-
HINTERGRUND DER ERFINDUNG
-
1. Gebiet der Erfindung
-
Die
Erfindung betrifft im Allgemeinen mobile drahtlose Kommunikationsvorrichtungen
mit einem Passwortschutz zum Zugriff auf gespeicherte Daten und/oder
zum normalen Vorrichtungsbetrieb.
-
2. Verwandte Technik
-
Passwortschutz
zum Zugriff auf gespeicherte Daten und/oder für einen normalen Vorrichtungsbetrieb
ist für
drahtlose Kommunikationsvorrichtungen (zum Beispiel zellulare Telefone,
mobile E-Mail-Vorrichtungen, etc.) und andere elektronische Vorrichtungen
oder Systeme (zum Beispiel Computer, Computersysteme, Computerdienstkonten,
Computerprogramme, etc.) weithin bekannt. Hausalarmsysteme sind
typischerweise auch Passwort-geschützt. Zum Beispiel wird der
Alarm häufig „aktiviert" und „deaktiviert" nur mit Verwendung
eines geheimen Passworts, von dem angenommen wird, dass es nur dem
Hausbesitzer und autorisierten Gästen
bekannt ist.
-
Die
meisten Hausalarme umfassen nun auch ein Zwangs-Passwort-Merkmal.
Das Zwangs-Passwort ist auf gewisse Weise von einem normalen Passwort
unterscheidbar (zum Beispiel möglicherweise
wird ein Buchstabe so geändert,
dass, wenn ein normales Passwort 1 2 3 4 5 ist, das Zwangs-Passwort
1-2-3-4-4 sein kann). Wenn der Hausbesitzer unter Zwang gesetzt
wird (zum Beispiel durch einen Einbrecher, der in das Haus einbricht und
körperlichen
Schaden androht, während
er verlangt, dass das Alarmsystem deaktiviert oder abgestellt wird),
kann der Inhaber das Zwangs-Passwort anstelle des normalen Passworts
eingeben. Wenn das Alarmsystem die Eingabe des Zwangs-Passworts
erkennt, sendet es automatisch einen Notruf an den Sicherheitsdienst
(oder „911"), signalisierend, dass
sofortige Unterstützung
an diesem bestimmten Wohnsitz erforderlich ist. Selbstverständlich findet eine
derartige Zwangs-Signalisierung still statt, so dass der möglicherweise
anwesende und beobachtende Angreifer nicht weiß, dass es geschehen ist. Tatsächlich liefert
dies dem Hausbesitzer eine stille Weise, um Hilfe zu rufen.
-
Mobile
drahtlose Kommunikationsvorrichtungen (zum Beispiel zellulare Telefone,
tragbare Computer mit drahtlosen Schnittstellen, drahtlose E-Mail-Transceiver
und dergleichen) sind auch manchmal Passwort-geschützt. Das
heißt,
ein Zugriff auf Daten, die in der mobilen drahtlosen Kommunikationsvorrichtung
gespeichert sind, und/oder ein Normalbetrieb der Vorrichtung wird
blockiert, es sei denn, das geheime Passwort des legitimen Benutzers
wird eingegeben (unter der Annahme, dass das Passwortschutzmerkmal
durch den Benutzer aufgerufen wurde). Jedoch hatten solche Passwort-geschützten drahtlosen
Kommunikationsvorrichtungen vorher kein Zwangs-Passwort-Merkmal.
-
US 2002/0112183 A1 beschreibt
eine Vorrichtung und ein Verfahren zum Authentisieren von Zugriff
auf eine Netzwerkwerkressource. Um zu verhindern, dass Angreifer
einen Zugriff erlangen zu einer Kontendatenbank, wird als Reaktion,
dass ein Zwangs-Passwort eingegeben wird, ein Zugriff zu einer Zwangs-Datenbank vorgesehen
und die Kontendatenbank wird permanent gelöscht.
-
WO 02/35491 A beschreibt
ein Verfahren und eine Vorrichtung zum Erzeugen einer Alarmnachricht.
-
WO 02/095589 A1 beschreibt
eine Verifizierung einer mobilen Identität unter Verwendung einer Validierung
eines empfangenen biometrischen Signals.
-
US 2003/0169161 A1 beschreibt
ein Fahrzeugsicherheitssystem.
-
KURZE ZUSAMMENFASSUNG DER
ERFINDUNG
-
Wir
haben nun erkannt, dass ein Zwangs-Passwort-Merkmal in einer mobilen
drahtlosen Kommunikationsvorrichtung von Wert sein kann. Zum Beispiel
kann auch der legitime Benutzer einer mobilen drahtlosen Kommunikationsvorrichtung
mit Passwortschutz unter Zwang gesetzt werden und tatsächlich gezwungen
werden, ein Passwort einzugeben, das einer nicht autorisierten Person
Zugriff zu gespeicherten Daten und/oder zum Normalbetrieb gibt.
Wenn dies geschieht, wird nun ein Zwangs-Passwort-Merkmal für eine solche
mobile drahtlose Kommunikationsvorrichtung durch diese Erfindung
vorgesehen. Eingabe eines Zwangs-Passworts
durch den Benutzer aktiviert bzw. entriegelt weiter die mobile drahtlose
Kommunikationsvorrichtung – zum
Beispiel, damit der Angreifer nicht weiß, dass ein Zwangs-Passwort
eingegeben wurde. Wenn jedoch ein Zwangs-Passwort eingegeben wird,
erkennt die mobile drahtlose Kommunikationsvorrichtung es als solches
und sendet still eine „Hilfe"-Nachricht an eine
geeignete Person oder Institution aus.
-
Die
Erfindung wird in den unabhängigen
Ansprüchen
definiert. Einige optionale Merkmale der Erfindung werden in den
abhängigen
Ansprüchen
definiert.
-
Eine
beispielhafte drahtlose Kommunikationsvorrichtung (und ihr in Verbindung
stehendes Betriebsverfahren) umfasst, wenn aufgerufen, einen Passwortgeschützten Zugriff
zu Daten, die darin gespeichert sind, und/oder zu normalen Vorrichtungsoperationen
und umfasst weiter eine Passwort-Prüflogik, die, wenn aufgerufen,
einen Zugriff zu bestimmten Vorrichtungsdaten und/oder Betrieb verhindert und
die eine Zwangs-Passwort-Prüflogik
umfasst, die automatisch veranlasst, dass eine Zwangsnachricht gesendet
wird, wenn ein Zwangs-Passwort eingegeben wurde vor dem Erlauben
eines Zugriffs zu bestimmten Vorrichtungsdaten und/oder Operationen.
-
In
der beispielhaften drahtlosen Kommunikationsvorrichtung veranlasst
die Zwangs-Passwort-Prüflogik,
dass die Zwangsnachricht gesendet wird, ohne eine Benutzer-zugängliche
Anzeige eines derartigen Sendens beizubehalten. Es ist auch bevorzugt,
dass die Passwort-Prüflogik
automatisch veranlasst, dass eine Ende-des-Zwangs-Nachricht gesendet
wird, wenn ein normales Passwort eingegeben wird, nachdem ein Zwangs-Passwort
eingegeben wurde.
-
Die/das
beispielhafte drahtlose Kommunikationsvorrichtung/-verfahren kann
weiter umfassen eine Zwangs-Passwort-Eingabe-Logik, die eine Benutzereingabe
von zumindest einem Zwangs-Passwort in einen Zwangs-Passwort-Teil
eines Datenspeichers in der Vorrichtung ermöglicht. Die Zwangs-Passwort-Eingabe-Logik
kann auch eine Benutzereingabe einer Vielzahl von unterschiedlichen
Zwangs-Passwörtern in
einen Zwangs-Passwort-Teil eines Datenspeichers in der Vorrichtung
ermöglichen.
-
Die
beispielhafte Zwangs-Passwort-Prüflogik
kann ein eingegebenes Passwort mit einer Vielzahl von vorgespeicherten
Passwörter
vergleichen, um festzustellen, ob eines einer solchen Vielzahl eingegeben
wurde. Zum Beispiel kann sie feststellen, ob ein eingegebenes Passwort
eine vorher bestimmte geänderte
Version eines normalen Passworts darstellt, um festzustellen, ob
ein Zwangs-Passwort eingegeben wurde. Eine derartige vorher bestimmte
geänderte
Version eines normalen Passworts kann eine Permutation von Ziffern
in dem normalen Passwort umfassen. Oder alternativ kann die vorher
bestimmte geänderte
Version des normalen Passworts einfach das normale Passwort sein
mit zumindest einer zusätzlichen
Ziffer vorangestellt und/oder angefügt. Derartige zusätzliche
Ziffern können
einen vorher bestimmte(n) Wert(e) haben. Die vorher bestimmten Wert(e)
können
von einem Benutzer in dem Zwangs-Passwort-Teil des Datenspeichers
in der Vorrichtung vorgespeichert worden sein.
-
Die
beispielhafte Zwangs-Passwort-Prüflogik
kann auch feststellen, ob ein eingegebenes Passwort eine vorher
bestimmte geänderte
Version eines Zwangs-Passworts
darstellt, das von einem Benutzer in den Zwangs-Passwort-Teil des
Datenspeichers vorher eingegeben wurde – im Gegensatz zum Durchführen nur
einer automatischen Algorithmus-Operation basierend auf dem normalen
Passwort und/oder andere vorherige Benutzer- oder Herstellungs-Eingaben.
Wiederum kann die vorher bestimmte geänderte Version eines vorher
eingegebenen Zwangs-Passworts
einfach das vorher eingegebene Zwangs-Passwort sein mit zumindest
einer zusätzlichen
Ziffer vorangestellt und/oder angefügt. Die eingegebenen zusätzlichen
Ziffern können
vorher bestimmte Werte haben. Die vorher bestimmten Werte können von
einem Benutzer in einem Zwangs-Passwort-Teil des Datenspeichers
in der Vorrichtung vorgespeichert worden sein.
-
In
dem beispielhaften Ausführungsbeispiel, das
unten beschrieben wird, wird dem Benutzer eine Option gegeben zum
Setzen zumindest eines Zwangs-Passworts. Eine Option wird auch vorgesehen,
um alle Zwangs-Passwörter
zu löschen,
die vorher gespeichert wurde, um dem Benutzer zu ermöglichen,
neu zu starten, wenn einige der Zwangs-Passwörter vergessen worden sind.
-
In
einigen Ausführungsbeispielen
wird vorteilhafterweise die Speicherung von mehr als einem Zwangs-Passwort
erlaubt. Mit mehreren Zwangs-Passwörtern kann ein Benutzer zumindest ein
Zwangs-Passwort vor einem sogar wissenden Angreifer versteckt halten,
der nicht nur nach dem normalen Passwort fragt, sondern auch nach
einem Zwangs-Passwort. Selbst wenn der wissende Angreifer raten
kann, dass es mehr als ein Benutzer-Passwort geben kann, weiß er wahrscheinlich nicht,
wie viele Zwangs-Passwörter
existieren können.
Dementsprechend, selbst wenn der Benutzer durch einen Angreifer
unter Zwang ist, kann der Angreifer beruhigt werden durch Ausgaben
von nur zwei oder mehr Zwangs-Passwörtern, die
dem Angreifer frei gegeben werden können, ohne das normale Passwort
herauszugeben. Dementsprechend, unabhängig davon, welches der Passwörter durch
den Angreifer benutzt wird, jedes würde ein Zwangs-Passwort sein,
das veranlasst, dass eine stille „Hilfe"-Nachricht übertragen wird, wenn verwendet.
-
Obgleich
es mögliche
Vorteile des Speicherns von mehreren Zwangs-Passwörtern gibt, kann
es auch bevorzugt sein, nur ein Zwangs-Passwort zu speichern, da
es Sicherheitsprobleme geben kann beim Speichern einer größeren Anzahl
von Zwangs-Passwörtern.
-
Die
Definition eines Zwangs-Passworts oder mehrerer Zwangs-Passwörter kann
erreicht werden durch eine manuelle Eingabe von beliebigen Ziffern und/oder
durch algorithmische Änderungen
entweder des normalen Passworts oder eines oder mehrerer Prototyp-Zwangpasswörter, die
durch den Benutzer manuell eingegeben werden. Eine drahtlose Kommunikationsvorrichtung
gemäß dieser
Erfindung umfasst eine Passwort-Prüflogik, die einen Zugriff zu bestimmten
Vorrichtungsdaten und/oder einen Betrieb verhindert und umfasst
eine Zwangs-Passwort-Prüflogik,
die automatisch veranlasst, dass eine Zwangsnachricht gesendet wird,
wenn ein Zwangs-Passwort anstelle eines normalen Passworts eingegeben
wurde.
-
Das
Zwangs-Passwort kann möglicherweise in
fast unbegrenzter Weise definiert werden, solange es im Wesentlichen
genauso „stark" ist wie das normale
Vorrichtungs-Passwort. Einige Beispiele von Arten, ein geeignetes
Zwangs-Passwort zu bestimmen, werden unten zusammengefasst:
- • Kombinationen
des normalen Passworts mit anderen Zeichenfolgen bzw. Strings von
Ziffern
- • vorangestellt
(Präfix)
- • angehängt (Suffix)
- • manuell
eingegebenes Zwangs-Passwort und Varianten davon (einschließlich seine
Kombination mit anderen Zeichenfolgen von Ziffern (siehe oben)
- • Permutationen
des normalen Passworts.
-
Vorzugsweise
wird die stille Zwangsnachricht an einen vorher bestimmten (d. h.
früher
spezifizierten) E-Mail-Empfänger
gesendet, um den Empfänger
zu alarmieren, dass ein bestimmtes Konto/ein Inhaber/eine Vorrichtung
unter Zwang steht. Diese Zwangs-E-Mail-Nachricht wird vorzugsweise
gesendet ohne eine Erscheinung in dem normalen Nachrichtenprotokoll,
um sicherzustellen, dass der Angreifer nicht feststellen kann, dass
die Vorrichtung in den Zwangs-Modus gesetzt wurde. Die Zwangsnachricht kann
zum Beispiel eine persönliche
Identifikationsnummer PIN (personal identification number), eine Inhaberinformationen
und -identität,
eine aktuelle Uhrzeit (in einer vorgegebenen oder spezifizierten Zeitzone)
und jede andere gewünschte
Information umfassen. Das Format solch einer E-Mail kann auf der Vorrichtung fest-codiert
sein oder anderweitig durch einen geeigneten Computerprogrammcode und
Benutzereingaben definiert werden (zum Beispiel in Übereinstimmung
mit der IT-Richtlinie der Firma des Inhabers – die wahrscheinlich auch die E-Mail-Adresse
für Zwangsnachrichten
und dergleichen spezifizieren würde).
-
In
dem bevorzugten beispielhaften Ausführungsbeispiel wird, nachdem
ein Zwangs-Passwort eingegeben wurde und eine Zwangsnachricht gesendet
wurde, das nächste
Mal, wenn ein normales Passwort eingegeben wird, eine geeignete „Ende des
Zwangs"-Nachricht
auch automatisch an den Empfänger
gesendet, um anzuzeigen, dass der Zwangs-Modus beendet ist.
-
Die
Erfindung kann in Hardware, in Software oder einer Kombination der
Hardware und der Software aufgenommen werden. Die Erfindung sieht auch
ein Verfahren zum Verfügung
stellen eines zusätzlichen
Passwortschutzes in einer drahtlosen Kommunikationsvorrichtung vor,
einschließlich
einem Passwortgeschützten
Zugriff zu Daten und/oder zu normalen Vorrichtungsoperationen, durch
automatisches Veranlassen, dass eine Zwangsnachricht gesendet wird,
wenn ein Zwangs-Passwort anstelle eines normalen Passworts eingegeben
wurde. Das beispielhafte Ausführungsbeispiel
wird zumindest zum Teil durch ausführba ren Computerprogrammcode
realisiert, der in physikalischen Programmspeichermitteln enthalten
sein kann.
-
KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
Diese
und andere Ziele und Vorteile dieser Erfindung sind besser zu verstehen
und geschätzt
in Verbindung mit der folgenden detaillierten Beschreibung von beispielhaften
Ausführungsbeispielen
zusammen mit den beigefügten
Zeichnungen, wobei:
-
1 eine
schematische Ansicht des Gesamtsystems eines beispielhaften drahtlosen E-Mail-Kommunikationssystems
ist, das eine mobile drahtlose Kommunikationsvorrichtung mit einem Zwangspasswortschutz
in Übereinstimmung
mit einem beispielhaften Ausführungsbeispiel
dieser Erfindung enthält;
-
2 ein
verkürztes
schematisches Diagramm einer Hardware ist, die in einer beispielhaften mobilen
drahtlosen Kommunikationsvorrichtung enthalten ist;
-
3 ein
beispielhaftes verkürztes
schematisches Flussdiagramm eines Vorrichtungssteuerungsprogramms
ist, das mit der mobilen Kommunikationsvorrichtung der 2 verwendet
werden kann;
-
4 ein
beispielhaftes verkürztes
schematisches Flussdiagramm einer Computer-Software (d. h. Programm-Logik)
ist, die in der Vorrichtung der 2 verwendet
werden kann und eine Option vorsieht zum Setzen von bis zu Nmax Zwangs-Passwörtern;
-
5 ein
beispielhaftes verkürztes
schematisches Flussdiagramm einer Computer-Software (d. h. Programm-Logik)
ist, die in der Vorrichtung der 2 verwendet
werden kann, um eine Passwort-Prüflogik
vorzusehen, die eine Zwangs-Passwort-Prüflogik umfasst;
-
6 einige
beispielhafte Arten darstellt, durch die Zwangs-Passwörter algorithmisch
(zum Beispiel basierend auf von dem Benutzer eingegebene normale
und/oder Zwangs-Passwörter)
oder manuell bestimmt werden können;
und
-
7 ein
Beispiel eines Zwangsnachrichtenformats darstellt, das in Übereinstimmung
mit dieser Erfindung verwendet werden kann.
-
DETAILLIERTE BESCHREIBUNG
VON BEISPIELHAFTEN AUSFÜHRUNGSBEISPIELEN
-
1 ist
ein Überblick über ein
beispielhaftes Kommunikationssystem, in dem eine drahtlose Kommunikationsvorrichtung 100 in Übereinstimmung mit
dieser Erfindung verwendet werden kann. Für Fachleute ist offensichtlich,
dass es Hunderte von unterschiedlichen Systemtopologien geben kann.
Es kann auch viele Nachrichten-Sender und -Empfänger geben. Das einfache beispielhafte
System, das gezeigt wird in 1, ist nur
für illustrative
Zwecke und zeigt die möglicherweise
aktuell vorherrschende Internet-E-Mail-Umgebung.
-
1 zeigt
einen E-Mail-Sender 10, das Internet 12, ein Nachrichten-Serversystem 14,
ein drahtloses Gateway 16, eine drahtlose Infrastruktur 18,
ein drahtloses Netzwerk 20 und eine mobile Kommunikationsvorrichtung 100.
-
Ein
E-Mail-Sender 10 kann zum Beispiel mit einem ISP (Internet
Service Provider) verbunden sein, auf dem ein Benutzer des Systems
ein Konto hat, sich in einer Firma befindet, möglicherweise verbunden mit
einem lokalen Netzwerk (LAN – local
area network), und verbunden mit dem Internet 12, oder verbunden
mit dem Internet 12 durch einen großen ASP (application service
provider), wie America OnlineTM (AOL). Für Fachleute
ist offensichtlich, dass die Systeme, die in der 1 gezeigt
werden, stattdessen verbunden sein können mit einem Weitbereichsnetzwerk
(WAN – wider
area network) von dem Internet verschieden, obg leich E-Mail-Übertragungen
im Allgemeinen durch Internet-verbundene Anordnungen erreicht werden
können,
wie in 1 gezeigt.
-
Der
Nachrichten-Server 14 kann zum Beispiel auf einem Netzwerkcomputer
innerhalb der Firewall einer Firma, einem Computer innerhalb eines
ISP- oder ASP-Systems
oder dergleichen implementiert sein und wirkt als die Hauptschnittstelle
für einen
E-Mail-Austausch über
das Internet 12. Obgleich andere Messaging-Systeme kein Nachrichten-Serversystem 14 erfordern
können,
gehört
eine mobile Vorrichtung 100, die konfiguriert ist zum Empfangen
und möglicherweise
Senden von E-Mail, normalerweise zu einem Konto auf einem Nachrichten-Server.
Möglicherweise
die zwei verbreitetsten Nachrichten-Server sind Microsoft ExchangeTM und Lotus DominoTM.
Diese Produkte werden oft in Verbindung mit Internet-Mail-Routern
verwendet, die Mail leiten und liefern. Diese Zwischenkomponenten werden
in der 1 nicht gezeigt, da sie keine direkte Rolle in
der unten beschriebenen Erfindung spielen. Nachrichten-Server, wie
der Server 14, erstrecken sich typischerweise über nur
ein Senden und Empfangen von E-Mail hinaus; sie umfassen auch dynamische
Datenbankspeichermaschinen, die vordefinierte Datenbankformate für Daten
haben, wie Kalender, To-do-Listen, Aufgabenlisten, E-Mail und Dokumentation.
-
Das
drahtlose Gateway 16 und die Infrastruktur 18 sehen
eine Verbindung zwischen dem Internet 12 und dem drahtlosen
Netzwerk 20 vor. Die drahtlose Infrastruktur 18 bestimmt
das wahrscheinlichste Netzwerk zum Lokalisieren eines gegebenen Benutzers
und verfolgt die Benutzer, während
sie zwischen Ländern
oder Netzwerken roamen. Eine Nachricht wird dann an die mobile Vorrichtung 100 über eine
drahtlose Übertragung,
typischerweise an einer Hochfrequenz (HF bzw. RF – radio
frequency), von einer Basisstation in dem drahtlosen Netzwerk 20 an
die mobile Vorrichtung 100 geliefert. Das bestimmte Netzwerk 20 kann
praktisch jedes drahtlose Netzwerk sein, über das Nachrichten mit einer
mobilen Kommunikationsvorrichtung ausgetauscht werden können.
-
Wie
in 1 gezeigt, wird eine erstellte E-Mail-Nachricht 22 durch
den E-Mail-Sender 10 gesendet,
der sich irgendwo auf dem Internet 12 befindet. Die Nachricht 22 benutzt
typischerweise herkömmliches
SMTP (Simple Mail Transfer Protocol), RFC822-Header und MIME(Multipurpose
Internet Mail Extension)-Hauptteile,
um das Format der Mail-Nachricht zu definieren. Diese Techniken
sind für
Fachleute weithin bekannt. Die Nachricht 22 kommt an dem
Nachrichten-Server 14 an
und wird normalerweise in einem Nachrichten-Speicher gespeichert.
Die meisten bekannten Messaging-Systeme unterstützen ein so genanntes „Holen (pull)"-Nachrichten-Zugriffs-Schema,
wobei die mobile Vorrichtung 100 anfordern muss, dass gespeicherte
Nachrichten durch den Nachrichten-Server an die mobile Vorrichtung 100 weitergeleitet
werden. Einige Systeme sehen ein automatisches Routing derartiger Nachrichten
vor, die unter Verwendung einer spezifischen E-Mail-Adresse adressiert
werden, die zu der mobilen Vorrichtung 100 gehört. In einem
bevorzugten Ausführungsbeispiel
werden Nachrichten, die an ein Nachrichten-Server-Konto adressiert
sind, das zu einem Host-System gehört, wie einem Heimcomputer
oder Bürocomputer,
der dem Benutzer einer mobilen Vorrichtung 100 gehört, von
dem Nachrichten-Server 14 an die mobile Vorrichtung 100 umgeleitet,
wenn sie empfangen werden.
-
Unabhängig von
dem spezifischen Mechanismus, der ein Weiterleiten von Nachrichten
an die mobile Vorrichtung 100 steuert, wird die Nachricht 22 oder
möglicherweise
eine übersetzte
oder neuformatierte Version davon an das drahtlose Gateway 16 gesendet.
Die drahtlose Infrastruktur 18 umfasst eine Reihe von Verbindungen
zu dem drahtlosen Netzwerk 20. Diese Verbindungen können ISDN(Integrated
Services Digital Network)-, Rahmen-Relay- oder T1-Verbindungen sein
unter Verwendung des TCP/IP-Protokolls, das im Internet verwendet
wird. Wie hier verwendet, soll die Bezeichnung „drahtloses Netzwerk" drei unterschiedliche
Typen von Netzwerke umfassen, (1) Daten-zentrische drahtlose Netzwerke,
(2) Sprach-zentrische drahtlose Netzwerke und (3) Dualsmodus-Netzwerke, die sowohl
Sprach- als auch Datenkommunikationen über die gleichen physikalischen
Basisstationen unterstützen
können. Kombinierte
Dualmo dus-Netzwerke umfassen, sind aber nicht darauf begrenzt, (1)
CDMA(Code Division Multiple Access)-Netzwerke, (2) GSM(Group Special Mobile
or the Global System for Mobile Communications) und GPRS(General
Packet Radio Service)-Netzwerke
und (3) zukünftige
3G(third-generation)-Netzwerke, wie EDGE (Enhanced Data-rates for
Global Evolution) und UMTS (Universal Mobile Telecommunications
Systems). Einige ältere
Beispiele von Daten-zentrischen Netzwerken umfassen das MobitexTM-Funknetzwerk und das DataTACTM-Funknetzwerk.
Beispiele von älteren
Sprach-zentrischen Datennetzwerken umfassen PCS(Personal Communication
Systems)-Netzwerke, wie GSM, und TDMA-Systeme.
-
Wie
in der 2 dargestellt, umfasst die mobile Kommunikationsvorrichtung 100 eine
geeignete HF-Antenne 102 für eine drahtlose Kommunikation an
das/von dem drahtlosen Netzwerk 20. Herkömmliche
HF-Demodulations/Modulations-
und Decodierungs/Codierungs-Schaltungen 104 sind vorgesehen.
Wie für
Fachleute offensichtlich ist, können
solche Schaltungen möglicherweise
digitale Signalprozessoren (DSPs – digital signal processors),
Mikroprozessoren, Filter, analoge und digitale Schaltungen und dergleichen
umfassen. Da jedoch solche Schaltungen in der Technik weithin bekannt
sind, werden sie nicht weiter beschrieben.
-
Die
mobile Kommunikationsvorrichtung 100 umfasst auch typischerweise
eine Hauptsteuerungs-CPU (central processing unit) 106,
die unter Steuerung eines gespeicherten Programms in dem Programmspeicher 108 funktioniert
(und die Zugriff zu dem Datenspeicher 110 hat). Die CPU 106 kommuniziert
auch mit einer herkömmlichen
Tastatur 112, Anzeige 114 (zum Beispiel ein LCD)
und einem Audio-Transducer oder Lautsprecher 116. Ein Teil des
Datenspeichers 110a ist verfügbar zum Speichern eines Zwangs-Passwort
oder mehrerer Zwangs-Passwörter (DPW – duress
password). Geeigneter durch ein Computerprogramm ausführbarer Code
ist in Teilen des Programmspeichers 108 gespeichert, um
die Passwort-Prüflogik
und Zwangs-Passwort-Prüflogik
darzustellen, wie unten beschrieben.
-
Die
Steuerungs-CPU 106 unterliegt typischerweise einem Hauptsteuerprogramm,
wie in der 3 dargestellt wird. Hier wird
nach einem Hochfahren oder Anschalten bei 300, wenn ein
Passwortschutz aufgerufen ist, ein Zugriffs-Flag 1A zurückgesetzt
bei 301, um einen Zugriff zu gespeicherten Daten und einen
Normalbetrieb zu blockieren (und möglicherweise auch nach dem
Abschließen
anderer herkömmlicher
Organisationsaufgaben), geht die Steuerung zu einer Passwort-Prüflogik-Teilroutine 302.
Bei Ausgabe von der Passwort-Prüflogik 302 wird
bei 304 eine Entscheidung getroffen, ob ein Zugriff erlaubt
ist. Wenn nicht, dann wird eine Warteschleife für eine Passworteingabe über 306 eingegeben.
Andererseits, wenn ein geeignetes Passwort eingegeben wurde und
ein Zugriff erlaubt ist, dann werden bei 308 normale Operationen
eingegangen (einschließlich
ein Zugriff zu gespeicherten Daten). Unter anderem umfassen diese
normalen Operationen in dem beispielhaften Ausführungsbeispiel eine Option,
bis zu Nmax Zwangs-Passwörter zu setzen (und Nmax kann sogar von einer Vorrichtung zu einer
anderen variiert werden, so dass ein Angreifer weniger wahrscheinlich
wissen kann, wie viele Zwangs-Passwörter existieren).
-
In
einem bevorzugten Ausführungsbeispiel wird/werden
das Passwort/die Passwörter
gespeichert in der Vorrichtung 100 nur als kryptographische Hash-Version(en) des/der
tatsächlichen
Passworts/Passwörter.
Wenn ein Passwort eingegeben wird, wird es dann ähnlich „ge-hashed" und mit dem gespeicherten „gehashed" Passwort verglichen.
In den unten beschriebenen beispielhaften Ausführungsbeispielen werden Flags
verwendet, die „gesetzt" und "zurückgesetzt" werden können, um
eine Statusinformation zu bezeichnen. Es ist offensichtlich, dass
das Vorhandensein oder das Fehlen eines „ge-hashed" akzeptablen Passworts in einem vorgegebenen
Datenspeicherfeld einen solchen Setzen- oder Zurücksetzen-Flag-Wert darstellen kann.
-
Die
Zwangs-Passwort-Setzen-Option-Logik wird in der 4 dargestellt
unter Verwendung eines gewünschten
manuell gewählten
Menüoptionsverfahrens.
Dem Benutzer wird bei 402 eine Option gegeben, existierende
Zwangs-Passwörter
zu löschen. Wenn
diese Option gewählt
wird, dann wird dem Benutzer bei 404 auch erlaubt, eine
weitere Option zum Löschen
aller vorher gespeicherten Zwangs-Passwörter zu wählen. Wenn diese Option gewählt wird, dann
werden alle derartigen existierenden Zwangs-Passwörter bei 406 gelöscht. Wenn
die Option zum Löschen
aller Zwangs-Passwörter
bei 404 nicht gewählt
wird, dann wird dem Benutzer erlaubt, ein bestimmtes Zwangs-Passwort
zum Löschen
bei 408 zu wählen
und dieses Passwort wird dann bei 410 gelöscht. Danach
wird dem Benutzer eine weitere Option bei 412 gegeben,
um möglicherweise
ein weiteres vorher gespeichertes Zwangs-Passwort zu löschen.
-
Nach
Beendigung eines gewünschten
Löschungsprozesses, überprüft die Logik
bei 414, um zu sehen, ob die Anzahl von gespeicherten Zwangs-Passwörtern bereits
gleich der Höchstzahl Nmax ist. Wenn dem so ist, wird eine geeignete
Benutzeranzeigenachricht bei 416 vorgesehen und die Teilroutine
wird bei 418 verlassen. Wenn es jedoch noch einen zugeteilten
Raum in dem Speicher gibt, um Zwangs-Passwörter zu akzeptieren, dann wird dem
Benutzer bei 420 die Option gegeben, dies zu tun. Wenn
diese Option gewählt
wird, dann wird ein gewünschtes
neues Zwangs-Passwort manuell eingegeben (möglicherweise zweimal zur Bestätigung) bei 422,
bevor die Steuerung zurückkehrt
zu dem Test bei 414 fük
die mögliche
Eingabe eines weiteren Zwangs-Passworts. Auf diese Weise kann in
diesem beispielhaften Ausführungsbeispiel
der Benutzer manuell bis zu den Nmax Zwangs-Passwörtern setzen (selbstverständlich kann
Nmax auf eins gesetzt werden, wenn die mobile
Kommunikationsvorrichtung 100 hergestellt und an den Benutzer
verteilt wird).
-
In
diesem beispielhaften Ausführungsbeispiel
wird dem Benutzer zuerst eine Option präsentiert, existierende Passwörter zu
löschen,
und dann eine Option präsentiert,
Zwangs-Passwörter
hinzuzufügen.
Selbstverständlich
kann jede dieser Optionen dem Benutzer gleichzeitig in einem einzigen Menü präsentiert
werden, aus dem jede gewünschte Option
direkt gewählt
werden kann (d. h. ohne durch mehrere aufeinander folgende optionale
Selektionen zu gehen).
-
Wie
in 5 gezeigt, wird die Passwort-Prüflogik bei 500 begonnen
und bei 502 wird ein Test durchgeführt, um festzustellen, ob ein
eingegebenes Passwort ein normales Passwort (NPW – normal
password) ist. Wenn es keines ist, dann wird ein weiterer Test bei 504 gemacht,
um zu sehen, ob das eingegebene Passwort einem der Nmax akzeptablen Zwangs-Passwörter entspricht.
Wenn nicht, dann bleibt der Zugriff zu gespeicherten Daten und normalen
Operationen weiter blockiert bei 506 und die Teilroutine
wird bei 508 verlassen.
-
Wenn
ein akzeptables Zwangs-Passwort vorhanden ist bei 504,
dann wird eine Zwangsnachricht bei 510 an einen vorgegebenen
(d. h. vorher spezifizierten) E-Mail-Empfänger gesendet,
um diesen Empfänger
zu alarmieren, dass ein bestimmtes Konto/ein Inhaber/eine Vorrichtung
unter Zwang ist. Wie in der 5 angemerkt,
wird die Zwangsnachricht vorzugsweise ohne ein normales Nachrichtenprotokoll
gesendet, um keine Benutzer-zugängliche Anzeige
zu liefern, dass die Nachricht gesendet wurde. Dies deswegen, da
der Angreifer ansonsten entdecken könnte, dass die Vorrichtung
in den Zwangs-Modus gesetzt wurde. Dennoch wird in dem beispielhaften
Ausführungsbeispiel
ein spezielles Erlaubnis-Zugriffs-Flag 1B bei 512 gesetzt,
das intern verwendet werden kann (d. h. ohne einen Benutzerzugriff),
um anzuzeigen, dass die Vorrichtung in einem Zwangs-Modus ist.
-
Obgleich
es viele interne Verwendungen des Zwangs-Modus-Flags 1B geben
kann, wird eine Verwendung in dem beispielhaften Ausführungsbeispiel in
der 5 dargestellt, wenn der Test bei 502 feststellt,
dass ein normales Passwort eingegeben wurde. Wenn dem so ist, wird
ein Test bei 514 durchgeführt, um zu sehen, ob das Zwangs-Modus-Flag 1B gesetzt
wurde. Wenn dem so ist, dann wird eine „Ende des Zwangs"-Nachricht bei 516 gesendet.
Außerdem,
wie auch in der Logik der 5 dargestellt
wird, wenn ein normales Passwort eingegeben wurde, dann wird, ob
das Zwangs-Modus-Flag 1B gesetzt wurde oder nicht, das „Zu griff
erlauben"-Flag 1A (d. h.
das normale Zugriffs-Flag) bei 518 gesetzt. Selbstverständlich wird
das Zwangs-Modus-Flag 1B zurückgesetzt, wenn die „Ende des
Zwangs"-Nachricht bei 516 gesendet
wird.
-
Das
Zwangs-Modus-Flag 1B wird auch verwendet, um einen Zugriff
zu den Zwangs-Passwort-Konfigurationsoptionen, zum Beispiel zu der Zwangs-Passwort-Einstellungs-Option,
zu gewähren oder
zu verbieten. Wenn das Zwangs-Modus-Flag 1B gesetzt
ist, dann wird ein Zugriff zu den Zwangs-Passwort-Konfigurationsoptionen
nicht erlaubt. Dies verhindert, dass der Angreifer die Anzahl der
gesetzten Zwangs-Passwörter
oder die Weise feststellt, auf welche die Zwangs-Passwörter definiert werden.
Wenn das Zwangs-Modus-Flag 1B nicht gesetzt wurde, dann
ist ein Zugriff zu den Zwangs-Passwort-Konfigurationsoptionen erlaubt.
-
In
einigen Implementierungen kann das Zwangs-Modus-Flag 1B möglicherweise
nicht vorhanden sein. Wenn ein akzeptables Zwangs-Passwort bei 504 eingegeben
wird, dann wird eine Zwangsnachricht bei 510 gesendet,
ohne das Zwangs-Modus-Flag 1B in 512 zu
setzen. Da das Zwangs-Modus-Flag 1B nicht verwendet wird,
wird der Test bei 514 nicht durchgeführt, und die „Ende des
Zwangs"-Nachricht wird nicht
gesendet bei 516.
-
Ein
Beispiel einer Zwangsnachricht wird in der 7 dargestellt.
Das Empfängerfeld 700 kann durch
den Benutzer oder die Organisation des Benutzers voreingestellt
werden (zum Beispiel als Teil der definierten IT-Richtlinienregeln
einer Organisation, die heruntergeladen werden von einem Server
oder anderweitig in die Vorrichtung 100 eingegeben während des
Aufbaus und der Ausgabe der mobilen Kommunikationsvorrichtung 100 durch
eine Organisation an ihre Angestellten). Der Empfänger sollte selbstverständlich eine
Einzelperson oder eine Organisation sein, die ankommende E-Mail-Nachrichten auf
Zwangsnachrichten überwachen
soll – und
vorbereitet sein, um geeignete Schritte zu unternehmen in dem Fall,
dass eine Nachricht empfangen wird. Die Zwangsnachricht kann eine
PIN 702 (personal identification number), eine Besitzeridentifikation 704,
die Zeit 706, zu der die Zwangsnachricht gesendet wurde,
das gesetzte Zwangs-Flag 1B (um anzuzeigen, dass dies eine
Zwangsnachricht anstatt einer „Ende des
Zwangs"-Nachricht
ist) und jede andere Information umfassen, die durch einen bestimmten
Benutzer oder eine Benutzerorganisation gewünscht sein kann. Eine „Ende des
Zwangs"-Nachricht
kann ein ähnliches
Format und Inhalt haben, außer
dass sie den Zurücksetzen-Wert
des Zwangs-Flags 1B anstatt des gesetzten Werts umfassen
würde,
um so das Ende einer vorherigen Periode eines Zwangs anzuzeigen.
-
6 liefert
einige Beispiele von geeigneten Weisen, um Zwangs-Passwörter zu
definieren. Das einfachste Beispiel 1 verwendet ein einzelnes DPW, das
manuell durch den Benutzer eingegeben wird, wie gewünscht. Wenn
zum Beispiel das normale Passwort „Mike" ist, kann das Zwangs-Passwort jede Zeichenfolge
von Buchstaben völlig
ohne Bezug sein, wie „water".
-
Das
zweite Beispiel in der 6 zeigt eine einfache manuell
eingegebene Vielzahl von Zwangs-Passwörtern, wobei der Benutzer alle
gewünschten
willkürli
chen Zeichenfolgen als Zwangs-Passwörter eingeben kann (zum Beispiel „water" und „fire").
-
Das
dritte Beispiel, das in der 6 dargestellt
wird, definiert ein Zwangs-Passwort
als das normale Passwort mit angefügten und/oder vorangestellten
Ziffern. Die Definition eines Zwangs-Passworts kann algorithmisch
automatisch durch eine geeignete Logik bestimmt werden oder kann
alternativ eine manuelle Eingabe von gewünschten bestimmten Präfixen und/oder
Suffixen durch den Benutzer umfassen.
-
Das
vierte Beispiel in der 6 definiert einfach ein Zwangs-Passwort
als ein normales Passwort mit einem beliebigen zusätzlichen
Zeichen (d. h. tatsächlich
eine „wild
card") als ein Suffix
oder Präfix (oder
sowohl Präfix
als auch Suffix).
-
Das
fünfte
Beispiel in der 6 definiert das Zwangs-Passwort
als eine Permutation der ersten und letzten Ziffern des normalen
Passworts. Wenn zum Beispiel das normale Passwort „password" ist, und n entspricht
2, dann kann das Zwangs-Passwort „APSSWODR" sein. In dieser
Beschreibung sollte angemerkt werden, dass der Wert einer „Ziffer" jeden akzeptablen
verwendbaren alphabetischen, numerischen, symbolischen oder anderen
Platz-Wert haben kann.
-
Das
sechste Beispiel in der 6 definiert das Zwangs-Passwort
als die umgekehrte Permutation der normalen Passwort-Stellen. Eine
weitere beispielhafte Permutation des normalen Passworts, um das
Zwangs-Passwort zu definieren, wird als Beispiel 7 in der 6 dargestellt,
wobei die Ziffern des normalen Passworts n Mal rotiert wurden (n
= 2 in dem Beispiel, das gezeigt wird in der 6).
-
In
einem beispielhaften Ausführungsbeispiel, wie
angewendet auf die drahtlose Kommunikationsvorrichtung 100,
kann es eine Option geben (unter einer Optionen-Anzeige aus einer
Anwendungsliste), ein Zwangs-Passwort zu setzen. Der Benutzer kann so
viele Zwangs-Passwörter
haben wie Nmax Um ein neues Zwangs-Passwort
einzugeben, gibt es der Benutzer manuell ein (und kann dann gebeten
werden, es zu bestätigen).
Es kann auch eine Option zum Löschen
ALLER Zwangs-Passwörter
geben. Dies würde
dem Benutzer ermöglichen,
neu zu beginnen, wenn einige Zwangs-Passwörter vergessen wurden.
-
Ein
Grund, warum ein Benutzer mehr als ein Zwangs-Passwort haben möchte, ist,
zu verhindern, dass ein kenntnisreicher Angreifer, anstatt nur nach dem
normalen Passwort zu fragen, nach dem normalen Passwort und dem
Zwangs-Passwort fragt. Wenn es nur ein Zwangs-Passwort gibt, dann
hat der Angreifer eine 50% Chance, zu schätzen, welches das normale ist.
Da es keine theoretische Begrenzung der Anzahl von Zwangs-Passwörtern gibt,
die ein Benutzer haben kann, weiß der Angreifer nicht, nach wie
vielen er fragen muss. Wenn der Angreifer nach dem normalen Passwort
und dem Zwangs-Passwort fragt, kann der Benutzer zwei Zwangs-Passwörter haben,
die an den Angreifer gegeben werden können, und das reale Passwort
wird folglich nicht offen gelegt.
-
In
einigen Implementierungen kann es am besten sein, mit einem Zwangs-Passwort zu beginnen.
N-Zwangs-Passwörter
helfen, einen kenntnisreichen Angreifer zu stoppen, aber es kann
Probleme geben beim sicheren Speichern zahlreicher Passwörter.
-
Eine
andere Weise, ein Zwangs-Passwort zu definieren, ist, einfach Kombinationen
des normalen Passworts mit einer anderen Zeichenfolge zu akzeptieren.
Zum Beispiel, wenn ein normales Passwort „mike" ist, dann können Zwangs-Passwörter „mike" sein, gefolgt von einigen Ziffern.
So werden „mikel", „mike2", „mike32", „mike47854", etc. alle als Zwangs-Passwörter akzeptiert.
Diese zusätzlichen Ziffern
(zwar nicht begrenzt auf Ziffern, aber nützlich als Darstellung) können ein
Suffix oder ein Präfix oder
beide sein.
-
Als
eine andere Variante kann ein Zwangs-Passwort gleich einer Zeichenfolge
gesetzt werden und dann akzeptiert die Vorrichtung diese Zeichenfolge
oder Varianten dieser Zeichenfolge als Zwangs-Passwörter. Somit,
wenn ein Zwangs-Passwort „neil" ist, würde die
Vorrichtung für
das Zwangs-Passwort „neil", „neill", „neill23", etc. akzeptieren.
-
Eine
Permutation des normalen Passworts kann auch als das Zwangs-Passwort
verwendet werden. Einige Beispiele sind:
- a.
Permutieren der ersten n Buchstaben und/oder der letzten n Buchstaben
(so ist password => apsswodr,
wenn die ersten und letzten zwei Buchstaben permutiert werden).
Vorsicht vor Passwörtern wie „hhelpp".
- b. Rückwärtsschreiben
des Passworts (somit help => pleh).
Vorsicht bei Palindromen.
- c. Rotieren der Buchstaben einige Male (somit, wenn sie zweimal
rotiert werden dann password => rdpasswo).
Vorsicht vor Passwörtern,
die alle denselben Ziffernwert haben.
- d. Andere Typen von Permutation können auch akzeptabel sein.
-
Dies
sind nur Beispiele, die in Betracht gezogen wurden. Es ist jedoch
wichtig, dass das Zwangs-Passwort genauso „stark" ist wie das Vorrichtungs-Passwort.
Andernfalls kann ein Angreifer das Zwangs-Passwort einfach raten
und Zugriff auf die Vorrichtung haben. Eine Zwangs-Benachrichtigung
kann gesendet worden sein, aber der Angreifer würde weiter Zugriff auf die
Information auf der Vorrichtung haben.
-
Sobald
das Zwangs-Passwort eingerichtet wurde, kann es verwendet werden.
Wenn jemand eines der Zwangs-Passwörter in den Verriegelungs-Bildschirm
eingibt, sendet die Vorrichtung dann still ein E-Mail an ein spezifiziertes
E-Mail-Konto und alarmiert
denjenigen, der dieses Konto überwacht, dass
die Vorrichtung unter Zwang ist. Dieses E-Mail, das gesendet wird,
erscheint nicht in der Nachrichtenliste (andernfalls kann der Angreifer
wissen, dass die Vorrichtung in dem Zwangs-Modus ist).
-
Das
E-Mail enthält
eine Identifikationsinformation über
die Vorrichtung: die PIN, eine Besitzerinformation, wenn vorhanden,
eine aktuelle Uhrzeit (ob in lokaler Zeit oder umgewandelt in GMT)
und jede weitere erforderliche Information. Das E-Mail-Format ist
entweder auf der Vorrichtung fest-codiert oder durch die IT-Richtlinie gesetzt.
Die E-Mail-Adresse, an die es gesendet werden soll, kann ebenfalls
durch eine IT-Richtlinie spezifiziert werden.
-
Wann
immer das Zwangs-Passwort in einen Passworteingabe-Bildschirm eingegeben
wird, wird dieses E-Mail gesendet. Auch das erste Mal, wenn das
normale Passwort eingegeben wird, nachdem die Vorrichtung in dem
Zwangs-Modus gewesen ist, wird ein Benachrichtigungs-E-Mail gesendet
(um anzuzeigen, dass der Zwangs-Modus vorbei ist).
-
Während die
Erfindung beschrieben wurde in Zusammenhang mit dem, was momentan
betrachtet wird als die praktischsten und bevorzugten beispielhaften
Ausführungsbeispiele,
sollte offensichtlich sein, dass die Erfindung nicht auf die offenbarten Ausführungsbeispiele
begrenzt sein soll, sondern soll im Gegenteil alle Variationen,
Modifikationen und äquivalente
Anordnungen abdecken, die in dem Umfang der angefügten Ansprüche enthalten
sind.