DE602004005461T2 - Mobile Authentifizierung für den Netzwerkzugang - Google Patents

Mobile Authentifizierung für den Netzwerkzugang Download PDF

Info

Publication number
DE602004005461T2
DE602004005461T2 DE602004005461T DE602004005461T DE602004005461T2 DE 602004005461 T2 DE602004005461 T2 DE 602004005461T2 DE 602004005461 T DE602004005461 T DE 602004005461T DE 602004005461 T DE602004005461 T DE 602004005461T DE 602004005461 T2 DE602004005461 T2 DE 602004005461T2
Authority
DE
Germany
Prior art keywords
user
network
access request
service provider
temporary password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE602004005461T
Other languages
English (en)
Other versions
DE602004005461D1 (de
Inventor
Stephan Dr. Rupp
Jenisch, (BA), Markus Dipl.-Ing.
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent SAS
Original Assignee
Alcatel Lucent SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel Lucent SAS filed Critical Alcatel Lucent SAS
Publication of DE602004005461D1 publication Critical patent/DE602004005461D1/de
Application granted granted Critical
Publication of DE602004005461T2 publication Critical patent/DE602004005461T2/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity

Description

  • Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft das Gebiet der Authentifizierung gegenüber Netzen, insbesondere ohne Beschränkung auf Netze, die auf dem Internet-Protokoll (IP) basieren.
  • Hintergrund und Stand der Technik
  • Die Arbeitsumgebung für Firmen, bei denen große Datenmengen anfallen, wird heutzutage von Computern, insbesondere von vernetzten Computern beherrscht. Diese Firmennetze bieten eine effiziente Kommunikationsplattform für die Mitarbeiter einer Firma oder anderer Institutionen, wie z.B. Universitäten. Sie ermöglichen es auf effektive Weise, IT-Dienste für eine definierte Gruppe von Personen, wie z.B. Angestellte einer Firma, bereitzustellen. Firmennetze bieten außerdem eine Basis für die Einrichtung eines Intranets, welches firmenspezifische Daten nur an die Computer liefert, die mit dem Firmennetz physikalisch verbunden sind. Damit verhindert ein Firmennetz auf wirksame Weise einen externen Zugriff auf vertrauliche firmenspezifische Daten oder firmenspezifische IT-Dienste, wie z.B. firmenspezifische Software. Folglich kann ein Angestellter einer Firma auf firmenspezifische Daten und IT-Dienste nur dann zugreifen, wenn er einen Computer benutzt, der in das Firmennetz physikalisch integriert ist.
  • Aufgrund der großen Ausdehnung des Internets sind Daten und IT-Dienste im Prinzip weltweit zugänglich. Darüber hinaus ist es aufgrund der zunehmenden Mobilität von Mitarbeitern sehr wünschenswert, Zugriff auf Firmennetze auch von solchen Computern aus zu ermöglichen, die sich an entfernten Orten befinden und ein Firmennetz über das Internet kontaktieren können. Auf diese Weise könnte ein Angestellter auf das Firmennetz oder Intranet von zu Hause aus oder während einer Geschäftsreise von einem Hotel aus zugreifen. Weltweiter Zugriff auf Firmennetze über das Internet ist im Prinzip realisierbar. Allerdings ist internetbasierte Kommunikation ziemlich unsicher und erfüllt insbesondere die strengen Sicherheitsanforderungen eines Firmennetzes nicht.
  • Hier bietet das Konzept eines virtuellen privaten Netzes (virtual private network – VPN) eine allgemeine Lösung. Ein VPN ist ein privates Kommunikationsnetz, das typischerweise innerhalb einer Firma oder von mehreren verschiedenen Firmen oder Organisationen verwendet wird, die über ein öffentliches Netz kommunizieren. VPN-Nachrichtenverkehr wird typischerweise über eine öffentliche Netzwerk-Infrastruktur, z.B. das Internet, unter Verwendung von genormten und somit möglicherweise nicht sicheren Kommunikationsprotokollen, wie z.B. IPv4, übertragen. Virtuelle private Netze verwenden kryptografische Tunnelling-Protokolle, um die erforderliche Vertraulichkeit, Absender-Authentifizierung und Nachrichtenintegrität zu gewährleisten, sodass die beabsichtigte Geheimhaltung erreicht wird. Werden solche Techniken richtig ausgewählt, implementiert und angewendet, dann können sie in der Tat eine sichere Kommunikation über nicht sichere Netze ermöglichen.
  • Heutzutage gibt es eine Vielzahl von Implementierungssystemen zum Einrichten von VPNs. Es gibt eine Vielzahl von unterschiedlichen VPN-Protokollen, z.B. IP Security (IPSEC) – ein zwingend vorgeschriebener Teil von IPv6-, das Point-to-Point Tunnelling Protocol (PPTP), Layer 2 Forwarding (L2F) und das Layer 2 Tunnelling Protocol (L2TP).
  • Für fast jedes VPN wird eine sichere Authentifizierung gefordert. Will zum Beispiel ein Angestellter einer Firma entweder von zu Hause oder während einer Geschäftsreise auf das Firmennetz zugreifen, dann kann er typischerweise einen tragbaren Computer und eine dedizierte Authentifizierungseinrichtung, z.B. ein Token, verwenden. Der mobile Computer ist typischerweise mit einer dedizierten Authentifizierungssoftware, wie z.B. einem VPN-Client, versehen. Um den mobilen Computer gegenüber einem Gateway des Firmennetzes zu authentifizieren, muss der Benutzer ein einmaliges Passwort in den mobilen Computer eingeben. Ein solches einmaliges oder vorübergehendes Passwort wird von dem Token erzeugt, das als Hardware realisiert ist und vom Benutzer mitgeführt wird. Bei Übergabe des Tokens an den Angestellten wird dieses typischerweise mit dem VPN-Gateway des Firmennetzes synchronisiert, um dem Angestellten das einmalige Passwort zur Verfügung zu stellen.
  • Dieses vorübergehende und/oder einmalige Passwort kann nach Ablauf einer vorgegebenen Zeitspanne einer Modifizierung unterliegen. Zum Beispiel ändert sich das von dem Token erzeugte Passwort einmal pro Minute und wird über eine kryptografische Funktion bestimmt. Typischerweise wird das einmalige Passwort auf dem Token grafisch angezeigt. Der Angestellte kann dann das einmalige Passwort mit seinem Benutzernamen eingeben, um sich gegenüber dem Firmennetz zu authentifizieren. Da die Kombination von Benutzername und einmaliges Passwort maximal eine Minute lang gültig ist, bietet das Authentifizierungssystem mit dem einmaligen Passwort einen hohen Grad an Sicherheit.
  • Token, die als Hardwareeinrichtungen für eine sichere Authentifizierung gegenüber Firmennetzen realisiert sind, sind zum Beispiel als RSA SecureID, die von SecurIntegration GmbH, 51107 Köln, Deutschland, vertrieben werden, s.a. www.securintegration.de, im Handel erhältlich.
  • Das vorstehend beschriebene Authentifizierungssystem, bei dem einmalige vorübergehende, auf Hardware-Token basierende Passwörter verwendet werden, bietet zwar einen hohen Grad an Sicherheit für den Aufbau von IP-basierten VPN-Verbindungen, doch es ist für den Angestellten oder Benutzer recht unvorteilhaft, ein solches mittels Hardware realisiertes Token mitzuführen. Insbesondere wenn ein Angestellter oder eine Privatperson Fernzugriff auf eine Vielzahl von verschiedenen Firmennetzen benötigt, ist für jedes dieser Netze ein dediziertes Hardware-Token erforderlich. Auch wenn z.B. eine Vielzahl von Angestellten denselben mobilen Computer für Geschäftsreisezwecke gemeinsam benutzt, kann das oben beschriebene Zugriffssystem recht unpraktisch sein, da für jeden Benutzer des mobilen Computers eine manuelle Konfiguration der in dem mobilen Computer installierten VPN-Client-Software erforderlich ist.
  • Dieser Nachteil wird noch deutlicher, wenn ein Benutzer mehrere mobile Recheneinrichtungen benutzt, wie z.B. einen Laptop-Computer und einen Personal Digital Assistant (PDA), die jeweils einen VPN-Client für einen individuellen Zugriff auf das Firmennetz aufweisen. Dann kann für jede mobile Recheneinrichtung ein einrichtungsspezifisches Hardware-Token erforderlich sein. Wenn eine Aktualisierung der VPN-Client-Software zur Verfügung steht, muss die entsprechende Aktualisierungsprozedur für jede der Recheneinrichtungen durchgeführt werden, die eine VPN-Client-Software aufweisen. Eine solche Aktualisierungsprozedur für eine Vielzahl von mobilen Recheneinrichtungen ist typischerweise recht umständlich und zeitintensiv.
  • Generell beschränken diese Aspekte sicherlich die vielfältige und universelle Verwendbarkeit des oben beschriebenen VPN-basierten sicheren Authentifizierungssystems.
  • Die Druckschrift US 2004/078571 A1 beschreibt ein Verfahren und ein System zur Authentifizierung bei einer Datenübertragung. Das System umfasst einen Client, der als Mobilgerät ausgelegt sein kann und eine Computereinheit enthält. Der Client sendet an einen mit dem Internet verbundenen Dienstserver eine Anforderung gemäß einem Benutzerbefehl. Im Zusammenhang mit einer ersten Authentifizierung wird eine weitere Anforderung an einen so genannten Ticket-granting Server TGS gesandt, der ebenfalls mit dem Internet verbunden ist und der den Client mittels eines Authentifizierungs-Datenelements erkennt und so eine Zugriffsberechtigung mit begrenzter Lebensdauer erzeugt. Der Client benutzt dann diese Zugriffsberechtigung, um auf den gewünschten Dienst zuzugreifen.
  • Aus der Druckschrift US 2003/061512 A1 ist ein Verfahren und ein System zur Authentifizierung eines Benutzers während eines Zugriffs auf den Computer eines internetbasierten Dienstanbieters bekannt. Eine Anzahl von Clients, z.B. Mobilgeräte und/oder stationäre Computer, kann mit einem Netz verbunden werden. Ein Benutzer, der mittels seiner Teilnehmereinrichtung, d.h. eines bestimmten Clients, einen Dienst anfordert, wird zunächst aufgefordert, Identifizierungsdaten anzugeben, die zur Erzeugung eines Token verwendet werden. Das Token wird zusammen mit einer modifizierten Dienstanforderung zum Benutzer zurückgesandt. Der Benutzer-Client leitet die modifizierte Anforderung und das Token automatisch an einen jeweiligen Dienstanbieter weiter, der für eine üblicherweise begrenzte Zeit einen Zugriff des Benutzers erlaubt.
  • Die Druckschrift US 6,421,768 B1 beschreibt ein Verfahren zum Verbinden des Computers eines Benutzers über einen ersten Computer mit einem zweiten Computer, ohne dass eine Authentifizierung durch den zweiten Computer erforderlich ist, wenn der Benutzer bereits durch den ersten Computer authentifiziert wurde. Dazu überträgt der Benutzer eine Anforderung und zugehörige Authentifizierungsinformationen von seinem Computer zu dem ersten Computer, der ein Cookie zurücksendet, welches einen digitalen Beleg mit begrenzter Lebensdauer enthält. Anschließend überträgt der Computer des Benutzers mindestens den Beleg zum zweiten Computer und erlangt so Zugriff auf den zweiten Computer, der an das Internet angeschlossen sein kann.
  • Diese Lösungsansätze des Standes der Technik haben insbesondere den gemeinsamen Nachteil, dass die Flexibilität des Benutzerzugriffs auf das Netz begrenzt ist, da ein Zugriff nur mittels der Recheneinrichtung erlangt werden kann, die mit dem Netz zu verbinden ist.
  • Die vorliegende Erfindung will deshalb ein sicheres Authentifizierungssystem angeben und realisieren, bei dem es nicht erforderlich ist, ein netzspezifisches Hardware-Teil, wie z.B. ein Token, mitzuführen. Weiterhin ist es Aufgabe der vorliegenden Erfindung, die Nachteile des oben erwähnten Standes der Technik zu vermeiden und somit ein Verfahren der oben erwähnten Art anzugeben, das einen höchst flexiblen Zugriff einer Vielzahl von Benutzern auf eine Vielzahl von Netzen erlaubt, z.B. dadurch, dass es einen gegenseitigen Austausch jeder Recheneinrichtung zwischen einer Vielzahl von Benutzern oder Angestellten einer Firma ermöglicht.
  • Zusammenfassung der Erfindung
  • Die vorliegende Erfindung gibt ein Verfahren zum Authentifizieren eines Benutzers gegenüber einem Netz an. Der Benutzer bedient sich mindestens einer Recheneinrichtung. Die IP-Verbindung zwischen dem Netz und der mindestens einen Recheneinrichtung wird durch eine mobile Telekommunikationseinrichtung bereitgestellt. Bei dem erfindungsgemäßen Verfahren zur Authentifizierung des Benutzers gegenüber dem Netz wird ein vorübergehendes Passwort von einem Dienstanbieter angefordert, indem eine Zugriffsanforderung zum Dienstanbieter übertragen wird. Diese Zugriffsanforderung wird mittels der mobilen Telekommunikationseinrichtung übertragen. Nachdem die Zugriffsanforderung beim Dienstanbieter eingegangen ist, wird sie anhand einer Benutzerauthentifizierungs-Datenbank überprüft. Ist der Benutzer berechtigt, auf das Netz zuzugreifen, dann wird die entsprechende Zugriffsanforderung durch den Dienstanbieter bestätigt ("asserted") und daraufhin das vorübergehende Passwort erzeugt.
  • Im Gegensatz zu der Lösung nach dem Stand der Technik, wo der Benutzer des Firmennetzes ein netzspezifisches Hardware-Token mitführen muss, sieht die Erfindung eine Übermittlung des einmaligen Passworts an den Benutzer unter Verwendung einer mobilen Telekommunikationseinrichtung, wie z.B. eines Mobiltelefons, vor. Der Benutzer, der sich gegenüber einem Netz authentifizieren will, überträgt mittels seines Mobiltelefons eine dedizierte Zugriffsanforderung an einen Dienstanbieter. Der Dienstanbieter stellt dann die Funktionalität des vorherigen Hardware-Tokens bereit und erzeugt das netzspezifische einmalige Passwort für den Benutzer. Typischerweise erfolgt die Erzeugung des netzspezifischen einmaligen Passworts durch den Dienstanbieter nur in Abhängigkeit von einer Bestätigung der Identität des Benutzers und der Zugriffsberechtigung des Benutzers auf das Netz.
  • Das erfindungsgemäße Verfahren kann in vorhandenen Mobilkommunikationsnetzen durch Erweiterung der Leistungsfähigkeiten eines Telekommunikationsanbieters realisiert werden. Deshalb muss der Telekommunikationsanbieter eine Benutzerauthentifizierungs-Datenbank verwalten, die Informationen darüber bereitstellt, ob ein bestimmter Benutzer berechtigt ist, auf ein einzelnes Netz zuzugreifen. Darüber hinaus kann die Benutzerauthentifizierungs-Datenbank verschiedene Authentifizierungsstufen und verschiedene Stufen von Zugriffsrechten eines Benutzers eines Netzes angeben.
  • Die Überprüfung der Zugriffsanforderung und die Erzeugung des vorübergehenden Passworts müssen nicht notwendigerweise durch den Telekommunikationsanbieter erfolgen. Auch kann der erfindungsgemäße Authentifizierungsdienst durch jeden anderen Anbieter bereitgestellt werden. Es muss nur sichergestellt sein, dass der angeforderte Dienst, d.h. die Bereitstellung eines vorübergehenden Passworts für den Benutzer, über ein Mobiltelefon zugänglich ist.
  • Auf diese Weise wird ein Benutzer in die Lage versetzt, sich z.B. gegenüber einem Firmennetz zu authentifizieren und eine VPN-Verbindung zu diesem aufzubauen, ohne ein netzspezifisches Hardware-Token mitzuführen. Somit ist die gesamte Funktionalität eines Hardware-Tokens, wie es aus dem Stand der Technik bekannt ist, in effektiver Weise durch Einrichtung eines entsprechenden Dienstes mittels eines Dienstanbieters ersetzt, der über ein Mobiltelefon des Benutzers zugänglich ist. In vorteilhafter Weise muss der Benutzer keine zusätzliche Hardware-Einrichtung mehr mitführen, die nur dazu dient, ein vorübergehendes Passwort für eine Authentifizierung gegenüber einem VPN-Netz bereitzustellen. Somit kann sich ein Benutzer durch Verwendung seiner mobilen Telekommunikationseinrichtung auch gegenüber einer Vielzahl von unterschiedlichen Netzen authentifizieren.
  • Darüber hinaus ermöglicht die mobile Telekommunikationseinrichtung auch einen physikalischen Zugang zu dem Firmennetz. Somit ergibt sich eine doppelte Funktionalität der mobilen Telekommunikationseinrichtung. Erstens ermöglicht sie eine Kommunikation mit einem Dienstanbieter, um das benötigte Passwort zu erhalten – eine Funktionalität, die ein Hardware-Token in effektiver Weise ersetzt. Zweitens stellt sie einen physikalischen Zugang zu einem Netz sowie die IP-basierte Verbindung zwischen der mobilen Recheneinrichtung und dem Netz bereit.
  • Wenn der Benutzer die Zugriffsanforderung zum Dienstanbieter überträgt, gibt er auch an, auf welches der Vielzahl von Netzen er zuzugreifen wünscht. Deshalb enthält die Zugriffsanforderung zumindest einen Hinweis auf eine Benutzerkennung und ein Netz, auf das der Benutzer zugreifen will. Abhängig von den durch die Zugriffsanforderungen gegebenen Parametern kann der Dienstanbieter nun das entsprechende einmalige Passwort erzeugen. Auf diese Wiese wird die Funktionalität einer Vielzahl von Hardware-Token mit Hilfe des Dienstanbieters zusammengeführt ("merged").
  • Nach einem bevorzugten Ausführungsbeispiel der Erfindung umfasst das Verfahren weiterhin den Aufbau der IP-basierten Verbindung zwischen der mindestens einen Recheneinrichtung und dem Netz mittels der mobilen Telekommunikationseinrichtung. Die mobile Telekommunikationseinrichtung ist weiterhin so ausgelegt, dass sie die IP-basierte Verbindung abhängig vom Empfang des vorübergehenden Passworts vom Dienstanbieter aufbaut. Falls kein vorübergehendes Passwort vom Dienstanbieter zur mobilen Telekommunikationseinrichtung übertragen wird, wird der Zugriff auf das Netz sowie der Aufbau der IP-basierten Verbindung zwischen dem Netz und der mindestens einen Recheneinrichtung verweigert.
  • Die mobile Telekommunikationseinrichtung ist deshalb außerdem so ausgelegt, dass sie mit der mindestens einen Recheneinrichtung des Benutzers mittels einer geeigneten Kommunikationsschnittstelle kommuniziert, und zwar entweder über eine steckbare Kabelverbindung oder mittels einer drahtlosen Datenübertragung, die z.B. auf Hochfrequenz- oder Infrarot-Übertragungsprotokollen, wie z.B. Bluetooth® oder IrDA® (weitere Einzelheiten unter www.bluetooth.org oder www.irda.org), basieren kann. Weiterhin ist die mobile Telekommunikationseinrichtung so ausgelegt, dass sie eine Nachrichtenverbindung zwischen dem Netz und einer Vielzahl unterschiedlicher Recheneinrichtungen bereitstellt, auch im Simultanbetrieb. So kann durch vollständige Realisierung des sicheren Zugriffsmechanismus in der mobilen Telekommunikationseinrichtung unabhängig von der eigentlichen Recheneinrichtung ein sicherer Zugriff auf das Netz gewährleistet werden.
  • Nach Erzeugung des vorübergehenden Passworts durch den Dienstanbieter wird das Passwort vom Dienstanbieter zur mobilen Telekommunikationseinrichtung übertragen. Die mobile Telekommunikationseinrichtung kann wiederum so ausgelegt sein, dass sie die IP-Verbindung zum Netz autonom aufbaut und den Benutzer gegenüber dem Netz authentifiziert. Der Aufbau der IP-Verbindung sowie die Authentifizierung in Abhängigkeit vom Empfangs des vorübergehenden Passworts können unter Mitwirkung des Benutzers erfolgen. Deshalb ist es möglich, dass der Benutzer nach Empfang des vorübergehenden Passworts die Ausführung der Authentifizierungsprozedur bestätigen muss. Durch Integration von IP-Verbindungsaufbau und Authentifizierung in eine einzige benutzerspezifische oder personalisierte Einrichtung kann jedoch eine Authentifizierung gegenüber einem Firmennetz allein mittels der personalisierten mobilen Telekommunikationseinrichtung vollständig automatisiert werden.
  • Nach einem weiteren bevorzugten Ausführungsbeispiel der Erfindung umfasst die Anforderung des vorübergehenden Passworts vom Dienstanbieter weiterhin eine Authentifizierung des Benutzers gegenüber dem Dienstanbieter. Ist der Dienstanbieter zum Beispiel ein Mobilkommunikationsanbieter, dann muss der Benutzer für einen Zugriff auf Dienste des Mobilkommunikationsanbieters eine geeignete Karte, wie z.B. eine persönliche Berechtigungskarte (subscriber identity module – SIM) in Kombination mit einer entsprechenden persönlichen Identifikationsnummer (personal identification number – PIN), verwenden. Nachdem der Benutzer berechtigt ist, auf die Dienste des Telekommunikationsanbieters zuzugreifen, kann die Anforderung des vorübergehenden Passworts für eine Authentifizierung gegenüber dem VPN-Netz einen zusätzlichen Authentifizierungsschritt erfordern, der durch Eingabe einer zusätzlichen PIN implementiert werden kann. Auf diese Weise wird ein effektiver zusätzlicher Schutzmechanismus für den Empfang des vorübergehenden Passworts implementiert.
  • Bei Hardware-Token, die aus dem Stand der Technik bekannt sind, kann die Eingabe einer PIN erforderlich sein, um ein einmaliges Passwort zu erhalten. Eine solche PIN-Anforderung, welche die Erzeugung des vorübergehenden Passworts aktiviert, kann im erfindungsgemäßen Verfahren auf analoge Weise implementiert werden. Daher muss die zum Dienstanbieter übertragene Zugriffsanforderung weiter eine entsprechende PIN umfassen, die dazu dient, den Benutzer des Mobilgeräts für den Empfang des vorübergehenden Passworts zu authentifizieren.
  • Dieses einen Missbrauch der das vorübergehende Passwort erzeugenden Funktionalität des Dienstanbieters verhindernde Authentifizierungsverfahren wird typischerweise auf dem Zugriffssystem des Dienstanbieters realisiert. Dieses Zugriffssystem des Dienstanbieters besteht typischerweise aus einer Kombination von SIM-Karte und SIM-Karte-spezifischer PIN. So muss der Benutzer, um das vorübergehende einmalige Passwort vom Dienstanbieter zu empfangen, eine erste PIN in die mobile Telekommunikationseinrichtung eingeben, um auf den Dienstanbieter zuzugreifen. Dann kann der Dienstanbieter für den Empfang des vorübergehenden Passworts eine zweite PIN für die Berechtigung des Benutzers in Bezug auf das VPN-Netz verlangen. Vorzugsweise sind diese erste und die zweite PIN als statische Passworte implementiert, die vom Benutzer beliebig konfiguriert werden können.
  • Nach einem weiteren bevorzugten Ausführungsbeispiel der Erfindung umfasst die zum Dienstanbieter übertragene Zugriffsanforderung außerdem zumindest eine Netzkennung und eine Kennung der mobilen Telekommunikationseinrichtung. Die Kennung der mobilen Telekommunikationseinrichtung gibt die Identität des Benutzers an. Im Rahmen einer mobilen Telekommunikation wird jedem Kommunikationspartner eine individuelle Nummer zugeordnet, wie z.B. eine Nummer des Mobiltelefons. Mittels dieser Mobiltelefonnummer kann der Benutzer des jeweiligen Mobiltelefons identifiziert werden. Eine Zuordnung zwischen einem Benutzer und einer Telefonnummer wird typischerweise mittels einer Kennung der SIM-Karte des Mobiltelefons realisiert. Auf diese Weise wird die Benutzeridentität durch Übertragung der Zugriffsanforderung zum Dienstanbieter inhärent gelöst.
  • Da die Zugriffsanforderung auch eine Kennung des Netzes angibt, erhält der Dienstanbieter genügend Informationen für die Erzeugung des vorübergehenden Passworts. Die Benutzerberechtigungs-Datenbank, die vom Dienstanbieter verwaltet wird, liefert die erforderliche Information, ob ein bestimmter Benutzer berechtigt ist, auf ein einzelnes Netz zuzugreifen. Somit kann die Zugriffsanforderung anhand der Benutzerauthentifizierungs-Datenbank ausreichend überprüft werden. Die Benutzerauthentifizierungs-Datenbank ermöglicht es also in effektiver Weise, eine Zugriffsanforderung zu bestätigen oder abzulehnen und so die Erzeugung eines vorübergehenden Passworts und dessen Übertragung zum Benutzer freizugeben oder zu sperren.
  • Nach einem weiteren bevorzugten Ausführungsbeispiel der Erfindung kann das vorübergehende Passwort zwischen einem Authentifizierungsmodul und einem Kommunikationsmodul der mobilen Telekommunikationseinrichtung übertragen werden. Somit kann die doppelte Funktionalität der mobilen Telekommunikationseinrichtung mittels zweiter getrennter Module der Telekommunikationseinrichtung realisiert werden. Typischerweise ermöglicht das Authentifizierungsmodul die Anforderung und den Empfang des vorübergehenden Passworts vom Dienstanbieter, während das Kommunikationsmodul geeignet ist, die IP-Verbindung zum Netz aufzubauen. Diese Aufteilung in zwei getrennte Module ermöglicht eine zusätzliche Zugriffskontrolle, wenn die Übertragung des vorübergehenden Passworts vom Authentifizierungsmodul zum Kommunikationsmodul eine Eingabeaufforderung für den Benutzer erfordert. Somit kann eine unbeabsichtigte Berechtigungszuweisung und ein unbeabsichtigter Verbindungsaufbau wirkungsvoll verhindert werden.
  • Alternativ kann dieser Schutzmechanismus vom Benutzer abgeschaltet werden. In diesem Fall kann das vorübergehende Passwort nach Empfang vom Dienstanbieter zwischen dem Authentifizierungsmodul und dem Kommunikationsmodul autonom übertragen werden. Auf diese Weise kann der Aufbau der IP-Verbindung zwischen einem Firmennetz und einer mindestens ersten mobilen Telekommunikationseinrichtung ohne jede Mitwirkung des Benutzers erfolgen. Der Benutzer muss eventuell lediglich die Authentifizierungsprozedur aufrufen, indem er eine Anforderungsfunktion für ein einmaliges Passwort an seiner mobilen Telekommunikationseinrichtung auswählt und die erste und/oder die zweite PIN eingibt.
  • Nach einem weiteren bevorzugten Ausführungsbeispiel der Erfindung ist das Netz als IN-basiertes virtuelles privates Netz (VPN) realisiert. Das VPN-Netz umfasst einen VPN-Gateway, und die mobile Telekommunikationseinrichtung umfasst einen VPN-Client. Weiterhin kann die mindestens eine Recheneinrichtung als jede beliebige Art von Rechenreinrichtung realisiert sein, wie z.B. als bei einem Angestellten zu Hause fest installierter Arbeitsplatzrechner, als mobiler Laptop-Computer für weltweiten Zugriff auf das Firmennetz oder als Personal Digital Assistant (PDA).
  • Auf diese Weise ist die gesamte Funktionalität des sicheren Zugriffssystems in der mobilen Telekommunikationseinrichtung implementiert, die somit für eine Vielzahl verschiedener Recheneinrichtungen einen sicheren VPN-basierten Zugriff auf ein Firmennetz ermöglicht. Im Prinzip benötigt keine der Recheneinrichtungen einen netz- oder recheneinrichtungsspezifischen VPN-Client. Somit ist das gesamte sichere Zugriffssystem in einer persönlichen Einrichtung, wie z.B. in einem Mobiltelefon, implementiert.
  • Damit kann ein Benutzer – unabhängig von einer bestimmten mobilen oder fest installierten Recheneinrichtung – auf ein virtuelles privates Netz allein durch Verwendung seiner personalisierten mobilen Telekommunikationseinrichtung zugreifen. Folglich kann sogar dieselbe Recheneinrichtung von verschiedenen Benutzern gemeinsam genutzt werden, wobei jeder von diesen über seine eigene mobile Telekommunikationseinrichtung einen personalisierten, sicheren Zugriff auf das VPN hat. Damit ist eine Installierung von berechtigungsbezogener Software auf einer Recheneinrichtung, wie z.B. einem VPN-Client, nicht mehr erforderlich, wodurch die Software-Pflege für die Recheneinrichtungen reduziert werden kann. Dies ist besonders vorteilhaft, wenn zum Beispiel ein Angestellter mehrere Recheneinrichtungen nutzt, von denen jede einen Verbindungsaufbau zum und eine Autorisierung gegenüber einem VPN erfordert. In diesem Fall muss eine verfügbare Software-Aktualisierung eines VPN-Clients lediglich einmal auf der mobilen Telekommunikationseinrichtung des Angestellten aktualisiert werden und nicht mehrmals für jede der Vielzahl von Recheneinrichtungen.
  • Gemäß einer Weiterbildung der Erfindung ist die Funktionalität der Recheneinrichtung und der mobilen Telekommunikationseinrichtung in einer einzigen multifunktionalen Einrichtung, wie z.B. Mobiltelefonen mit integrierten Recheneinrichtungen, die Web-Browsing, E-Mail-Dienst, Textverarbeitungsanwendungen und dergleichen ermöglichen, integriert und zusammengeführt.
  • Nach einem anderen Aspekt gibt die Erfindung eine mobile Telekommunikationseinrichtung zur Authentifizierung eines Benutzers gegenüber einem Netz mittels eines vorübergehenden Passworts an. Der Benutzer benötigt das vorübergehende Passwort, um sich gegenüber dem Netz zu authentifizieren. Die mobile Telekommunikationseinrichtung umfasst Mittel zum Übertragen einer Zugriffsanforderung zu einem Dienstanbieter, wobei das vorübergehende Passwort vom Dienstanbieter in Abhängigkeit von einer Bestätigung der Zugriffsanforderung erzeugt wird. Weiterhin umfasst die erfindungsgemäße mobile Telekommunikationseinrichtung Mittel zum Aufbau der IP-basierten Verbindung zwischen mindestens einer Recheneinrichtung und dem Netz. Die Mittel zum Aufbau der IP-basierten Verbindung sind so ausgelegt, dass sie die Verbindung abhängig vom Empfang des vorübergehenden Passworts vom Dienstanbieter aufbauen.
  • Die mobile Telekommunikationseinrichtung stellt eine doppelte Funktionalität bereit. Erstens ermöglicht sie die Absetzung einer Zugriffsanforderung an den Dienstanbieter und, im Falle einer Bestätigung der Zugriffsanforderung, den Empfang eines entsprechenden vorübergehenden Passworts. Zweitens ermöglicht die mobile Telekommunikationseinrichtung den Aufbau einer sicheren IP-Verbindung zwischen mindestens einer Recheneinrichtung und dem Netz unter Verwendung des empfangenen vorübergehenden Passworts. Somit kann die mobile Telekommunikationseinrichtung den Benutzer gegenüber dem Netz autonom authentifizieren, indem sie das empfangene vorübergehende oder einmalige Passwort an das Netz sendet. Auf diese Weise wird ein sicheres Zugriffssystem ausschließlich durch die erfindungsgemäße mobile Telekommunikationseinrichtung bereitgestellt.
  • Ein denkbares, besonders kostengünstiges Ausführungsbeispiel der mobilen Telekommunikationseinrichtung kann durch Verwendung eines im Handel erhältlichen Mobiltelefons realisiert werden, das eine programmierbare Funktionalität und geeignete Datenübertragungskapazitäten bereitstellt. So kann eine spezifische Anwendersoftware auf dem vorhandenen Mobiltelefon installiert werden, die es erlaubt, einen dedizierten Menüeintrag auf dem Mobiltelefon auszuwählen, der geeignet ist, die Zugriffsanforderung zum Dienstanbieter zu übertragen. Auf diese Weise kann das erfindungsgemäße Authentifizierungsverfahren vom Standpunkt des Benutzers aus universell realisiert werden, indem eine geeignete Anwendersoftware auf seinem programmierbaren Mobiltelefon installiert wird. Solche Anwendersoftware kann in Form von Java-Applikationen oder Java-Applets bereitgestellt werden, die von dem Telekommunikations- oder Dienstanbieter unterstützt werden können. Durch dieses Merkmal ist das erfindungsgemäße Authentifizierungssystem für einen großen Benutzerbereich universell anwendbar.
  • Darüber hinaus muss die mobile Kommunikationseinrichtung eine Kommunikationsschnittstelle bereitstellen, die es ermöglicht, Daten zwischen der mindestens einen Recheneinrichtung und dem Netz zu übertragen. Deshalb kann die mobile Telekommunikationseinrichtung mit einer geeigneten Kommunikationsschnittstelle versehen sein, entweder in der Ausführung einer steckbaren Kabelschnittstelle oder in einer drahtlosen Realisierung, die auf HF- oder Infrarot-Datenübertragung basieren kann.
  • Zusätzlich kann die mobile Telekommunikationseinrichtung auch zur Übertragung von Daten zu einer Vielzahl von Recheneinrichtungen dienen. Somit kann sie auch als Router wirken.
  • Nach einem weiteren Aspekt gibt die Erfindung einen Authentifizierungsserver zur Erzeugung eines vorübergehenden Passworts an, das ein Benutzer benötigt, um sich gegenüber einem Netz zu authentifizieren. Der erfindungsgemäße Authentifizierungsserver umfasst Mittel zum Verarbeiten einer Zugriffsanforderung vom Benutzer, Mittel zum Überprüfen der Zugriffsanforderung anhand einer Benutzerauthentifizierungs-Datenbank und Mittel zum Erzeugen des vorübergehenden Passworts. Hier wird die Zugriffsanforderung zum Authentifizierungsserver unter Verwendung einer mobilen Telekommunikationseinrichtung übertragen. Die Mittel zum Überprüfen der vom Authentifizierungsserver empfangenen Zugriffsanforderung sind geeignet, die Zugriffsanforderung zu bestätigen, wenn der Benutzer berechtigt ist, auf das Netz zuzugreifen.
  • Die Berechtigung des Benutzers oder mehrerer Benutzer gegenüber verschiedenen Netzen wird von der Benutzerauthentifizierungs-Datenbank bereitgestellt. Die Mittel zum Erzeugen des vorübergehenden Passworts sind insbesondere so ausgelegt, dass sie das vorübergehende Passwort nur in Falle einer Bestätigung der Zugriffsanforderung erzeugen. Somit sorgt der Authentifizierungsserver für eine Überprüfung und Bestätigung der Zugriffsanforderung und, wenn diese bestätigt wurde, für die Erzeugung des entsprechenden vorübergehenden Passworts. Typischerweise wird der Authentifizierungsserver von einem Telekommunikationsanbieter oder ähnlichen Anbieter so bereitgestellt und verwaltet, dass der Dienst des Authentifizierungsservers von einer mobilen Telekommunikationseinrichtung aus, wie z.B. von einem Mobiltelefon, zugänglich ist.
  • Nach einem weiteren bevorzugten Ausführungsbeispiel der Erfindung enthält die Benutzerauthentifizierungs-Datenbank des Authentifizierungsservers Authentifizierungsdaten mindestens eines Benutzers und mindestens eines Netzes. Die in der Benutzerauthentifizierungs-Datenbank gespeicherten Daten geben an, welcher der Benutzer berechtigt ist, auf eines der Netze zuzugreifen.
  • Nach einem weiteren Aspekt gibt die Erfindung ein Computerprogramm-Produkt für eine mobile Telekommunikationseinrichtung zur Authentifizierung eines Benutzers gegenüber einem Netz mittels eines vorübergehenden Passworts an. Das vorübergehende Passwort wird vom Netz für die Authentifizierung des Benutzers gegenüber dem Netz, typischerweise gegenüber dem VPN-Netz, benötigt. Das Computerprogramm-Produkt umfasst Programmmittel, die geeignet sind, eine Zugriffsanforderung des Benutzers zu verarbeiten, die Zugriffsanforderung zum Dienstanbieter zu übertragen und das vorübergehende Passwort vom Dienstanbieter zu empfangen. Hier wird das vorübergehende Passwort durch den Dienstanbieter in Abhängigkeit von der Bestätigung der Zugriffsanforderung erzeugt. Schließlich umfasst das Computerprogramm-Produkt für die mobile Telekommunikationseinrichtung Programmmittel zur direkten Übertragung des vorübergehenden Passworts zum Netz, um den Benutzer gegenüber dem Netz zu authentifizieren und eine IP-basierte Verbindung zwischen dem Netz und mindestens einer Recheneinrichtung über die mobile Telekommunikationseinrichtung aufzubauen, wobei die Programmmittel so ausgelegt sind, dass sie die IP-basierte Verbindung in Abhängigkeit vom Empfang des vorübergehenden Passworts vom Dienstanbieter aufbauen.
  • Nach einem weiteren Aspekt gibt die Erfindung ein Computerprogramm-Produkt für einen Authentifizierungsserver zum Erzeugen eines vorübergehenden Passworts an, das ein Benutzer benötigt, um sich gegenüber dem Netz zu authentifizieren. Das Computerprogramm-Produkt umfasst Programmmittel, die geeignet sind, eine Zugriffsanforderung vom Benutzer zu verarbeiten, die Zugriffsanforderung anhand einer Benutzerauthentifizierungs-Datenbank zu überprüfen und das vorübergehende Passwort nur im Falle einer Bestätigung der Zugriffsanforderung zu erzeugen. Die Zugriffsanforderung wird mit Hilfe der Benutzerauthentifizierungs-Datenbank bestätigt. Insbesondere wird die Zugriffsanforderung bestätigt, wenn der Benutzer berechtigt ist, auf das Netz zuzugreifen. Die Zugriffsanforderung wird mittels einer mobilen Telekommunikationseinrichtung des Benutzers zum Authentifizierungsserver übertragen, und das vorübergehende Passwort wird zur mobilen Telekommunikationseinrichtung rückübertragen, wenn die Zugriffsanforderung bestätigt wird.
  • Kurze Beschreibung der Zeichnungen
  • Nachfolgend werden bevorzugte Ausführungsbeispiele der Erfindung unter Bezugnahme auf die Zeichnungen näher erläutert. Es zeigen:
  • 1 ein Blockdiagramm eines ersten Ausführungsbeispiels des erfindungsgemäßen Authentifizierungsverfahrens;
  • 2 ein Blockdiagramm eines zweiten Ausführungsbeispiels der Erfindung mit einem ersten und einem zweiten Netz sowie ersten und zweiten Recheneinrichtungen;
  • 3 ein Blockdiagramm, das die interne Struktur des Dienstanbieters veranschaulicht; und
  • 4 schematisch ein grundlegendes Ausführungsbeispiel der Benutzerauthentifizierungs-Datenbank.
  • Ausführliche Beschreibung
  • 1 zeigt schematisch eine Umgebung oder Infrastruktur zur Realisierung des erfindungsgemäßen Authentifizierungsverfahrens. Ein Benutzer 100 möchte über eine Recheneinrichtung 104 auf ein Netz 102 zugreifen. Der Benutzer 100 hat auch Zugang zu seinem persönlichen Mobilgerät 106, das wiederum geeignet ist, mit dem Dienstanbieter 108 zu kommunizieren und eine IP-basierte Verbindung zum Netz 102 aufzubauen. Für einen Zugriff auf das Netz 102 ist eine Authentifizierung gegenüber dem Netz 102 erforderlich. Diese Authentifizierung wird typischerweise von dem Netz-Gateway 112 durchgeführt.
  • Nach erfolgreicher Authentifizierung gegenüber dem Netz 102 baut das Mobilgerät 106 eine Verbindung 110 zum Netz 102 und eine Verbindung 114 zur Recheneinrichtung 104 auf. Somit ist die Funktionalität des Mobilgeräts 106 doppelt. Einerseits ermöglicht sie die Übermittlung einer Zugriffsanforderung zum Dienstanbieter 108 und den empfang eines vorübergehenden und/oder einmaligen Passworts vom Dienstanbieter, um den Benutzer 100 gegenüber dem Netz 102 zu authentifizieren. Andererseits baut das Mobilgerät 106 auch die IP-basierte Verbindung zwischen der Recheneinrichtung 104 und dem Netz 102 über Verbindungen 114 und 110 auf. Typischerweise sind das dargestellte Netz 102 und sein Gateway 112 als VPN-Netz bzw. VPN-Gateway realisiert.
  • Das vorübergehende und/oder einmalige Passwort wird vom Dienstanbieter 108 erzeugt und zum Mobilgerät 106 übertragen. Typischerweise kann das Mobilgerät 106 als Mobiltelefon realisiert sein, das eine bidirektionale Kommunikation mit dem Dienstanbieter 108 erlaubt. Um das vorübergehende Passwort vom Dienstanbieter zu erhalten, kann der Benutzer 100 eine Zugriffsanforderung auf dem Mobilgerät 106 aufrufen. Das Mobilgerät 106 wiederum dient dazu, diese Zugriffsanforderung zum Dienstanbieter 108 zu übertragen. Der Dienstanbieter 108 verarbeitet dann diese empfangene Zugriffsanforderung, bestätigt die Zugriffsanforderung, d.h., prüft die Berechtigung des Benutzers, auf das Netz 102 zuzugreifen, erzeugt das vorübergehende Passwort unter Verwendung eines dedizierten Passworterzeugungssystems und überträgt das erzeugte vorübergehende und/oder einmalige Passwort zum Mobilgerät 106.
  • Das Mobilgerät 106 kann das empfangene vorübergehende Passwort dem Benutzer 100 anzeigen. Der Benutzer 100 kann dann über das angezeigte Passwort geführt werden, um eine Authentifizierungsprozedur zu bestätigen, die vom Mobilgerät 106 autonom durchgeführt wird. Wenn der Benutzer 100 bestätigt, dass er auf das Netz 102 zugreifen und sich diesem gegenüber authentifizieren will, überträgt das Mobilgerät 106 eine Benutzerkennung und das entsprechende vorübergehende Passwort zum Gateway 112 des Netzes 102. Bei Empfang der korrekten Kombination von vorübergehendem Passwort und Benutzerkennung wird der Benutzer dann für einen Zugriff auf das Netz 102 authentifiziert.
  • Alternativ kann der Benutzer 100 eine vollständig automatisierte Authentifizierungsprozedur aufrufen, bei der keine Benutzerführung erforderlich ist. In diesem Fall ruft der Benutzer 100 die Authentifizierungsprozedur durch Eingabe eines jeweiligen Befehls in das Mobilgerät 106 auf. Das Mobilgerät 106 überträgt dann eine entsprechende Zugriffsanforderung zum Dienstanbieter 108 und sendet das vom Dienstanbieter 108 empfangene vorübergehende Passwort autonom an das Netz 102. Das Mobilgerät 106 führt somit eine Authentifizierung des Benutzers 100 gegenüber dem Netz 102 autonom durch und baut eine IP-basierte Verbindung zwischen der Recheneinrichtung 104 und dem Netz 102 auf.
  • Damit ersetzt das Mobilgerät in Kombination mit dem Dienstanbieter 108 in effektiver Weise ein mittels Hardware realisiertes Token, das geeignet ist, ein netzspezifisches vorübergehendes Passwort zu erzeugen. Weiterhin braucht der Benutzer keine zusätzliche Hardware-Einrichtung mehr mitzuführen, die lediglich geeignet ist, vorübergehende einmalige Passworte zu erzeugen. Die Erfindung basiert darauf, dass das Mobilgerät 106 ein persönliches Eigentum des Benutzers 100 ist. Durch Implementierung der passwortanfordernden Funktionalität im Mobilgerät 106 übernimmt dieses in effektiver Weise die Funktionalität eines Hardware-Tokens, wie es aus dem Stand der Technik bekannt ist.
  • Die Verbindungen 110 und 114 zwischen der Recheneinrichtung 104 und dem Netz 102 können im Prinzip durch jede Art von Verbindung realisiert werden, die eine Datenübertragung zwischen einer Recheneinrichtung und einem Netz ermöglicht. Zum Beispiel kann die Verbindung durch eine auf einem 56-Kbit-Modem basierende Verbindung, eine ISDN-Verbindung oder eine DSL-Verbindung realisiert sein. Die Verbindung kann auch als drahtlose Verbindung realisiert sein und z.B. auf WLAN-, IEEE 802.11- oder anderen Hochfrequenz(RF)- oder Infrarot(IR)- basierten Kommunikationsprotokollen basieren.
  • 2 zeigt schematisch ein internetbasiertes Ausführungsbeispiel der erfindungsgemäßen Authentifizierungsprozedur in einer detaillierteren und etwas komplexeren Darstellung. Auch hier verwendet der Benutzer 100 das Mobilgerät 106, um ein vorübergehendes Passwort vom Dienstanbieter 108 zu empfangen und auf ein Netz 102, 122 zuzugreifen. Im Gegensatz zu dem in 1 dargestellten Ausführungsbeispiel kann der Benutzer 100 auf eines oder mehrere Netze 102, 122 entweder getrennt über zwei getrennte IP-Verbindungen 110, 120 oder unter Verwendung des Internets zugreifen, in das die beiden Netze 102, 122 eingebettet sein können. Zusätzlich kann das Mobilgerät 106 für eine Vielzahl von Recheneinrichtungen 104, 116 über Nachrichtenverbindungen 114, 118 Zugriff auf die Netze 102, 122 ermöglichen. Außerdem weist das Mobilgerät 106 einen VPN-Client auf, der geeignet ist, durch Interaktion mit den jeweiligen Netz-Gateways 112, 124 eine VPN-basierte Authentifizierungs- und Zugriffsprozedur in Bezug auf die Netze 102, 122 durchzuführen.
  • Insbesondere muss dadurch, dass der VPN-Client 126 im Mobilgerät 106 implementiert ist, auf keiner der Recheneinrichtungen 114, 116 mehr VPN-bezogene Software installiert und gewartet werden. Dies ermöglicht einen sicheren Zugriff auf eine Vielzahl von Netzen 102, 122 mit den verschiedensten Recheneinrichtungen 104, 116, indem ein einziges, personalisiertes Gerät 106 verwendet wird, das als Mobiltelefon realisiert sein kann und das typischerweise vom Benutzer 100 ohnehin mitgeführt wird. Darüber hinaus ist es bei diesem Zugriffssystem möglich, jede der Recheneinrichtungen 104, 116 unter einer Vielzahl von Benutzern 100 oder Angestellten einer Firma auszutauschen. Es muss lediglich sichergestellt sein, dass die Recheneinrichtungen 104, 116 in der Lage sind, mit dem Mobilgerät 106 über Nachrichtenverbindungen 114, 118 zu kommunizieren, die entweder als steckbare Drahtverbindungen unter Verwendung einer Standard-Schnittstelle, wie z.B. dem Universal Serial Bus (USB), ausgeführt sind oder ein Protokoll für drahtlose Übertragung verwenden, das auf HF- oder Infrarot-Übertragungstechniken basieren kann.
  • Die Zugriffskontrolle auf die Netze 102, 122 kann mittels einer Authentifizierungs-Datenbank realisiert werden, die vom Dienstanbieter 108 verwaltet wird und angibt, auf welches der Netze 102, 122 der Benutzer 100 zugreifen darf. Zum Beispiel kann der Zugriff auf Netz 102 gesperrt, dagegen der Zugriff auf Netz 122 erlaubt sein. Wenn in diesem Fall der Benutzer über sein Mobilgerät 106 dem Dienstanbieter 108 eine Zugriffsanforderung sendet, wird er nur dann ein vorübergehendes Passwort erhalten, wenn die Zugriffsanforderung das Netz 122 angibt. Sendet der Benutzer dem Dienstanbieter 108 eine Zugriffsanforderung, mit der sich gegenüber dem Netz 102 authentifizieren will, dann wird der Dienstanbieter den Zugriff auf das Netz 102 verweigern. Folglich wird die Übermittlung eines einmaligen und/oder vorübergehenden Passworts für einen Zugriff auf das Netz 102 gesperrt, und das Mobilgerät 106 erhält das erforderliche Passwort vom Dienstanbieter 108 nicht.
  • 3 veranschaulicht schematisch die interne Struktur des Dienstanbieters 108. Bei diesem Ausführungsbeispiel dient der Dienstanbieter 108 auch als Telekommunikationsanbieter. Der Dienstanbieter 108 hat ein Kommunikationsmodul 130, eine Heimatdatei (home location register – HLR) 132, einen Authentifizierungsserver 134, einen Passwortgenerator 138 und eine Benutzerauthentifizierungs-Datenbank 136. Das Kommunikationsmodul besorgt die Signalverarbeitung für drahtlose Datenübertragung. Weiterhin kann es drahtlose Kommunikationsmittel bereitstellen, um mit dem Mobilgerät 106 kommunizieren zu können.
  • In der Heimatdatei 132 sind benutzerbezogene Informationen für die drahtlose Kommunikation mittels des Mobilgeräts 106 gespeichert. Nach Registrierung beim Dienstanbieter 108 kann der Benutzer 100 eine SIM-Karte mit einer speziellen Kennung erhalten.
  • Mittels der Heimatdatei 132 kann eine Zuordnung zwischen den Kontaktinformationen des Benutzers und der SIM-Karte durchgeführt werden. Die Kontaktinformationen des Benutzers können persönliche Daten des Benutzers sowie seine Adresse und Einzelheiten über sein Bankkonto betreffen. Darüber hinaus ermöglicht die Heimatdatei 132 eine Authentifizierung des Mobilgeräts 106 gegenüber dem vom Telekommunikationsanbieter 108 bereitgestellten Mobilfunknetz. Typischerweise authentifizieren sich der Benutzer 100 und sein Mobilgerät 106 gegenüber den Diensten des Dienstanbieters 108 durch Eingabe einer z.B. vierstelligen PIN in das Mobilgerät 106.
  • In ähnlicher Weise kontrolliert der Authentifizierungsserver 134 den Zugriff des Benutzers 100 auf die Benutzerauthentifizierungs-Datenbank 136. Bei Empfang der Zugriffsanforderung vom Mobilgerät 106 kann der Authentifizierungsserver 134 zunächst überprüfen, ob der Benutzer 100 und das Mobilgerät 106 berechtigt sind, ein vorübergehendes Passwort vom Dienstanbieter 108 zu erhalten. Diese Authentifizierungsprozedur kann in effektiver Weise mittels einer weiteren, statischen PIN realisiert werden. Jedes Mal wenn der Benutzer 100 eine gültige Zugriffsanforderung, also eine Zugriffsanforderung zusammen mit einer entsprechenden PIN, an den Dienstanbieter sendet, bedient sich der Authentifizierungsserver 134 der Benutzerauthentifizierungs-Datenbank 136, um die Zugriffsanforderung des Benutzers zu bestätigen oder abzulehnen.
  • Insbesondere zeigt die Benutzerauthentifizierungs-Datenbank 136 an, ob der Benutzer 100 berechtigt ist, auf das gewünschte Netz zuzugreifen. Nachdem eine Zugriffsanforderung vom Authentifizierungsserver 134 bestätigt wurde, wird der Passwortgenerator 134 aufgerufen, um ein entsprechendes vorübergehendes einmaliges Passwort zu erzeugen. Die Erzeugung des Passworts mittels des Passwortgenerators 138 basiert auf Verschlüsselungsverfahren, die mit entsprechenden, von den VPN-Gateways der Netze 102, 122 verwendeten Verschlüsselungsverfahren synchronisiert sind.
  • Nach Erzeugung des vorübergehenden und/oder einmaligen Passworts wird das erzeugte Passwort zum Authentifizierungsserver 134 übertragen und schließlich zum Kommunikationsmodul 130 weitergeleitet. Das Kommunikationsmodul dient weiter dazu, das erzeugte Passwort zum Mobilgerät 106 zu übertragen. Hier wird das empfangene vorübergehende Passwort entweder dem Benutzer 100 zum Zwecke einer Bestätigung angezeigt oder es kann über die IP-basierte Verbindung 110 direkt zum VPN-Gateway 112 des Netzes 102 übertragen werden. Die Verbindung 110 ist typischerweise mittels einer drahtlosen Verbindung unter Verwendung von z.B. Infrarot- oder Hochfrequenz-Nachrichtenübertragungstechniken wie z.B. IEEE 802.11, Wireless LAN oder UMTS realisiert. Alternativ kann das Mobilgerät 106 mit einer Hochgeschwindigkeits-Kommunikationsschnittstelle versehen sein, die eine kabelbasierte Ankopplung an eine Hochgeschwindigkeits-Kommunikationsschnittstelle wie z.B. DSL oder ISDN erlaubt.
  • 4 veranschaulicht schematisch ein grundlegendes Ausführungsbeispiel der Benutzerauthentifizierungs-Datenbank 136. Hier ist die Benutzerauthentifizierungs-Datenbank 136 so ausgelegt, dass sie Berechtigungsinformationen für mehrere Benutzer und mehrere unterschiedliche Netze bereitstellt. Deshalb ist die Benutzerauthentifizierungs-Datenbank 136 in Form einer zweidimensionalen Matrix angelegt, bei der die Benutzer in einer waagerechten Benutzerzellen-Anordnung 150 und die Netze in einer senkrechten Netzzellen-Anordnung 152 eingetragen sind. Die einzelnen Felder der matrixartigen Benutzerauthentifizierungs-Datenbank 136 geben an, welcher Benutzer berechtigt ist, welche Art von Netz zu benutzen. Zum Beispiel hat Benutzer 1 Zugriff auf Netz 2 und Netz 4, darf jedoch nicht auf Netz 1 und Netz 3 zugreifen.
  • 4 zeigt lediglich ein grundlegendes Beispiel für die Realisierung einer Benutzerauthentifizierungs-Datenbank. Die Datenbank 136 ist keineswegs auf eine zweidimensionale Matrix beschränkt. Es können zusätzliche Parameter, wie z.B. individuelle Zugriffsrechte, aufgenommen werden, wodurch sich eine mehrdimensionale Darstellung der Benutzerauthentifizierungs-Datenbank ergibt.
    • 100
    Benutzer
    102
    Netz
    104
    Recheneinrichtung
    106
    Mobilgerät
    108
    Dienstanbieter
    110
    IP-Verbindung
    112
    Gateway
    114
    Verbindung
    116
    Recheneinrichtung
    118
    Verbindung
    120
    IP-Verbindung
    122
    Netz
    124
    Gateway
    124
    VPN-Client
    130
    Kommunikationsmodul
    132
    Heimatdatei
    134
    Authentifizierungsserver
    136
    Benutzerauthentifizierungs-Datenbank
    138
    Passwortgenerator
    150
    Benutzerzellen-Anordnung
    152
    Netzzellen-Anordnung
  • Übersetzung der in den Zeichnungen verwendeten englischsprachigen Bezeichnungen
    • service provider
      – Dienstanbieter
      mobile device
      – Mobilgerät
      User
      – Benutzer
      computing device
      – Recheneinrichtung
      gateway
      – Gateway (Netzübergang)
      network
      – Netz
      VPN client
      – VPN-Client
      user authentication database
      – Benutzerauthentifizierungs-Datenbank
      authentication server
      – Authentifizierungsserver
      HLR
      – Heimatdatei (Home Location Register)
      communication module
      – Kommunikationsmodul
      password generator
      – Passwortgenerator
      denied
      – verwehrt
      admitted
      – erlaubt

Claims (10)

  1. Verfahren zum Authentifizieren eines Benutzers (100) gegenüber einem Netz (102, 122), wobei der Benutzer mindestens eine Recheneinrichtung (104, 116) verwendet und eine IP-Verbindung (110, 114) zwischen dem Netz und der mindestens einen Recheneinrichtung durch eine mobile Telekommunikationseinrichtung (106) bereitgestellt wird, mit folgenden Schritten: – Anfordern eines vorübergehenden Passworts von einem Dienstanbieter (108) durch Übertragen einer Zugriffsanforderung zum Dienstanbieter, wobei die Dienstanforderung mittels einer mobilen Telekommunikationseinrichtung übertragen wird; – Überprüfen der Zugriffsanforderung anhand einer Benutzerauthentifizierungs-Datenbank (136), und Bestätigen der Zugriffsanforderung, wenn der Benutzer berechtigt ist, auf das Netz zuzugreifen; – Erzeugen des vorübergehenden Passworts abhängig von einer Bestätigung der Zugriffsanforderung; – Übertragen des vorübergehenden Passworts vom Dienstanbieter zur mobilen Telekommunikationseinrichtung; – Authentifizieren des Benutzers gegenüber dem Netz mittels der mobilen Telekommunikationseinrichtung.
  2. Verfahren nach Anspruch 1, bei dem die IP-basierte Verbindung (110, 114) zwischen der mindestens einen Recheneinrichtung (104) und dem Netz (102) mittels der mobilen Telekommunikationseinrichtung (106) aufgebaut wird, wobei der Aufbau der IP-basierten Verbindung abhängig vom Empfang des vorübergehenden Passworts von dem Dienstanbieter (108) erfolgt.
  3. Verfahren nach Anspruch 1, bei dem die Anforderung des vorübergehenden Passworts vom Dienstanbieter (108) eine Authentifizierung des Benutzers (100) gegenüber dem Dienstanbieter umfasst.
  4. Verfahren nach Anspruch 1, bei dem die Zugriffsanforderung mindestens eine Netzkennung und eine die Benutzeridentität anzeigende Kennung der mobilen Telekommunikationseinrichtung umfasst.
  5. Verfahren nach Anspruch 1, bei dem das Netz ein IP-basiertes virtuelles privates Netz (VPN) ist, wobei das Netz einen VPN-Gateway (112) und die mobile Telekommunikationseinrichtung (106) mindestens einen VPN-Client (126) umfasst.
  6. Mobile Telekommunikationseinrichtung (106) zum Authentifizieren eines Benutzers gegenüber einem Netz mittels eines vorübergehenden Passworts, umfassend: – Mittel zum Übertragen einer Zugriffsanforderung zu einem Dienstanbieter (108); – Mittel zum Empfangen des vorübergehenden Passworts vom Dienstanbieter, wobei das vorübergehende Passwort durch den Dienstanbieter abhängig von einer Bestätigung der Zugriffsanforderung erzeugt ist; – Mittel zum Aufbau einer IP-basierten Verbindung (110, 114) zwischen mindestens einer Recheneinrichtung und dem Netz, wobei diese Mittel geeignet sind, die IP-basierte Verbindung abhängig vom Empfang des vorübergehenden Passworts vom Dienstanbieter aufzubauen.
  7. Mobile Telekommunikationseinrichtung (106) nach Anspruch 6, die außerdem Mittel zur drahtlosen Datenübertragung zwischen der mindestens einen Recheneinrichtung (104, 116) und der mobilen Telekommunikationseinrichtung (106) umfasst.
  8. Authentifizierungsserver (134) zum Erzeugen eines vorübergehenden Passworts, das mindestens ein Benutzer (100) benötigt, um sich gegenüber mindestens einem Netz (102, 122) zu authentifizieren, umfassend: – Mittel zum Verarbeiten mindestens einer Zugriffsanforderung von mindestens einem Benutzer, wobei die Zugriffsanforderung von dem mindestens einen Benutzer zum Authentifizierungsserver unter Verwendung einer mobilen Telekommunikationseinrichtung (106) übertragen wird; – Mittel zum Überprüfen der Zugriffsanforderung anhand einer Benutzerauthentifizierungs-Datenbank (136), wobei die Mittel zum Überprüfen außerdem geeignet sind, die Zugriffsanforderung zu bestätigen, wenn der mindestens eine Benutzer berechtigt ist, auf das mindestens eine Netz zuzugreifen; – Mittel zum Erzeugen des vorübergehenden Passworts, wobei diese Mittel außerdem geeignet sind, das vorübergehende Passwort nur in Abhängigkeit von einer Bestätigung der Zugriffsanforderung zu erzeugen.
  9. Computerprogramm-Produkt für eine mobile Telekommunikationseinrichtung zum Authentifizieren eines Benutzers (100) gegenüber einem Netz (102, 122) mittels eines vorübergehenden Passworts, wobei das Computerprogramm-Produkt Programmmittel umfasst, die geeignet sind, – eine Zugriffsanforderung des Benutzers zu verarbeiten, – eine Zugriffsanforderung zu einem Dienstanbieter (108) zu übertragen, – das vorübergehende Passwort vom Dienstanbieter zu empfangen, wobei das vorübergehende Passwort durch den Dienstanbieter abhängig von einer Bestätigung der Zugriffsanforderung erzeugt ist, – eine IP-basierte Verbindung (110, 114) zwischen mindestens einer Recheneinrichtung (104, 116) und dem Netz (102, 122) aufzubauen, wobei diese Mittel geeignet sind, die IP-basierte Verbindung abhängig vom Empfang des vorübergehenden Passworts vom Dienstanbieter (108) aufzubauen.
  10. Computerprogramm-Produkt für einen Authentifizierungsserver (134) zum Erzeugen eines vorübergehenden Passworts, das ein Benutzer (100) benötigt, um sich gegenüber einem Netz (102, 122) zu authentifizieren, wobei das Computerprogramm-Produkt Programmmittel umfasst, die geeignet sind, – eine Zugriffsanforderung von dem Benutzer zu verarbeiten, wobei die Zugriffsanforderung zum Authentifizierungsserver unter Verwendung einer mobilen Telekommunikationseinrichtung (106) durch den Benutzer übertragen wird, – die Zugriffsanforderung anhand einer Benutzerauthentifizierungs-Datenbank (136) zu überprüfen, wobei das Überprüfen der Zugriffsanforderung eine Bestätigung der Zugriffsanforderung umfasst, wenn der Benutzer berechtigt ist, auf das Netz zuzugreifen, – das vorübergehende Passwort nur in Abhängigkeit von der Bestätigung der Zugriffsanforderung zu erzeugen und zu übertragen.
DE602004005461T 2004-09-30 2004-09-30 Mobile Authentifizierung für den Netzwerkzugang Active DE602004005461T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP04292340A EP1650924B1 (de) 2004-09-30 2004-09-30 Mobile Authentifizierung für den Netzwerkzugang

Publications (2)

Publication Number Publication Date
DE602004005461D1 DE602004005461D1 (de) 2007-05-03
DE602004005461T2 true DE602004005461T2 (de) 2007-12-13

Family

ID=34931423

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004005461T Active DE602004005461T2 (de) 2004-09-30 2004-09-30 Mobile Authentifizierung für den Netzwerkzugang

Country Status (5)

Country Link
US (1) US7590847B2 (de)
EP (1) EP1650924B1 (de)
CN (1) CN1756148A (de)
AT (1) ATE357805T1 (de)
DE (1) DE602004005461T2 (de)

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9064281B2 (en) 2002-10-31 2015-06-23 Mastercard Mobile Transactions Solutions, Inc. Multi-panel user interface
US10176476B2 (en) 2005-10-06 2019-01-08 Mastercard Mobile Transactions Solutions, Inc. Secure ecosystem infrastructure enabling multiple types of electronic wallets in an ecosystem of issuers, service providers, and acquires of instruments
CA2451313C (en) * 2003-11-28 2011-10-18 Nicolas Nedkov Systems and methods for controlling access to a public data network from a visited access provider
US7536280B2 (en) * 2005-08-03 2009-05-19 Agilent Technologies, Inc. Multisided synchronization of execution in a wireless test environment
SE532098C2 (sv) * 2005-08-23 2009-10-20 Smarttrust Ab Autenticeringssystem och -förfarande
US7849501B2 (en) * 2005-09-30 2010-12-07 At&T Intellectual Property I, L.P. Methods and systems for using data processing systems in order to authenticate parties
US20140089120A1 (en) 2005-10-06 2014-03-27 C-Sam, Inc. Aggregating multiple transaction protocols for transacting between a plurality of distinct payment acquiring devices and a transaction acquirer
EP2667345A3 (de) 2005-10-06 2014-08-27 C-Sam, Inc. Transaktionale Dienste
US20080005026A1 (en) * 2006-06-30 2008-01-03 Microsoft Corporation Automatic software registration
CZ2006478A3 (cs) * 2006-07-24 2008-02-06 Monet+,A.S. Zpusob vzdálené autentizace klienta telefonní síte
WO2008026060A2 (en) * 2006-08-31 2008-03-06 Encap As Method, system and device for synchronizing between server and mobile device
EP1965595B1 (de) * 2007-02-27 2009-10-28 Lucent Technologies Inc. Drahtloses Kommunikationsverfahren zur Steuerung eines mittels Sicherheitsvorrichtung gewährten Zugangs
US8756659B2 (en) * 2007-04-19 2014-06-17 At&T Intellectual Property I, L.P. Access authorization servers, methods and computer program products employing wireless terminal location
US20090037979A1 (en) * 2007-07-31 2009-02-05 Dellaratta Jr George Method and System for Recovering Authentication in a Network
KR100948604B1 (ko) * 2008-03-25 2010-03-24 한국전자통신연구원 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법
WO2009092105A2 (en) * 2008-01-18 2009-07-23 Tekelec Systems, methods and computer readable media for application-level authentication of messages in a telecommunications network
US8209744B2 (en) * 2008-05-16 2012-06-26 Microsoft Corporation Mobile device assisted secure computer network communication
CN101662458A (zh) * 2008-08-28 2010-03-03 西门子(中国)有限公司 一种认证方法
CN101742583B (zh) * 2008-11-04 2012-08-08 华为技术有限公司 一种服务小区切换的通知方法、装置和系统
US8291470B2 (en) * 2008-12-10 2012-10-16 International Business Machines Corporation Conditional supplemental password
JP2011077769A (ja) * 2009-09-30 2011-04-14 Fujifilm Corp Vpnシステムおよびその動作制御方法
US8606234B2 (en) * 2009-12-31 2013-12-10 Symantec Corporation Methods and apparatus for provisioning devices with secrets
KR20110112570A (ko) * 2010-04-07 2011-10-13 삼성전자주식회사 이동통신 단말기에서 네트워크 접속 제한 방법 및 장치
CN102567903B (zh) * 2010-12-07 2016-01-27 中国移动通信集团公司 一种Web应用订购方法、装置及系统
EP2767110A4 (de) 2011-10-12 2015-01-28 C Sam Inc Plattform für mehrstufige sichere mobile transaktionen
PL397500A1 (pl) * 2011-12-22 2013-06-24 Dco4 Spólka Z Ograniczona Odpowiedzialnoscia Sposób transmisji kodu jednorazowego w postaci alfanumerycznej
DE102012112967B4 (de) * 2012-12-21 2016-06-16 Sqwin Sa online Transaktionssystem
US9713013B2 (en) 2013-03-15 2017-07-18 Elwha Llc Protocols for providing wireless communications connectivity maps
US9635605B2 (en) 2013-03-15 2017-04-25 Elwha Llc Protocols for facilitating broader access in wireless communications
US9451394B2 (en) 2012-12-31 2016-09-20 Elwha Llc Cost-effective mobile connectivity protocols
US9781664B2 (en) 2012-12-31 2017-10-03 Elwha Llc Cost-effective mobile connectivity protocols
US9980114B2 (en) 2013-03-15 2018-05-22 Elwha Llc Systems and methods for communication management
US9832628B2 (en) 2012-12-31 2017-11-28 Elwha, Llc Cost-effective mobile connectivity protocols
US9876762B2 (en) * 2012-12-31 2018-01-23 Elwha Llc Cost-effective mobile connectivity protocols
US9813887B2 (en) 2013-03-15 2017-11-07 Elwha Llc Protocols for facilitating broader access in wireless communications responsive to charge authorization statuses
US9706382B2 (en) 2013-03-15 2017-07-11 Elwha Llc Protocols for allocating communication services cost in wireless communications
US9843917B2 (en) 2013-03-15 2017-12-12 Elwha, Llc Protocols for facilitating charge-authorized connectivity in wireless communications
US9807582B2 (en) 2013-03-15 2017-10-31 Elwha Llc Protocols for facilitating broader access in wireless communications
US9706060B2 (en) 2013-03-15 2017-07-11 Elwha Llc Protocols for facilitating broader access in wireless communications
US9866706B2 (en) 2013-03-15 2018-01-09 Elwha Llc Protocols for facilitating broader access in wireless communications
US9693214B2 (en) 2013-03-15 2017-06-27 Elwha Llc Protocols for facilitating broader access in wireless communications
US9596584B2 (en) 2013-03-15 2017-03-14 Elwha Llc Protocols for facilitating broader access in wireless communications by conditionally authorizing a charge to an account of a third party
CN104104650B (zh) * 2013-04-02 2017-07-21 联想(北京)有限公司 数据文件访问方法及终端设备
US9100392B2 (en) * 2013-09-20 2015-08-04 Verizon Patent And Licensing Inc. Method and apparatus for providing user authentication and identification based on a one-time password
US9525664B2 (en) * 2014-02-28 2016-12-20 Symantec Corporation Systems and methods for providing secure access to local network devices
CN104601431B (zh) * 2014-12-31 2018-04-20 华为技术有限公司 一种vpn业务的接入方法及网络设备
WO2017156504A1 (en) 2016-03-11 2017-09-14 Parabit System, Inc. Multi-media reader apparatus, secure transaction system and methods thereof
WO2017197400A1 (en) * 2016-05-13 2017-11-16 Mobile Iron, Inc. Unified vpn and identity based authentication to cloud-based services
US10650384B2 (en) 2016-05-31 2020-05-12 Mastercard International Incorporated Systems and methods for using network data in an automated delivery system
CN107124399A (zh) * 2017-03-31 2017-09-01 南京猫酷科技股份有限公司上海分公司 一种基于手机号验证码登录的会员系统及方法
CN112019571B (zh) * 2020-10-22 2021-01-15 锱云(上海)物联网科技有限公司 一种vpn连接实现方法和系统
US11943361B2 (en) * 2020-11-19 2024-03-26 Arris Enterprises Llc Method for seamlessly recovering a single sign-on password in Wi-Fi multi-access point device network
CN112511569B (zh) * 2021-02-07 2021-05-11 杭州筋斗腾云科技有限公司 网络资源访问请求的处理方法、系统及计算机设备

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI105966B (fi) * 1998-07-07 2000-10-31 Nokia Networks Oy Autentikointi tietoliikenneverkossa
US6421768B1 (en) * 1999-05-04 2002-07-16 First Data Corporation Method and system for authentication and single sign on using cryptographically assured cookies in a distributed computer environment
FI115098B (fi) * 2000-12-27 2005-02-28 Nokia Corp Todentaminen dataviestinnässä
US20040107360A1 (en) * 2002-12-02 2004-06-03 Zone Labs, Inc. System and Methodology for Policy Enforcement
US7530099B2 (en) * 2001-09-27 2009-05-05 International Business Machines Corporation Method and system for a single-sign-on mechanism within application service provider (ASP) aggregation
SE0103337D0 (sv) 2001-10-08 2001-10-08 Service Factory Sf Ab System and method relating to mobile communications
AU2003212638A1 (en) 2002-03-13 2003-09-22 Adjungo Networks Ltd. Accessing cellular networks from non-native local networks
US7616597B2 (en) * 2002-12-19 2009-11-10 Intel Corporation System and method for integrating mobile networking with security-based VPNs

Also Published As

Publication number Publication date
EP1650924A1 (de) 2006-04-26
EP1650924B1 (de) 2007-03-21
US20060069916A1 (en) 2006-03-30
ATE357805T1 (de) 2007-04-15
CN1756148A (zh) 2006-04-05
US7590847B2 (en) 2009-09-15
DE602004005461D1 (de) 2007-05-03

Similar Documents

Publication Publication Date Title
DE602004005461T2 (de) Mobile Authentifizierung für den Netzwerkzugang
DE60319791T2 (de) Verfahren und Vorrichtung für den Zugang eines Computers zu einem Kommunikationsnetzwerk
DE60309553T2 (de) Verfahren und Vorrichtungen zur Gesamtbenutzung eines Netzwerkbetriebsmittels mit einem Benutzer ohne Zugang
EP2122986B1 (de) Verfahren und System zur Bereitstellung von Diensten für Endgeräte
EP2250598B1 (de) Client/server-system zur kommunikation gemäss dem standardprotokoll opc ua und mit single sign-on mechanismen zur authentifizierung sowie verfahren zur durchführung von single sign-on in einem solchen system
EP3077952B1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems
DE602004012300T2 (de) Verfahren und vorrichtungen für skalierbaren sicheren fern-desktop-zugriff
EP3078177B1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems mit hilfe eines modifizierten domain name systems (dns)
DE102004045147A1 (de) Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm
DE69837748T2 (de) Verfahren und Vorrichtung zur Authentifizierung für gesichterte Übertragungen zwischen einem mobilen ATM Endgerät und einem ATM Zugriffsknoten in einem drahtlosen ATM Funkkommunikationsnetzwerk
DE112011102224T5 (de) Identitätsvermittlung zwischen Client- und Server-Anwendungen
EP3970337A1 (de) Verfahren zum selektiven ausführen eines containers und netzwerkanordnung
EP3785459B1 (de) Einrichtung einer zugangsberechtigung zu einem teilnetzwerk eines mobilfunknetzes
EP2919145B1 (de) Authentifizierungsvorrichtung, Authentifizierungssystem und Authentifizierungsverfahren
DE602004002425T2 (de) Netzwerkgerät, System und Verfahren zur Authentifizierung
DE10107883B4 (de) Verfahren zur Übertragung von Daten, Proxy-Server und Datenübertragungssystem
Cisco Strategies for Applying Attributes
EP2456157B1 (de) Schutz der Privatsphäre bei der Anmeldung eines Nutzers an einem gesicherten Webdienst mittels eines Mobilfunkgerätes
DE102020129224B4 (de) Datenverarbeitungsvorrichtung zum Aufbauen einer sicheren Kommunikationsverbindung über einen Zugangspunkt
DE102020129227B4 (de) Datenverarbeitungsvorrichtung zum Aufbauen einer Kommunikationsverbindung
DE102020129228B4 (de) Datenverarbeitungsvorrichtung zum Aufbauen einer sicheren Kommunikationsverbindung
EP3537654B1 (de) Verfahren und system zum ermitteln einer konfiguration einer schnittstelle
DE102020129226B4 (de) Datenverarbeitungsvorrichtung und mobiles Kommunikationsgerät zum Aufbauen einer sicheren Kommunikationsverbindung über einen Zugangspunkt
EP2723111B1 (de) Mehrfaktor-Authentifikation für mobile Endgeräte
EP3958527A1 (de) Authentisierung eines kommunikationspartners an einem gerät

Legal Events

Date Code Title Description
8327 Change in the person/name/address of the patent owner

Owner name: ALCATEL LUCENT, PARIS, FR

8381 Inventor (new situation)

Inventor name: JENISCH, (BA), MARKUS DIPL.-ING., 71336 WAIBLI, DE

Inventor name: RUPP, STEPHAN DR., 74354 BESIGHEIM, DE

8364 No opposition during term of opposition