsscheins
und/oder eines Nutzerauthentifizierungs-ergebnisses, das in diesem
Falle positiv ist. Die Übermittlung
der Dienste-ID SID ist nützlich,
sofern der Diensteserver mehrere Dienste bereitstellt.
-
In
der Praxis speichert das Authentifizierungsmodul MA das Ergebnis
der Nutzerauthentifizierung, um im Falle einer Streitigkeit zwischen
dem Nutzer des Endgerätes
T und dem Anbieter, der den Diensteserver SE betreibt, über einen
Beleg für
die Authentifizierung zu verfügen.
-
Als
Variante geht mindestens einer der Schritte E11 und E12 den Authentifizierungsschritten E8,
E9 und E10 voraus.
-
In
einer Hauptvariante der ersten Ausführung wählt das Authentifizierungsauswahlmodul MSA
im Authentifizierungsserver SA in Schritt E3 aus der Tabelle TA4
alle Authentifizierungs-IDs AUID aus, die der vom Diensteserver
SE übermittelten
Anbieter-ID PRID zugeordnet sind, statt ein Authentifizierungssicherheitsniveau
NAU auszuwählen.
Bei dieser Variante entfällt
der Schritt E4. In Schritt E5 wählt das
Auswahlmodul MSA aus der Tabelle TA2 mindestens eine Authentifizierung-ID
AUID2 entsprechend dem Typ des Endgerätes und dem Typ des Kommunikationsnetzes
RC aus, die vom Server SE übermittelt
wurden. In Schritt E6 ermittelt das Auswahlmodul Authentifizierungs-IDs,
die denen gemeinsam sind, die aus den Auswahlvorgängen in Schritt
E4 und E5 hervorgegangen sind. Wenn das Auswahlmodul keinerlei gemeinsame
Authentifizierungs-ID ermittelt, so wird in Schritt 71 eine Zurückweisungsnachricht
vom Authentifi-zierungsserver SA an das Nutzerendgerät T geschickt.
Bei mehreren gemeinsamen Authentifizierungs-IDs ermöglichen
es die der Anbieter- ID
PRID zugeordneten Authentifizierungsregeln RE in Schritt E72, eine
einzige Authentifizierungs-ID auszuwählen. Die sich anschließenden Schritte
sind mit denen der ersten Ausführung
identisch.
-
Im
API-Programmiertool API kann vom Anbieter ein Parameter eingegeben
werden, um zwischen einem Betriebsmodus nach Authentifizierungssicherheitsniveau
entsprechend der ersten Ausführung
und einem Betriebsmodus entsprechend der vorstehend genannten Variante
zu wählen.
Dieser Parameter wird in Schritt E2 vom API-Tool an den Authentifizierungsserver
SA übermittelt.
Dieser Parameter kann vorab der Anbieter-ID PRID in der Tabelle TA4
zugeordnet werden.
-
Bei
einer zweiten Ausführung
umfasst das Authentifizierungs-verfahren hauptsächlich die Schritte F1 bis
F16 gemäß 3. Das Endgerät fordert in Schritt F1 eine
direkte Verbindung zum Authentifizierungsauswahlmodul MSA im Authentifizierungsserver
SA an.
-
Als
Antwort auf die zwischen dem Nutzerendgerät T und dem Auswahlmodul MSA
hergestellte Verbindung übermittelt
der Authen-tifizierungsserver SA oder genauer gesagt das Authen-tifizierungsauswahlmodul
MSA in Schritt F2 eine Liste von unterschiedlichen in der Tabelle
TA3 enthaltenen Diensten {SID} an das Endgerät T. Die Liste der Dienste
{SID} beinhaltet mindestens die IDs SID der Dienste und – als Variante – weitere
Charakteristiken, wie z.B. einen Namen oder eine Beschreibung für jeden
Dienst. Der Nutzer des Endgerätes
T wählt
einen Dienst aus der Liste der Dienste {SID} aus. Das Endgerät T übermittelt
die Dienste-ID des vom Nutzer in Schritt F3 aus der Liste ausgewählten Dienstes
an das Auswahlmodul MSA. Das Authentifizierungsauswahlmodul wählt die
Authentifizierungs-ID AUID ebenfalls in Abhängigkeit von der ausgewählten Dienste-ID SID aus.
-
In
Schritt F4 wählt
der Authentifizierungsserver SA aus der Liste TA3 alle Anbieter-IDs,
die der ausgewählten
Dienste-ID SID entsprechen, in Form einer Liste von Anbieter-IDs
{PRID} aus.
-
Wenn
die Anbieter-ID-Liste mehrere Anbieter-IDs PRID für die ausgewählte Dienste-ID
enthält, so übermittelt
der Authentifizierungs-server SA in einem Schritt F51 die Liste
{PRID} der IDs der Anbieter, die den durch die Dienste-ID SID bestimmten
Dienst bereitstellen können,
an das Nutzerendgerät
T. Die Liste der Anbieter-IDs {PRID} beinhaltet mindestens die IDs
der Anbieter und – als
Variante – weitere
Charakteristiken, wie z.B. einen Namen oder eine Beschreibung für jeden
Anbieter. Der Nutzer des Endgerätes
wählt einen
Anbieter aus, und das Endgerät übermittelt
dann in einem Schritt F52 die ID PRID des vom Nutzer ausgewählten Anbieters
an den Authentifizierungsserver SR.
-
Wenn
keinerlei Anbieter-ID der Dienste-ID SID entspricht, so wird in
einem Schritt F53 eine Fehlermeldung vom Authentifizierungsserver
SA an das Endgerät
T geschickt, um dem Nutzer mitzuteilen, dass noch kein Anbieter
diesen Dienst bereitstellt.
-
In
einer Variante übermittelt
der Authentifizierungsserver SA in Schritt F2 direkt eine Liste
aller in der Tabelle TA4 enthaltenen Anbieter-IDs – anstelle der
Liste der Dienste-IDs – an
das Endgerät
T. Der Nutzer wählt
direkt einen Anbieter aus, und die ausgewählte Anbieter-ID PRID wird
dann in Schritt F3 anstelle der ausgewählten Dienste-ID vom Endgerät T an das
Authentifizierungsauswahlmodul MSA des Authentifizierungsservers
SA übermittelt.
Das Authentifizierungsauswahlmodul MSA wählt die Authentifizierungs-ID
AUID insbesondere in Abhängigkeit
von der ausgewählten
Anbieter-ID PRID aus.
-
Wenn
mehrere Dienste-IDs auf die vorher gewählte Anbieter-ID entfallen,
so sendet der Authentifizierungsserver in Schritt F2 jede Anbieter-ID und
die zugehörige
Liste der Dienste-IDs an das Endgerät. Der Nutzer des Endgerätes wählt den
Anbieter und einen von ihm bereitgestellten Dienst aus; danach übermittelt
das Endgerät
T in Schritt F3 die ID PRID des Anbieters und die ID SID des Dienstes,
wie vom Nutzer des Endgerätes
ausgewählt,
an den Authentifizierungsserver SA. Bei dieser Variante entfallen
die Schritte F4, F51, F52 und F53.
-
Der
Authentifizierungsserver SA hat damit die Kombination aus Anbieter-ID
und Dienste-ID (SID, PRID) entsprechend den Wünschen des Nutzers im Speicher.
-
Die
sich anschließenden
Schritte F6 bis F15 entsprechen jeweils den Schritten E3 bis E12
der ersten Ausführung
des Auswahlverfahrens gemäß 2.
-
Da
dem Schritt F8 der Schritt E5 entspricht, ermittelt der Authentifizierungsserver
SA den Typ des Endgerätes
und den Typ des für
die Kommunikation zwischen Endgerät T und Authentifizierungsserver SA
verwendeten Kommunikationsnetzes RC. Danach wählt der Authentifizierungsserver
SA mindestens eine Authentifizierungs-ID AULD2 in Abhängigkeit
vom Typ des Endgerätes
T und vom Typ des Kommunikationsnetzes RC aus, wie dies für den Schritt
E5 beschrieben worden ist.
-
Wenn
der Nutzer authentifiziert ist, die Kombination Anbieter/Dienst
abonniert hat und autorisiert ist, auf die Kombination Anbieter/Dienst
zuzugreifen, so leitet der Authentifizierungsserver SA die zum Endgerät T bestehende
Verbindung zum Diensteserver SE um und übermittelt in Schritt F16 an
den Diensteserver SE und genauer gesagt an dessen API-Tool den Typ
des Endgerätes,
den Typ des Kommunikationsnetzes des Nutzers, die Dienste-ID SID, das
ausgewählte
Authentifizierungssicherheitsniveau und gegebenenfalls die Nutzer-ID USID und/oder
einen Abrechnungsschein und/oder das Authentifi-zierungsergebis,
das ja positiv ist.
-
Wenn
das Ergebnis der Authentifizierung des Nutzers positiv ist und übermittelt
wurde oder – einfacher – wenn der
Typ des Endgerätes,
der Typ des Kommunikationsnetzes und das Authentifizierungssicherheitsniveau übermittelt
wurden, so autorisiert der Diensteserver SE den Zugriff über das
Nutzerendgerät
auf den vom Nutzer gewünschten
und durch die Dienste-ID SID bestimmten Dienst. In allen anderen
Fällen
wird dem Nutzer der Zugriff verweigert, wie für Schritt 012 angegeben.
-
Der
Typ des Endgerätes
T und der Typ des Kommunikationsnetzes RC werden übermittelt,
damit der Diensteserver SE die Verbindung dem Endgerät anpasst.
Wenn das Endgerät
beispielsweise ein zellulares Mobilfunkendgerät und das Protokoll für den Informationsaustausch über das
Internet ein WAP-Protokoll ist, so kommuniziert der Dienstesserver
SE mit dem Endgerät über die
WML-Sprache (WML = Wireless Markup Language).
-
Bei
einer Variante der zweiten Ausführung wählt der
Nutzer des Endgerätes – nach Schritt
F1 und vor Schritt F2 – selbst
ein Authentifizierungssicherneitsniveau NAU unter mehreren vorher
bekannten aus. Als Antwort auf die ausgewählte ID NAU, die das Endgerät an den
Authentifizierungsserver SA übermittelt
hat, übermittelt
dieser in Schritt 2 Dienste-IDs SID entsprechend dem vom Nutzer
ausgewählten
Authentifizierungsniveau. Der Nutzer wählt den Dienst aus, wonach
das Endgerät
in Schritt F3 die Dienste-ID SID an den Authentifizierungsserver SA übermittelt.
In den anschließenden
Schritten F4 bis F16 entfällt
der Schritt F6, der die Entsprechung von Schritt E3 wäre.
-
Als
Variante kann der Authentifizierungsserver SA, wenn er bei der ersten
und zweiten Ausführung
die Nutzer-ID USID übermittelt,
auch andere Parameter des Nutzers, wie z.B. den Namen, den Vornamen
usw., übermitteln.
-
Die
Hauptvariante der ersten Ausführung kann
im Kontext der zweiten Ausführung
angewandt werden.
-
Die
hier beschriebene Erfindung betrifft ein Verfahren und einen Authentifizierungsauswahlserver.
Nach einer bevorzugten Realisierung des Verfahrens werden dessen
Schritte von den Anweisungen eines Authentifizierungsauswahlprogramms
bestimmt, das in einen Authentifizierungsserver SA integriert ist,
und das Verfahren nach der Erfindung kommt zur Anwendung, wenn dieses
Programm auf einen Computer geladen wird, deren Funktionsweise dann
durch die Ausführung
des Programms gesteuert wird.
-
Folglich
gilt die Erfindung auch für
ein Computerprogramm, insbesondere ein zur Umsetzung der Erfindung
geeignetes Computerprogramm auf oder in einem Informationsträger. Dieses
Programm kann in einer beliebigen Programmiersprache erstellt sein
und in Form eines ausführbaren
Codes oder jeder beliebigen zur Umsetzung eines erfindungsgemäßen Verfahrens
wünschenswerten
Form vorliegen.
-
Der
Informationsträger
kann eine beliebige zur Speicherung des Programms geeignete Einheit oder
Vorrichtung sein. Der Informationsträger kann beispielsweise eine
Speichervorrichtung, wie einen ROM, z.B. einen CD ROM oder einen
ROM mit mikroelektronischer Schaltung, oder auch eine Vorrichtung
zur elektronischen Aufzeichnung, z.B. eine Diskette (Floppy Disc)
oder eine Festplatte, umfassen. Andererseits kann der Informationsträger übertragbar
sein, wie z.B. ein elektrisches oder optisches Signal, das über ein
elektrisches oder optisches Kabel, per Funk oder in anderer Weise
befördert
werden kann. Das Programm nach der Erfindung kann insbesondere auf
ein Netz des Typs Internet hochgeladen werden.
-
Alternativ
kann der Informationsträger
ein integrierter Schaltkreis sein, in den das Programm integriert
ist und der zur Ausführung
des erfindungsgemäßen Verfahrens
oder zur Verwendung bei dessen Ausführung geeignet ist.