-
Gebiet der Erfindung
-
Die
vorliegende Erfindung betrifft das Gebiet der Authentifizierung
gegenüber
Netzen, insbesondere ohne Beschränkung
auf Netze, die auf dem Internet-Protokoll (IP) basieren.
-
Hintergrund und Stand der
Technik
-
Die
Arbeitsumgebung für
Firmen, bei denen große
Datenmengen anfallen, wird heutzutage von Computern, insbesondere
von vernetzten Computern beherrscht. Diese Firmennetze bieten eine
effiziente Kommunikationsplattform für die Mitarbeiter einer Firma
oder anderer Institutionen, wie z.B. Universitäten. Sie ermöglichen
es auf effektive Weise, IT-Dienste für eine definierte Gruppe von
Personen, wie z.B. Angestellte einer Firma, bereitzustellen. Firmennetze
bieten außerdem
eine Basis für
die Einrichtung eines Intranets, welches firmenspezifische Daten
nur an die Computer liefert, die mit dem Firmennetz physikalisch
verbunden sind. Damit verhindert ein Firmennetz auf wirksame Weise
einen externen Zugriff auf vertrauliche firmenspezifische Daten
oder firmenspezifische IT-Dienste, wie z.B. firmenspezifische Software.
Folglich kann ein Angestellter einer Firma auf firmenspezifische
Daten und IT-Dienste nur dann zugreifen, wenn er einen Computer benutzt, der
in das Firmennetz physikalisch integriert ist.
-
Aufgrund
der großen
Ausdehnung des Internets sind Daten und IT-Dienste im Prinzip weltweit
zugänglich.
Darüber
hinaus ist es aufgrund der zunehmenden Mobilität von Mitarbeitern sehr wünschenswert,
Zugriff auf Firmennetze auch von solchen Computern aus zu ermöglichen,
die sich an entfernten Orten befinden und ein Firmennetz über das
Internet kontaktieren können.
Auf diese Weise könnte
ein Angestellter auf das Firmennetz oder Intranet von zu Hause aus
oder während
einer Geschäftsreise
von einem Hotel aus zugreifen. Weltweiter Zugriff auf Firmennetze über das
Internet ist im Prinzip realisierbar. Allerdings ist internetbasierte Kommunikation
ziemlich unsicher und erfüllt
insbesondere die strengen Sicherheitsanforderungen eines Firmennetzes
nicht.
-
Hier
bietet das Konzept eines virtuellen privaten Netzes (virtual private
network – VPN)
eine allgemeine Lösung.
Ein VPN ist ein privates Kommunikationsnetz, das typischerweise
innerhalb einer Firma oder von mehreren verschiedenen Firmen oder
Organisationen verwendet wird, die über ein öffentliches Netz kommunizieren.
VPN-Nachrichtenverkehr
wird typischerweise über
eine öffentliche
Netzwerk-Infrastruktur, z.B. das Internet, unter Verwendung von
genormten und somit möglicherweise
nicht sicheren Kommunikationsprotokollen, wie z.B. IPv4, übertragen.
Virtuelle private Netze verwenden kryptografische Tunnelling-Protokolle,
um die erforderliche Vertraulichkeit, Absender-Authentifizierung und
Nachrichtenintegrität
zu gewährleisten,
sodass die beabsichtigte Geheimhaltung erreicht wird. Werden solche
Techniken richtig ausgewählt,
implementiert und angewendet, dann können sie in der Tat eine sichere
Kommunikation über
nicht sichere Netze ermöglichen.
-
Heutzutage
gibt es eine Vielzahl von Implementierungssystemen zum Einrichten
von VPNs. Es gibt eine Vielzahl von unterschiedlichen VPN-Protokollen,
z.B. IP Security (IPSEC) – ein
zwingend vorgeschriebener Teil von IPv6-, das Point-to-Point Tunnelling
Protocol (PPTP), Layer 2 Forwarding (L2F) und das Layer 2 Tunnelling
Protocol (L2TP).
-
Für fast jedes
VPN wird eine sichere Authentifizierung gefordert. Will zum Beispiel
ein Angestellter einer Firma entweder von zu Hause oder während einer
Geschäftsreise
auf das Firmennetz zugreifen, dann kann er typischerweise einen
tragbaren Computer und eine dedizierte Authentifizierungseinrichtung,
z.B. ein Token, verwenden. Der mobile Computer ist typischerweise
mit einer dedizierten Authentifizierungssoftware, wie z.B. einem
VPN-Client, versehen. Um den mobilen Computer gegenüber einem
Gateway des Firmennetzes zu authentifizieren, muss der Benutzer
ein einmaliges Passwort in den mobilen Computer eingeben. Ein solches
einmaliges oder vorübergehendes
Passwort wird von dem Token erzeugt, das als Hardware realisiert ist
und vom Benutzer mitgeführt
wird. Bei Übergabe
des Tokens an den Angestellten wird dieses typischerweise mit dem
VPN-Gateway des Firmennetzes synchronisiert, um dem Angestellten
das einmalige Passwort zur Verfügung
zu stellen.
-
Dieses
vorübergehende
und/oder einmalige Passwort kann nach Ablauf einer vorgegebenen
Zeitspanne einer Modifizierung unterliegen. Zum Beispiel ändert sich
das von dem Token erzeugte Passwort einmal pro Minute und wird über eine
kryptografische Funktion bestimmt. Typischerweise wird das einmalige Passwort
auf dem Token grafisch angezeigt. Der Angestellte kann dann das
einmalige Passwort mit seinem Benutzernamen eingeben, um sich gegenüber dem
Firmennetz zu authentifizieren. Da die Kombination von Benutzername
und einmaliges Passwort maximal eine Minute lang gültig ist,
bietet das Authentifizierungssystem mit dem einmaligen Passwort
einen hohen Grad an Sicherheit.
-
Token,
die als Hardwareeinrichtungen für
eine sichere Authentifizierung gegenüber Firmennetzen realisiert
sind, sind zum Beispiel als RSA SecureID, die von SecurIntegration
GmbH, 51107 Köln,
Deutschland, vertrieben werden, s.a. www.securintegration.de, im
Handel erhältlich.
-
Das
vorstehend beschriebene Authentifizierungssystem, bei dem einmalige
vorübergehende,
auf Hardware-Token basierende Passwörter verwendet werden, bietet
zwar einen hohen Grad an Sicherheit für den Aufbau von IP-basierten
VPN-Verbindungen, doch es ist für
den Angestellten oder Benutzer recht unvorteilhaft, ein solches
mittels Hardware realisiertes Token mitzuführen. Insbesondere wenn ein
Angestellter oder eine Privatperson Fernzugriff auf eine Vielzahl
von verschiedenen Firmennetzen benötigt, ist für jedes dieser Netze ein dediziertes
Hardware-Token erforderlich. Auch wenn z.B. eine Vielzahl von Angestellten
denselben mobilen Computer für
Geschäftsreisezwecke
gemeinsam benutzt, kann das oben beschriebene Zugriffssystem recht
unpraktisch sein, da für
jeden Benutzer des mobilen Computers eine manuelle Konfiguration
der in dem mobilen Computer installierten VPN-Client-Software erforderlich
ist.
-
Dieser
Nachteil wird noch deutlicher, wenn ein Benutzer mehrere mobile
Recheneinrichtungen benutzt, wie z.B. einen Laptop-Computer und
einen Personal Digital Assistant (PDA), die jeweils einen VPN-Client
für einen
individuellen Zugriff auf das Firmennetz aufweisen. Dann kann für jede mobile
Recheneinrichtung ein einrichtungsspezifisches Hardware-Token erforderlich
sein. Wenn eine Aktualisierung der VPN-Client-Software zur Verfügung steht,
muss die entsprechende Aktualisierungsprozedur für jede der Recheneinrichtungen durchgeführt werden,
die eine VPN-Client-Software aufweisen. Eine solche Aktualisierungsprozedur
für eine Vielzahl
von mobilen Recheneinrichtungen ist typischerweise recht umständlich und
zeitintensiv.
-
Generell
beschränken
diese Aspekte sicherlich die vielfältige und universelle Verwendbarkeit
des oben beschriebenen VPN-basierten sicheren Authentifizierungssystems.
-
Die
Druckschrift US 2004/078571 A1 beschreibt ein Verfahren und ein
System zur Authentifizierung bei einer Datenübertragung. Das System umfasst
einen Client, der als Mobilgerät
ausgelegt sein kann und eine Computereinheit enthält. Der
Client sendet an einen mit dem Internet verbundenen Dienstserver
eine Anforderung gemäß einem
Benutzerbefehl. Im Zusammenhang mit einer ersten Authentifizierung
wird eine weitere Anforderung an einen so genannten Ticket-granting
Server TGS gesandt, der ebenfalls mit dem Internet verbunden ist
und der den Client mittels eines Authentifizierungs-Datenelements
erkennt und so eine Zugriffsberechtigung mit begrenzter Lebensdauer
erzeugt. Der Client benutzt dann diese Zugriffsberechtigung, um
auf den gewünschten
Dienst zuzugreifen.
-
Aus
der Druckschrift US 2003/061512 A1 ist ein Verfahren und ein System
zur Authentifizierung eines Benutzers während eines Zugriffs auf den
Computer eines internetbasierten Dienstanbieters bekannt. Eine Anzahl
von Clients, z.B. Mobilgeräte
und/oder stationäre
Computer, kann mit einem Netz verbunden werden. Ein Benutzer, der
mittels seiner Teilnehmereinrichtung, d.h. eines bestimmten Clients,
einen Dienst anfordert, wird zunächst
aufgefordert, Identifizierungsdaten anzugeben, die zur Erzeugung
eines Token verwendet werden. Das Token wird zusammen mit einer
modifizierten Dienstanforderung zum Benutzer zurückgesandt. Der Benutzer-Client
leitet die modifizierte Anforderung und das Token automatisch an
einen jeweiligen Dienstanbieter weiter, der für eine üblicherweise begrenzte Zeit
einen Zugriff des Benutzers erlaubt.
-
Die
Druckschrift
US 6,421,768
B1 beschreibt ein Verfahren zum Verbinden des Computers
eines Benutzers über
einen ersten Computer mit einem zweiten Computer, ohne dass eine
Authentifizierung durch den zweiten Computer erforderlich ist, wenn
der Benutzer bereits durch den ersten Computer authentifiziert wurde. Dazu überträgt der Benutzer
eine Anforderung und zugehörige
Authentifizierungsinformationen von seinem Computer zu dem ersten
Computer, der ein Cookie zurücksendet,
welches einen digitalen Beleg mit begrenzter Lebensdauer enthält. Anschließend überträgt der Computer
des Benutzers mindestens den Beleg zum zweiten Computer und erlangt
so Zugriff auf den zweiten Computer, der an das Internet angeschlossen
sein kann.
-
Diese
Lösungsansätze des
Standes der Technik haben insbesondere den gemeinsamen Nachteil, dass
die Flexibilität
des Benutzerzugriffs auf das Netz begrenzt ist, da ein Zugriff nur
mittels der Recheneinrichtung erlangt werden kann, die mit dem Netz
zu verbinden ist.
-
Die
vorliegende Erfindung will deshalb ein sicheres Authentifizierungssystem
angeben und realisieren, bei dem es nicht erforderlich ist, ein
netzspezifisches Hardware-Teil,
wie z.B. ein Token, mitzuführen.
Weiterhin ist es Aufgabe der vorliegenden Erfindung, die Nachteile
des oben erwähnten
Standes der Technik zu vermeiden und somit ein Verfahren der oben
erwähnten
Art anzugeben, das einen höchst
flexiblen Zugriff einer Vielzahl von Benutzern auf eine Vielzahl
von Netzen erlaubt, z.B. dadurch, dass es einen gegenseitigen Austausch jeder
Recheneinrichtung zwischen einer Vielzahl von Benutzern oder Angestellten
einer Firma ermöglicht.
-
Zusammenfassung der Erfindung
-
Die
vorliegende Erfindung gibt ein Verfahren zum Authentifizieren eines
Benutzers gegenüber
einem Netz an. Der Benutzer bedient sich mindestens einer Recheneinrichtung.
Die IP-Verbindung zwischen dem Netz und der mindestens einen Recheneinrichtung
wird durch eine mobile Telekommunikationseinrichtung bereitgestellt.
Bei dem erfindungsgemäßen Verfahren
zur Authentifizierung des Benutzers gegenüber dem Netz wird ein vorübergehendes
Passwort von einem Dienstanbieter angefordert, indem eine Zugriffsanforderung zum
Dienstanbieter übertragen
wird. Diese Zugriffsanforderung wird mittels der mobilen Telekommunikationseinrichtung übertragen.
Nachdem die Zugriffsanforderung beim Dienstanbieter eingegangen
ist, wird sie anhand einer Benutzerauthentifizierungs-Datenbank überprüft. Ist
der Benutzer berechtigt, auf das Netz zuzugreifen, dann wird die
entsprechende Zugriffsanforderung durch den Dienstanbieter bestätigt ("asserted") und daraufhin das
vorübergehende
Passwort erzeugt.
-
Im
Gegensatz zu der Lösung
nach dem Stand der Technik, wo der Benutzer des Firmennetzes ein netzspezifisches Hardware-Token
mitführen
muss, sieht die Erfindung eine Übermittlung
des einmaligen Passworts an den Benutzer unter Verwendung einer
mobilen Telekommunikationseinrichtung, wie z.B. eines Mobiltelefons,
vor. Der Benutzer, der sich gegenüber einem Netz authentifizieren
will, überträgt mittels
seines Mobiltelefons eine dedizierte Zugriffsanforderung an einen
Dienstanbieter. Der Dienstanbieter stellt dann die Funktionalität des vorherigen
Hardware-Tokens bereit und erzeugt das netzspezifische einmalige
Passwort für den
Benutzer. Typischerweise erfolgt die Erzeugung des netzspezifischen
einmaligen Passworts durch den Dienstanbieter nur in Abhängigkeit
von einer Bestätigung
der Identität
des Benutzers und der Zugriffsberechtigung des Benutzers auf das
Netz.
-
Das
erfindungsgemäße Verfahren
kann in vorhandenen Mobilkommunikationsnetzen durch Erweiterung
der Leistungsfähigkeiten
eines Telekommunikationsanbieters realisiert werden. Deshalb muss
der Telekommunikationsanbieter eine Benutzerauthentifizierungs-Datenbank
verwalten, die Informationen darüber
bereitstellt, ob ein bestimmter Benutzer berechtigt ist, auf ein
einzelnes Netz zuzugreifen. Darüber
hinaus kann die Benutzerauthentifizierungs-Datenbank verschiedene
Authentifizierungsstufen und verschiedene Stufen von Zugriffsrechten
eines Benutzers eines Netzes angeben.
-
Die Überprüfung der
Zugriffsanforderung und die Erzeugung des vorübergehenden Passworts müssen nicht notwendigerweise
durch den Telekommunikationsanbieter erfolgen. Auch kann der erfindungsgemäße Authentifizierungsdienst
durch jeden anderen Anbieter bereitgestellt werden. Es muss nur
sichergestellt sein, dass der angeforderte Dienst, d.h. die Bereitstellung
eines vorübergehenden
Passworts für
den Benutzer, über
ein Mobiltelefon zugänglich
ist.
-
Auf
diese Weise wird ein Benutzer in die Lage versetzt, sich z.B. gegenüber einem
Firmennetz zu authentifizieren und eine VPN-Verbindung zu diesem
aufzubauen, ohne ein netzspezifisches Hardware-Token mitzuführen. Somit
ist die gesamte Funktionalität
eines Hardware-Tokens, wie es aus dem Stand der Technik bekannt
ist, in effektiver Weise durch Einrichtung eines entsprechenden
Dienstes mittels eines Dienstanbieters ersetzt, der über ein
Mobiltelefon des Benutzers zugänglich
ist. In vorteilhafter Weise muss der Benutzer keine zusätzliche
Hardware-Einrichtung mehr mitführen,
die nur dazu dient, ein vorübergehendes
Passwort für
eine Authentifizierung gegenüber
einem VPN-Netz bereitzustellen. Somit kann sich ein Benutzer durch
Verwendung seiner mobilen Telekommunikationseinrichtung auch gegenüber einer
Vielzahl von unterschiedlichen Netzen authentifizieren.
-
Darüber hinaus
ermöglicht
die mobile Telekommunikationseinrichtung auch einen physikalischen
Zugang zu dem Firmennetz. Somit ergibt sich eine doppelte Funktionalität der mobilen
Telekommunikationseinrichtung. Erstens ermöglicht sie eine Kommunikation
mit einem Dienstanbieter, um das benötigte Passwort zu erhalten – eine Funktionalität, die ein
Hardware-Token in effektiver Weise ersetzt. Zweitens stellt sie
einen physikalischen Zugang zu einem Netz sowie die IP-basierte
Verbindung zwischen der mobilen Recheneinrichtung und dem Netz bereit.
-
Wenn
der Benutzer die Zugriffsanforderung zum Dienstanbieter überträgt, gibt
er auch an, auf welches der Vielzahl von Netzen er zuzugreifen wünscht. Deshalb
enthält
die Zugriffsanforderung zumindest einen Hinweis auf eine Benutzerkennung
und ein Netz, auf das der Benutzer zugreifen will. Abhängig von
den durch die Zugriffsanforderungen gegebenen Parametern kann der
Dienstanbieter nun das entsprechende einmalige Passwort erzeugen.
Auf diese Wiese wird die Funktionalität einer Vielzahl von Hardware-Token
mit Hilfe des Dienstanbieters zusammengeführt ("merged").
-
Nach
einem bevorzugten Ausführungsbeispiel
der Erfindung umfasst das Verfahren weiterhin den Aufbau der IP-basierten Verbindung
zwischen der mindestens einen Recheneinrichtung und dem Netz mittels
der mobilen Telekommunikationseinrichtung. Die mobile Telekommunikationseinrichtung
ist weiterhin so ausgelegt, dass sie die IP-basierte Verbindung
abhängig
vom Empfang des vorübergehenden
Passworts vom Dienstanbieter aufbaut. Falls kein vorübergehendes
Passwort vom Dienstanbieter zur mobilen Telekommunikationseinrichtung übertragen
wird, wird der Zugriff auf das Netz sowie der Aufbau der IP-basierten
Verbindung zwischen dem Netz und der mindestens einen Recheneinrichtung
verweigert.
-
Die
mobile Telekommunikationseinrichtung ist deshalb außerdem so
ausgelegt, dass sie mit der mindestens einen Recheneinrichtung des
Benutzers mittels einer geeigneten Kommunikationsschnittstelle kommuniziert,
und zwar entweder über
eine steckbare Kabelverbindung oder mittels einer drahtlosen Datenübertragung,
die z.B. auf Hochfrequenz- oder Infrarot-Übertragungsprotokollen, wie
z.B. Bluetooth® oder
IrDA® (weitere
Einzelheiten unter www.bluetooth.org oder www.irda.org), basieren
kann. Weiterhin ist die mobile Telekommunikationseinrichtung so
ausgelegt, dass sie eine Nachrichtenverbindung zwischen dem Netz
und einer Vielzahl unterschiedlicher Recheneinrichtungen bereitstellt,
auch im Simultanbetrieb. So kann durch vollständige Realisierung des sicheren
Zugriffsmechanismus in der mobilen Telekommunikationseinrichtung
unabhängig
von der eigentlichen Recheneinrichtung ein sicherer Zugriff auf
das Netz gewährleistet
werden.
-
Nach
Erzeugung des vorübergehenden
Passworts durch den Dienstanbieter wird das Passwort vom Dienstanbieter
zur mobilen Telekommunikationseinrichtung übertragen. Die mobile Telekommunikationseinrichtung
kann wiederum so ausgelegt sein, dass sie die IP-Verbindung zum
Netz autonom aufbaut und den Benutzer gegenüber dem Netz authentifiziert.
Der Aufbau der IP-Verbindung sowie die Authentifizierung in Abhängigkeit
vom Empfangs des vorübergehenden
Passworts können
unter Mitwirkung des Benutzers erfolgen. Deshalb ist es möglich, dass
der Benutzer nach Empfang des vorübergehenden Passworts die Ausführung der Authentifizierungsprozedur
bestätigen
muss. Durch Integration von IP-Verbindungsaufbau und Authentifizierung
in eine einzige benutzerspezifische oder personalisierte Einrichtung
kann jedoch eine Authentifizierung gegenüber einem Firmennetz allein
mittels der personalisierten mobilen Telekommunikationseinrichtung
vollständig
automatisiert werden.
-
Nach
einem weiteren bevorzugten Ausführungsbeispiel
der Erfindung umfasst die Anforderung des vorübergehenden Passworts vom Dienstanbieter
weiterhin eine Authentifizierung des Benutzers gegenüber dem
Dienstanbieter. Ist der Dienstanbieter zum Beispiel ein Mobilkommunikationsanbieter,
dann muss der Benutzer für
einen Zugriff auf Dienste des Mobilkommunikationsanbieters eine
geeignete Karte, wie z.B. eine persönliche Berechtigungskarte (subscriber
identity module – SIM)
in Kombination mit einer entsprechenden persönlichen Identifikationsnummer
(personal identification number – PIN), verwenden. Nachdem
der Benutzer berechtigt ist, auf die Dienste des Telekommunikationsanbieters
zuzugreifen, kann die Anforderung des vorübergehenden Passworts für eine Authentifizierung
gegenüber
dem VPN-Netz einen zusätzlichen
Authentifizierungsschritt erfordern, der durch Eingabe einer zusätzlichen
PIN implementiert werden kann. Auf diese Weise wird ein effektiver
zusätzlicher
Schutzmechanismus für
den Empfang des vorübergehenden
Passworts implementiert.
-
Bei
Hardware-Token, die aus dem Stand der Technik bekannt sind, kann
die Eingabe einer PIN erforderlich sein, um ein einmaliges Passwort
zu erhalten. Eine solche PIN-Anforderung,
welche die Erzeugung des vorübergehenden
Passworts aktiviert, kann im erfindungsgemäßen Verfahren auf analoge Weise
implementiert werden. Daher muss die zum Dienstanbieter übertragene
Zugriffsanforderung weiter eine entsprechende PIN umfassen, die
dazu dient, den Benutzer des Mobilgeräts für den Empfang des vorübergehenden
Passworts zu authentifizieren.
-
Dieses
einen Missbrauch der das vorübergehende
Passwort erzeugenden Funktionalität des Dienstanbieters verhindernde
Authentifizierungsverfahren wird typischerweise auf dem Zugriffssystem
des Dienstanbieters realisiert. Dieses Zugriffssystem des Dienstanbieters
besteht typischerweise aus einer Kombination von SIM-Karte und SIM-Karte-spezifischer
PIN. So muss der Benutzer, um das vorübergehende einmalige Passwort
vom Dienstanbieter zu empfangen, eine erste PIN in die mobile Telekommunikationseinrichtung
eingeben, um auf den Dienstanbieter zuzugreifen. Dann kann der Dienstanbieter
für den
Empfang des vorübergehenden
Passworts eine zweite PIN für
die Berechtigung des Benutzers in Bezug auf das VPN-Netz verlangen.
Vorzugsweise sind diese erste und die zweite PIN als statische Passworte
implementiert, die vom Benutzer beliebig konfiguriert werden können.
-
Nach
einem weiteren bevorzugten Ausführungsbeispiel
der Erfindung umfasst die zum Dienstanbieter übertragene Zugriffsanforderung
außerdem
zumindest eine Netzkennung und eine Kennung der mobilen Telekommunikationseinrichtung.
Die Kennung der mobilen Telekommunikationseinrichtung gibt die Identität des Benutzers
an. Im Rahmen einer mobilen Telekommunikation wird jedem Kommunikationspartner
eine individuelle Nummer zugeordnet, wie z.B. eine Nummer des Mobiltelefons.
Mittels dieser Mobiltelefonnummer kann der Benutzer des jeweiligen
Mobiltelefons identifiziert werden. Eine Zuordnung zwischen einem
Benutzer und einer Telefonnummer wird typischerweise mittels einer
Kennung der SIM-Karte des Mobiltelefons realisiert. Auf diese Weise
wird die Benutzeridentität
durch Übertragung
der Zugriffsanforderung zum Dienstanbieter inhärent gelöst.
-
Da
die Zugriffsanforderung auch eine Kennung des Netzes angibt, erhält der Dienstanbieter
genügend Informationen
für die
Erzeugung des vorübergehenden
Passworts. Die Benutzerberechtigungs-Datenbank, die vom Dienstanbieter
verwaltet wird, liefert die erforderliche Information, ob ein bestimmter
Benutzer berechtigt ist, auf ein einzelnes Netz zuzugreifen. Somit
kann die Zugriffsanforderung anhand der Benutzerauthentifizierungs-Datenbank
ausreichend überprüft werden.
Die Benutzerauthentifizierungs-Datenbank ermöglicht es also in effektiver
Weise, eine Zugriffsanforderung zu bestätigen oder abzulehnen und so
die Erzeugung eines vorübergehenden
Passworts und dessen Übertragung
zum Benutzer freizugeben oder zu sperren.
-
Nach
einem weiteren bevorzugten Ausführungsbeispiel
der Erfindung kann das vorübergehende Passwort
zwischen einem Authentifizierungsmodul und einem Kommunikationsmodul
der mobilen Telekommunikationseinrichtung übertragen werden. Somit kann
die doppelte Funktionalität
der mobilen Telekommunikationseinrichtung mittels zweiter getrennter
Module der Telekommunikationseinrichtung realisiert werden. Typischerweise
ermöglicht
das Authentifizierungsmodul die Anforderung und den Empfang des
vorübergehenden
Passworts vom Dienstanbieter, während
das Kommunikationsmodul geeignet ist, die IP-Verbindung zum Netz
aufzubauen. Diese Aufteilung in zwei getrennte Module ermöglicht eine
zusätzliche
Zugriffskontrolle, wenn die Übertragung
des vorübergehenden
Passworts vom Authentifizierungsmodul zum Kommunikationsmodul eine
Eingabeaufforderung für
den Benutzer erfordert. Somit kann eine unbeabsichtigte Berechtigungszuweisung
und ein unbeabsichtigter Verbindungsaufbau wirkungsvoll verhindert
werden.
-
Alternativ
kann dieser Schutzmechanismus vom Benutzer abgeschaltet werden.
In diesem Fall kann das vorübergehende
Passwort nach Empfang vom Dienstanbieter zwischen dem Authentifizierungsmodul
und dem Kommunikationsmodul autonom übertragen werden. Auf diese
Weise kann der Aufbau der IP-Verbindung zwischen einem Firmennetz
und einer mindestens ersten mobilen Telekommunikationseinrichtung
ohne jede Mitwirkung des Benutzers erfolgen. Der Benutzer muss eventuell
lediglich die Authentifizierungsprozedur aufrufen, indem er eine
Anforderungsfunktion für
ein einmaliges Passwort an seiner mobilen Telekommunikationseinrichtung
auswählt
und die erste und/oder die zweite PIN eingibt.
-
Nach
einem weiteren bevorzugten Ausführungsbeispiel
der Erfindung ist das Netz als IN-basiertes virtuelles privates
Netz (VPN) realisiert. Das VPN-Netz umfasst einen VPN-Gateway, und
die mobile Telekommunikationseinrichtung umfasst einen VPN-Client.
Weiterhin kann die mindestens eine Recheneinrichtung als jede beliebige
Art von Rechenreinrichtung realisiert sein, wie z.B. als bei einem
Angestellten zu Hause fest installierter Arbeitsplatzrechner, als
mobiler Laptop-Computer
für weltweiten
Zugriff auf das Firmennetz oder als Personal Digital Assistant (PDA).
-
Auf
diese Weise ist die gesamte Funktionalität des sicheren Zugriffssystems
in der mobilen Telekommunikationseinrichtung implementiert, die
somit für
eine Vielzahl verschiedener Recheneinrichtungen einen sicheren VPN-basierten
Zugriff auf ein Firmennetz ermöglicht.
Im Prinzip benötigt
keine der Recheneinrichtungen einen netz- oder recheneinrichtungsspezifischen
VPN-Client. Somit ist das gesamte sichere Zugriffssystem in einer
persönlichen
Einrichtung, wie z.B. in einem Mobiltelefon, implementiert.
-
Damit
kann ein Benutzer – unabhängig von
einer bestimmten mobilen oder fest installierten Recheneinrichtung – auf ein
virtuelles privates Netz allein durch Verwendung seiner personalisierten
mobilen Telekommunikationseinrichtung zugreifen. Folglich kann sogar
dieselbe Recheneinrichtung von verschiedenen Benutzern gemeinsam
genutzt werden, wobei jeder von diesen über seine eigene mobile Telekommunikationseinrichtung
einen personalisierten, sicheren Zugriff auf das VPN hat. Damit
ist eine Installierung von berechtigungsbezogener Software auf einer
Recheneinrichtung, wie z.B. einem VPN-Client, nicht mehr erforderlich, wodurch
die Software-Pflege für
die Recheneinrichtungen reduziert werden kann. Dies ist besonders
vorteilhaft, wenn zum Beispiel ein Angestellter mehrere Recheneinrichtungen
nutzt, von denen jede einen Verbindungsaufbau zum und eine Autorisierung
gegenüber
einem VPN erfordert. In diesem Fall muss eine verfügbare Software-Aktualisierung
eines VPN-Clients lediglich einmal auf der mobilen Telekommunikationseinrichtung
des Angestellten aktualisiert werden und nicht mehrmals für jede der
Vielzahl von Recheneinrichtungen.
-
Gemäß einer
Weiterbildung der Erfindung ist die Funktionalität der Recheneinrichtung und
der mobilen Telekommunikationseinrichtung in einer einzigen multifunktionalen
Einrichtung, wie z.B. Mobiltelefonen mit integrierten Recheneinrichtungen,
die Web-Browsing, E-Mail-Dienst, Textverarbeitungsanwendungen und
dergleichen ermöglichen,
integriert und zusammengeführt.
-
Nach
einem anderen Aspekt gibt die Erfindung eine mobile Telekommunikationseinrichtung
zur Authentifizierung eines Benutzers gegenüber einem Netz mittels eines
vorübergehenden
Passworts an. Der Benutzer benötigt
das vorübergehende
Passwort, um sich gegenüber
dem Netz zu authentifizieren. Die mobile Telekommunikationseinrichtung
umfasst Mittel zum Übertragen
einer Zugriffsanforderung zu einem Dienstanbieter, wobei das vorübergehende
Passwort vom Dienstanbieter in Abhängigkeit von einer Bestätigung der
Zugriffsanforderung erzeugt wird. Weiterhin umfasst die erfindungsgemäße mobile
Telekommunikationseinrichtung Mittel zum Aufbau der IP-basierten
Verbindung zwischen mindestens einer Recheneinrichtung und dem Netz.
Die Mittel zum Aufbau der IP-basierten Verbindung sind so ausgelegt,
dass sie die Verbindung abhängig vom
Empfang des vorübergehenden
Passworts vom Dienstanbieter aufbauen.
-
Die
mobile Telekommunikationseinrichtung stellt eine doppelte Funktionalität bereit.
Erstens ermöglicht
sie die Absetzung einer Zugriffsanforderung an den Dienstanbieter
und, im Falle einer Bestätigung
der Zugriffsanforderung, den Empfang eines entsprechenden vorübergehenden
Passworts. Zweitens ermöglicht die
mobile Telekommunikationseinrichtung den Aufbau einer sicheren IP-Verbindung
zwischen mindestens einer Recheneinrichtung und dem Netz unter Verwendung
des empfangenen vorübergehenden
Passworts. Somit kann die mobile Telekommunikationseinrichtung den
Benutzer gegenüber
dem Netz autonom authentifizieren, indem sie das empfangene vorübergehende
oder einmalige Passwort an das Netz sendet. Auf diese Weise wird
ein sicheres Zugriffssystem ausschließlich durch die erfindungsgemäße mobile
Telekommunikationseinrichtung bereitgestellt.
-
Ein
denkbares, besonders kostengünstiges
Ausführungsbeispiel
der mobilen Telekommunikationseinrichtung kann durch Verwendung
eines im Handel erhältlichen
Mobiltelefons realisiert werden, das eine programmierbare Funktionalität und geeignete
Datenübertragungskapazitäten bereitstellt.
So kann eine spezifische Anwendersoftware auf dem vorhandenen Mobiltelefon
installiert werden, die es erlaubt, einen dedizierten Menüeintrag
auf dem Mobiltelefon auszuwählen,
der geeignet ist, die Zugriffsanforderung zum Dienstanbieter zu übertragen.
Auf diese Weise kann das erfindungsgemäße Authentifizierungsverfahren
vom Standpunkt des Benutzers aus universell realisiert werden, indem
eine geeignete Anwendersoftware auf seinem programmierbaren Mobiltelefon
installiert wird. Solche Anwendersoftware kann in Form von Java-Applikationen
oder Java-Applets bereitgestellt werden, die von dem Telekommunikations-
oder Dienstanbieter unterstützt
werden können.
Durch dieses Merkmal ist das erfindungsgemäße Authentifizierungssystem
für einen
großen
Benutzerbereich universell anwendbar.
-
Darüber hinaus
muss die mobile Kommunikationseinrichtung eine Kommunikationsschnittstelle
bereitstellen, die es ermöglicht,
Daten zwischen der mindestens einen Recheneinrichtung und dem Netz
zu übertragen.
Deshalb kann die mobile Telekommunikationseinrichtung mit einer
geeigneten Kommunikationsschnittstelle versehen sein, entweder in
der Ausführung
einer steckbaren Kabelschnittstelle oder in einer drahtlosen Realisierung,
die auf HF- oder Infrarot-Datenübertragung
basieren kann.
-
Zusätzlich kann
die mobile Telekommunikationseinrichtung auch zur Übertragung
von Daten zu einer Vielzahl von Recheneinrichtungen dienen. Somit
kann sie auch als Router wirken.
-
Nach
einem weiteren Aspekt gibt die Erfindung einen Authentifizierungsserver
zur Erzeugung eines vorübergehenden
Passworts an, das ein Benutzer benötigt, um sich gegenüber einem
Netz zu authentifizieren. Der erfindungsgemäße Authentifizierungsserver
umfasst Mittel zum Verarbeiten einer Zugriffsanforderung vom Benutzer,
Mittel zum Überprüfen der
Zugriffsanforderung anhand einer Benutzerauthentifizierungs-Datenbank
und Mittel zum Erzeugen des vorübergehenden
Passworts. Hier wird die Zugriffsanforderung zum Authentifizierungsserver
unter Verwendung einer mobilen Telekommunikationseinrichtung übertragen.
Die Mittel zum Überprüfen der
vom Authentifizierungsserver empfangenen Zugriffsanforderung sind
geeignet, die Zugriffsanforderung zu bestätigen, wenn der Benutzer berechtigt
ist, auf das Netz zuzugreifen.
-
Die
Berechtigung des Benutzers oder mehrerer Benutzer gegenüber verschiedenen
Netzen wird von der Benutzerauthentifizierungs-Datenbank bereitgestellt.
Die Mittel zum Erzeugen des vorübergehenden Passworts
sind insbesondere so ausgelegt, dass sie das vorübergehende Passwort nur in
Falle einer Bestätigung
der Zugriffsanforderung erzeugen. Somit sorgt der Authentifizierungsserver
für eine Überprüfung und
Bestätigung
der Zugriffsanforderung und, wenn diese bestätigt wurde, für die Erzeugung
des entsprechenden vorübergehenden
Passworts. Typischerweise wird der Authentifizierungsserver von
einem Telekommunikationsanbieter oder ähnlichen Anbieter so bereitgestellt
und verwaltet, dass der Dienst des Authentifizierungsservers von
einer mobilen Telekommunikationseinrichtung aus, wie z.B. von einem
Mobiltelefon, zugänglich
ist.
-
Nach
einem weiteren bevorzugten Ausführungsbeispiel
der Erfindung enthält
die Benutzerauthentifizierungs-Datenbank
des Authentifizierungsservers Authentifizierungsdaten mindestens
eines Benutzers und mindestens eines Netzes. Die in der Benutzerauthentifizierungs-Datenbank
gespeicherten Daten geben an, welcher der Benutzer berechtigt ist,
auf eines der Netze zuzugreifen.
-
Nach
einem weiteren Aspekt gibt die Erfindung ein Computerprogramm-Produkt
für eine
mobile Telekommunikationseinrichtung zur Authentifizierung eines
Benutzers gegenüber
einem Netz mittels eines vorübergehenden
Passworts an. Das vorübergehende
Passwort wird vom Netz für
die Authentifizierung des Benutzers gegenüber dem Netz, typischerweise
gegenüber
dem VPN-Netz, benötigt. Das
Computerprogramm-Produkt umfasst Programmmittel, die geeignet sind,
eine Zugriffsanforderung des Benutzers zu verarbeiten, die Zugriffsanforderung
zum Dienstanbieter zu übertragen
und das vorübergehende
Passwort vom Dienstanbieter zu empfangen. Hier wird das vorübergehende
Passwort durch den Dienstanbieter in Abhängigkeit von der Bestätigung der
Zugriffsanforderung erzeugt. Schließlich umfasst das Computerprogramm-Produkt
für die
mobile Telekommunikationseinrichtung Programmmittel zur direkten Übertragung
des vorübergehenden
Passworts zum Netz, um den Benutzer gegenüber dem Netz zu authentifizieren
und eine IP-basierte Verbindung zwischen dem Netz und mindestens
einer Recheneinrichtung über
die mobile Telekommunikationseinrichtung aufzubauen, wobei die Programmmittel
so ausgelegt sind, dass sie die IP-basierte Verbindung in Abhängigkeit
vom Empfang des vorübergehenden
Passworts vom Dienstanbieter aufbauen.
-
Nach
einem weiteren Aspekt gibt die Erfindung ein Computerprogramm-Produkt
für einen
Authentifizierungsserver zum Erzeugen eines vorübergehenden Passworts an, das
ein Benutzer benötigt,
um sich gegenüber
dem Netz zu authentifizieren. Das Computerprogramm-Produkt umfasst
Programmmittel, die geeignet sind, eine Zugriffsanforderung vom
Benutzer zu verarbeiten, die Zugriffsanforderung anhand einer Benutzerauthentifizierungs-Datenbank
zu überprüfen und
das vorübergehende
Passwort nur im Falle einer Bestätigung
der Zugriffsanforderung zu erzeugen. Die Zugriffsanforderung wird
mit Hilfe der Benutzerauthentifizierungs-Datenbank bestätigt. Insbesondere
wird die Zugriffsanforderung bestätigt, wenn der Benutzer berechtigt ist,
auf das Netz zuzugreifen. Die Zugriffsanforderung wird mittels einer
mobilen Telekommunikationseinrichtung des Benutzers zum Authentifizierungsserver übertragen,
und das vorübergehende
Passwort wird zur mobilen Telekommunikationseinrichtung rückübertragen,
wenn die Zugriffsanforderung bestätigt wird.
-
Kurze Beschreibung der Zeichnungen
-
Nachfolgend
werden bevorzugte Ausführungsbeispiele
der Erfindung unter Bezugnahme auf die Zeichnungen näher erläutert. Es
zeigen:
-
1 ein
Blockdiagramm eines ersten Ausführungsbeispiels
des erfindungsgemäßen Authentifizierungsverfahrens;
-
2 ein
Blockdiagramm eines zweiten Ausführungsbeispiels
der Erfindung mit einem ersten und einem zweiten Netz sowie ersten
und zweiten Recheneinrichtungen;
-
3 ein
Blockdiagramm, das die interne Struktur des Dienstanbieters veranschaulicht;
und
-
4 schematisch
ein grundlegendes Ausführungsbeispiel
der Benutzerauthentifizierungs-Datenbank.
-
Ausführliche Beschreibung
-
1 zeigt
schematisch eine Umgebung oder Infrastruktur zur Realisierung des
erfindungsgemäßen Authentifizierungsverfahrens.
Ein Benutzer 100 möchte über eine
Recheneinrichtung 104 auf ein Netz 102 zugreifen.
Der Benutzer 100 hat auch Zugang zu seinem persönlichen
Mobilgerät 106,
das wiederum geeignet ist, mit dem Dienstanbieter 108 zu
kommunizieren und eine IP-basierte
Verbindung zum Netz 102 aufzubauen. Für einen Zugriff auf das Netz 102 ist
eine Authentifizierung gegenüber
dem Netz 102 erforderlich. Diese Authentifizierung wird
typischerweise von dem Netz-Gateway 112 durchgeführt.
-
Nach
erfolgreicher Authentifizierung gegenüber dem Netz 102 baut
das Mobilgerät 106 eine
Verbindung 110 zum Netz 102 und eine Verbindung 114 zur
Recheneinrichtung 104 auf. Somit ist die Funktionalität des Mobilgeräts 106 doppelt.
Einerseits ermöglicht
sie die Übermittlung
einer Zugriffsanforderung zum Dienstanbieter 108 und den
empfang eines vorübergehenden
und/oder einmaligen Passworts vom Dienstanbieter, um den Benutzer 100 gegenüber dem
Netz 102 zu authentifizieren. Andererseits baut das Mobilgerät 106 auch
die IP-basierte Verbindung zwischen der Recheneinrichtung 104 und
dem Netz 102 über
Verbindungen 114 und 110 auf. Typischerweise sind
das dargestellte Netz 102 und sein Gateway 112 als
VPN-Netz bzw. VPN-Gateway realisiert.
-
Das
vorübergehende
und/oder einmalige Passwort wird vom Dienstanbieter 108 erzeugt
und zum Mobilgerät 106 übertragen.
Typischerweise kann das Mobilgerät 106 als
Mobiltelefon realisiert sein, das eine bidirektionale Kommunikation
mit dem Dienstanbieter 108 erlaubt. Um das vorübergehende
Passwort vom Dienstanbieter zu erhalten, kann der Benutzer 100 eine
Zugriffsanforderung auf dem Mobilgerät 106 aufrufen. Das
Mobilgerät 106 wiederum
dient dazu, diese Zugriffsanforderung zum Dienstanbieter 108 zu übertragen. Der
Dienstanbieter 108 verarbeitet dann diese empfangene Zugriffsanforderung,
bestätigt
die Zugriffsanforderung, d.h., prüft die Berechtigung des Benutzers,
auf das Netz 102 zuzugreifen, erzeugt das vorübergehende Passwort
unter Verwendung eines dedizierten Passworterzeugungssystems und überträgt das erzeugte
vorübergehende
und/oder einmalige Passwort zum Mobilgerät 106.
-
Das
Mobilgerät 106 kann
das empfangene vorübergehende
Passwort dem Benutzer 100 anzeigen. Der Benutzer 100 kann
dann über
das angezeigte Passwort geführt
werden, um eine Authentifizierungsprozedur zu bestätigen, die
vom Mobilgerät 106 autonom
durchgeführt
wird. Wenn der Benutzer 100 bestätigt, dass er auf das Netz 102 zugreifen
und sich diesem gegenüber
authentifizieren will, überträgt das Mobilgerät 106 eine
Benutzerkennung und das entsprechende vorübergehende Passwort zum Gateway 112 des
Netzes 102. Bei Empfang der korrekten Kombination von vorübergehendem
Passwort und Benutzerkennung wird der Benutzer dann für einen
Zugriff auf das Netz 102 authentifiziert.
-
Alternativ
kann der Benutzer 100 eine vollständig automatisierte Authentifizierungsprozedur
aufrufen, bei der keine Benutzerführung erforderlich ist. In
diesem Fall ruft der Benutzer 100 die Authentifizierungsprozedur durch
Eingabe eines jeweiligen Befehls in das Mobilgerät 106 auf. Das Mobilgerät 106 überträgt dann eine
entsprechende Zugriffsanforderung zum Dienstanbieter 108 und
sendet das vom Dienstanbieter 108 empfangene vorübergehende
Passwort autonom an das Netz 102. Das Mobilgerät 106 führt somit
eine Authentifizierung des Benutzers 100 gegenüber dem
Netz 102 autonom durch und baut eine IP-basierte Verbindung
zwischen der Recheneinrichtung 104 und dem Netz 102 auf.
-
Damit
ersetzt das Mobilgerät
in Kombination mit dem Dienstanbieter 108 in effektiver
Weise ein mittels Hardware realisiertes Token, das geeignet ist,
ein netzspezifisches vorübergehendes
Passwort zu erzeugen. Weiterhin braucht der Benutzer keine zusätzliche
Hardware-Einrichtung mehr mitzuführen,
die lediglich geeignet ist, vorübergehende
einmalige Passworte zu erzeugen. Die Erfindung basiert darauf, dass
das Mobilgerät 106 ein
persönliches
Eigentum des Benutzers 100 ist. Durch Implementierung der
passwortanfordernden Funktionalität im Mobilgerät 106 übernimmt
dieses in effektiver Weise die Funktionalität eines Hardware-Tokens, wie es aus
dem Stand der Technik bekannt ist.
-
Die
Verbindungen 110 und 114 zwischen der Recheneinrichtung 104 und
dem Netz 102 können
im Prinzip durch jede Art von Verbindung realisiert werden, die
eine Datenübertragung
zwischen einer Recheneinrichtung und einem Netz ermöglicht.
Zum Beispiel kann die Verbindung durch eine auf einem 56-Kbit-Modem
basierende Verbindung, eine ISDN-Verbindung oder eine DSL-Verbindung
realisiert sein. Die Verbindung kann auch als drahtlose Verbindung
realisiert sein und z.B. auf WLAN-, IEEE 802.11- oder anderen Hochfrequenz(RF)-
oder Infrarot(IR)- basierten Kommunikationsprotokollen basieren.
-
2 zeigt
schematisch ein internetbasiertes Ausführungsbeispiel der erfindungsgemäßen Authentifizierungsprozedur
in einer detaillierteren und etwas komplexeren Darstellung. Auch
hier verwendet der Benutzer 100 das Mobilgerät 106,
um ein vorübergehendes
Passwort vom Dienstanbieter 108 zu empfangen und auf ein
Netz 102, 122 zuzugreifen. Im Gegensatz zu dem
in 1 dargestellten Ausführungsbeispiel kann der Benutzer 100 auf
eines oder mehrere Netze 102, 122 entweder getrennt über zwei
getrennte IP-Verbindungen 110, 120 oder unter
Verwendung des Internets zugreifen, in das die beiden Netze 102, 122 eingebettet
sein können.
Zusätzlich
kann das Mobilgerät 106 für eine Vielzahl
von Recheneinrichtungen 104, 116 über Nachrichtenverbindungen 114, 118 Zugriff
auf die Netze 102, 122 ermöglichen. Außerdem weist das Mobilgerät 106 einen
VPN-Client auf, der geeignet ist, durch Interaktion mit den jeweiligen
Netz-Gateways 112, 124 eine VPN-basierte Authentifizierungs-
und Zugriffsprozedur in Bezug auf die Netze 102, 122 durchzuführen.
-
Insbesondere
muss dadurch, dass der VPN-Client 126 im Mobilgerät 106 implementiert
ist, auf keiner der Recheneinrichtungen 114, 116 mehr
VPN-bezogene Software installiert und gewartet werden. Dies ermöglicht einen
sicheren Zugriff auf eine Vielzahl von Netzen 102, 122 mit
den verschiedensten Recheneinrichtungen 104, 116,
indem ein einziges, personalisiertes Gerät 106 verwendet wird,
das als Mobiltelefon realisiert sein kann und das typischerweise
vom Benutzer 100 ohnehin mitgeführt wird. Darüber hinaus
ist es bei diesem Zugriffssystem möglich, jede der Recheneinrichtungen 104, 116 unter
einer Vielzahl von Benutzern 100 oder Angestellten einer
Firma auszutauschen. Es muss lediglich sichergestellt sein, dass
die Recheneinrichtungen 104, 116 in der Lage sind,
mit dem Mobilgerät 106 über Nachrichtenverbindungen 114, 118 zu
kommunizieren, die entweder als steckbare Drahtverbindungen unter
Verwendung einer Standard-Schnittstelle,
wie z.B. dem Universal Serial Bus (USB), ausgeführt sind oder ein Protokoll
für drahtlose Übertragung
verwenden, das auf HF- oder Infrarot-Übertragungstechniken
basieren kann.
-
Die
Zugriffskontrolle auf die Netze 102, 122 kann
mittels einer Authentifizierungs-Datenbank realisiert werden, die
vom Dienstanbieter 108 verwaltet wird und angibt, auf welches
der Netze 102, 122 der Benutzer 100 zugreifen
darf. Zum Beispiel kann der Zugriff auf Netz 102 gesperrt,
dagegen der Zugriff auf Netz 122 erlaubt sein. Wenn in
diesem Fall der Benutzer über
sein Mobilgerät 106 dem
Dienstanbieter 108 eine Zugriffsanforderung sendet, wird
er nur dann ein vorübergehendes
Passwort erhalten, wenn die Zugriffsanforderung das Netz 122 angibt.
Sendet der Benutzer dem Dienstanbieter 108 eine Zugriffsanforderung,
mit der sich gegenüber
dem Netz 102 authentifizieren will, dann wird der Dienstanbieter
den Zugriff auf das Netz 102 verweigern. Folglich wird
die Übermittlung
eines einmaligen und/oder vorübergehenden
Passworts für
einen Zugriff auf das Netz 102 gesperrt, und das Mobilgerät 106 erhält das erforderliche
Passwort vom Dienstanbieter 108 nicht.
-
3 veranschaulicht
schematisch die interne Struktur des Dienstanbieters 108.
Bei diesem Ausführungsbeispiel
dient der Dienstanbieter 108 auch als Telekommunikationsanbieter.
Der Dienstanbieter 108 hat ein Kommunikationsmodul 130,
eine Heimatdatei (home location register – HLR) 132, einen
Authentifizierungsserver 134, einen Passwortgenerator 138 und
eine Benutzerauthentifizierungs-Datenbank 136. Das Kommunikationsmodul
besorgt die Signalverarbeitung für
drahtlose Datenübertragung.
Weiterhin kann es drahtlose Kommunikationsmittel bereitstellen,
um mit dem Mobilgerät 106 kommunizieren
zu können.
-
In
der Heimatdatei 132 sind benutzerbezogene Informationen
für die
drahtlose Kommunikation mittels des Mobilgeräts 106 gespeichert.
Nach Registrierung beim Dienstanbieter 108 kann der Benutzer 100 eine SIM-Karte
mit einer speziellen Kennung erhalten.
-
Mittels
der Heimatdatei 132 kann eine Zuordnung zwischen den Kontaktinformationen
des Benutzers und der SIM-Karte durchgeführt werden. Die Kontaktinformationen
des Benutzers können
persönliche
Daten des Benutzers sowie seine Adresse und Einzelheiten über sein
Bankkonto betreffen. Darüber
hinaus ermöglicht
die Heimatdatei 132 eine Authentifizierung des Mobilgeräts 106 gegenüber dem vom
Telekommunikationsanbieter 108 bereitgestellten Mobilfunknetz.
Typischerweise authentifizieren sich der Benutzer 100 und sein
Mobilgerät 106 gegenüber den
Diensten des Dienstanbieters 108 durch Eingabe einer z.B.
vierstelligen PIN in das Mobilgerät 106.
-
In ähnlicher
Weise kontrolliert der Authentifizierungsserver 134 den
Zugriff des Benutzers 100 auf die Benutzerauthentifizierungs-Datenbank 136.
Bei Empfang der Zugriffsanforderung vom Mobilgerät 106 kann der Authentifizierungsserver 134 zunächst überprüfen, ob
der Benutzer 100 und das Mobilgerät 106 berechtigt sind,
ein vorübergehendes
Passwort vom Dienstanbieter 108 zu erhalten. Diese Authentifizierungsprozedur kann
in effektiver Weise mittels einer weiteren, statischen PIN realisiert
werden. Jedes Mal wenn der Benutzer 100 eine gültige Zugriffsanforderung,
also eine Zugriffsanforderung zusammen mit einer entsprechenden
PIN, an den Dienstanbieter sendet, bedient sich der Authentifizierungsserver 134 der
Benutzerauthentifizierungs-Datenbank 136, um die Zugriffsanforderung
des Benutzers zu bestätigen
oder abzulehnen.
-
Insbesondere
zeigt die Benutzerauthentifizierungs-Datenbank 136 an, ob der Benutzer 100 berechtigt ist,
auf das gewünschte
Netz zuzugreifen. Nachdem eine Zugriffsanforderung vom Authentifizierungsserver 134 bestätigt wurde,
wird der Passwortgenerator 134 aufgerufen, um ein entsprechendes
vorübergehendes einmaliges
Passwort zu erzeugen. Die Erzeugung des Passworts mittels des Passwortgenerators 138 basiert auf
Verschlüsselungsverfahren,
die mit entsprechenden, von den VPN-Gateways der Netze 102, 122 verwendeten
Verschlüsselungsverfahren
synchronisiert sind.
-
Nach
Erzeugung des vorübergehenden
und/oder einmaligen Passworts wird das erzeugte Passwort zum Authentifizierungsserver 134 übertragen
und schließlich
zum Kommunikationsmodul 130 weitergeleitet. Das Kommunikationsmodul
dient weiter dazu, das erzeugte Passwort zum Mobilgerät 106 zu übertragen.
Hier wird das empfangene vorübergehende
Passwort entweder dem Benutzer 100 zum Zwecke einer Bestätigung angezeigt
oder es kann über
die IP-basierte Verbindung 110 direkt zum VPN-Gateway 112 des
Netzes 102 übertragen
werden. Die Verbindung 110 ist typischerweise mittels einer
drahtlosen Verbindung unter Verwendung von z.B. Infrarot- oder Hochfrequenz-Nachrichtenübertragungstechniken
wie z.B. IEEE 802.11, Wireless LAN oder UMTS realisiert. Alternativ
kann das Mobilgerät 106 mit
einer Hochgeschwindigkeits-Kommunikationsschnittstelle versehen
sein, die eine kabelbasierte Ankopplung an eine Hochgeschwindigkeits-Kommunikationsschnittstelle
wie z.B. DSL oder ISDN erlaubt.
-
4 veranschaulicht
schematisch ein grundlegendes Ausführungsbeispiel der Benutzerauthentifizierungs-Datenbank 136.
Hier ist die Benutzerauthentifizierungs-Datenbank 136 so ausgelegt,
dass sie Berechtigungsinformationen für mehrere Benutzer und mehrere
unterschiedliche Netze bereitstellt. Deshalb ist die Benutzerauthentifizierungs-Datenbank 136 in
Form einer zweidimensionalen Matrix angelegt, bei der die Benutzer
in einer waagerechten Benutzerzellen-Anordnung 150 und
die Netze in einer senkrechten Netzzellen-Anordnung 152 eingetragen sind.
Die einzelnen Felder der matrixartigen Benutzerauthentifizierungs-Datenbank 136 geben
an, welcher Benutzer berechtigt ist, welche Art von Netz zu benutzen.
Zum Beispiel hat Benutzer 1 Zugriff auf Netz 2 und Netz 4, darf
jedoch nicht auf Netz 1 und Netz 3 zugreifen.
-
4 zeigt
lediglich ein grundlegendes Beispiel für die Realisierung einer Benutzerauthentifizierungs-Datenbank. Die Datenbank 136 ist
keineswegs auf eine zweidimensionale Matrix beschränkt. Es
können zusätzliche
Parameter, wie z.B. individuelle Zugriffsrechte, aufgenommen werden,
wodurch sich eine mehrdimensionale Darstellung der Benutzerauthentifizierungs-Datenbank
ergibt.
-
- 100
- Benutzer
- 102
- Netz
- 104
- Recheneinrichtung
- 106
- Mobilgerät
- 108
- Dienstanbieter
- 110
- IP-Verbindung
- 112
- Gateway
- 114
- Verbindung
- 116
- Recheneinrichtung
- 118
- Verbindung
- 120
- IP-Verbindung
- 122
- Netz
- 124
- Gateway
- 124
- VPN-Client
- 130
- Kommunikationsmodul
- 132
- Heimatdatei
- 134
- Authentifizierungsserver
- 136
- Benutzerauthentifizierungs-Datenbank
- 138
- Passwortgenerator
- 150
- Benutzerzellen-Anordnung
- 152
- Netzzellen-Anordnung
-
Übersetzung
der in den Zeichnungen verwendeten englischsprachigen Bezeichnungen
-
-
- service provider
- – Dienstanbieter
- mobile device
- – Mobilgerät
- User
- – Benutzer
- computing device
- – Recheneinrichtung
- gateway
- – Gateway (Netzübergang)
- network
- – Netz
- VPN client
- – VPN-Client
- user authentication
database
- – Benutzerauthentifizierungs-Datenbank
- authentication server
- – Authentifizierungsserver
- HLR
- – Heimatdatei (Home Location
Register)
- communication module
- – Kommunikationsmodul
- password generator
- – Passwortgenerator
- denied
- – verwehrt
- admitted
- – erlaubt