WO2006103165A2 - Anordnung sowie verfahren zur bereitstellung einer authentifizierungsfunktion an einer authentifizierungseinrichtung - Google Patents

Anordnung sowie verfahren zur bereitstellung einer authentifizierungsfunktion an einer authentifizierungseinrichtung Download PDF

Info

Publication number
WO2006103165A2
WO2006103165A2 PCT/EP2006/060728 EP2006060728W WO2006103165A2 WO 2006103165 A2 WO2006103165 A2 WO 2006103165A2 EP 2006060728 W EP2006060728 W EP 2006060728W WO 2006103165 A2 WO2006103165 A2 WO 2006103165A2
Authority
WO
WIPO (PCT)
Prior art keywords
module
authentication
arrangement
communication connection
authentication device
Prior art date
Application number
PCT/EP2006/060728
Other languages
English (en)
French (fr)
Other versions
WO2006103165A3 (de
Inventor
Stephan Lechner
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2006103165A2 publication Critical patent/WO2006103165A2/de
Publication of WO2006103165A3 publication Critical patent/WO2006103165A3/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B13/00Burglar, theft or intruder alarms
    • G08B13/22Electrical actuation
    • G08B13/24Electrical actuation by interference with electromagnetic field distribution

Definitions

  • the invention relates to an arrangement for providing an authentication function according to the preamble of claim 1 and a method for providing an authentication function according to the preamble of claim 10.
  • Authentication functions are generally known, for example in the context of access control, but also for release of data or similar applications, which can be carried out depending on a successful authentication.
  • the relevant information for identification via a radio or an infrared transmission to the relevant authentication device is transmitted.
  • the transmission power of a module required for such a transmission is usually directly proportional to its dimensions.
  • the object underlying the invention is to provide a method and an arrangement which eliminate such a safety risk with constant flexibility. This object is achieved on the basis of the arrangement according to the preamble of claim 1 by its features and starting from the method according to the preamble of claim 10 by the features thereof.
  • the inventive arrangement for providing an authentication function to an authentication device consists of at least two modules contributing to the authentication function, wherein a first module and a second module are configured such that a first communication connection is established only if the first module in the Near field of the second module is located and wherein the first module and the second module are configured such that they can only provide the authentication device via at least a second communication connection valid authentication information when the first communication link is established.
  • an authentication function is provided, which is based on multi-stage, which prevents the theft of a visible identification module, an unauthorized third party is thereby directly in a position to obtain unauthorized access.
  • This is inventively achieved in that the valid authentication information can be provided only if the two modules are in close proximity to each other, this near field is determined in its extent by the fact that the first communication link only within this near field can stand.
  • the first and the second module are configured such that the authentication information is formed on the basis of a first authentication information generated by the first module. This ensures that, for example, the second module only generates this first authenticated the second module thus does not require special intelligence and can be reduced in power consumption and extent, while the first module, since it is located in a near field of the second module, only means with low power consumption and for the first communication link Small dimension required, which can compensate for a possible additional overhead for generating the first authentication information in total so that the first module can also be reduced in its dimensions in terms of dimension and power consumption.
  • the first module and the second module may be configured such that the first authentication information is formed on the basis of a second authentication information generated by the second module.
  • the function of the first module would be such that it simply triggers the transmission of the authentication information by staying in the near field of the second module, for example only if it is detected by the second module as being in the near field.
  • this development can also be used in addition to the above-mentioned embodiment in such a way that the first module forms a first authentication information and the second module forms a second authentication information, so that overall the valid authentication information, which ultimately grants access, is formed on the basis of the first and the second authentication information, which makes it difficult for a third party to attack because both the first and the second carry a secret necessary for the authentication function, so that the suspected attacker necessarily needed both modules to gain unauthorized access to get, Thus, with a theft of the second module and a simulation of the first module alone, it would not be possible to gain access.
  • the first module and the second module are configured such that the first communication connection is established by causing an electrical contact between the first module and the second module. This requires the immediate abutment of the first module with the second module, i. the minimum dimension that the near field can have. It is clear that this electrical contact is made by a detachable connection, since a stealing of the second module would otherwise lead to a simultaneous loss of the first module.
  • the first module and the second module are configured such that the first communication connection is established by establishing a wireless short-range radio link between the first and the second module.
  • the compulsion to produce an electrical contact is freed, so that, for example, as a user who can transport a radio module locally separated from each other on the body. In this way, a simultaneous stealing of both modules is definitely made much more difficult.
  • the second module and the authentication device are configured such that the second communication link functions as a wireless communication link, it is achieved that contactless access or release of data can take place.
  • the second module and the authentication device are configured in such a way that the second communication connection is in accordance with a second transmission connection which differs from a first transmission standard of the first communication connection.
  • Transfer standard is achieved, one achieves the advantage that a possible eavesdropper must operate a higher effort, since he must be able to eavesdrop on two different transmission standards.
  • the first module and / or the second module and the authentication device are preferably configured as a radio frequency identification "RF-ID, Bluetooth-WLAN-WMAX and / or DECT device”.
  • the object is also achieved by the inventive method for providing an authentication function to an authentication device, in which access is only possible if at least a first module and a second module must come so close to each other that a valid Authentication information can be transmitted to the authentication device.
  • This method has the advantage of being able to be carried out flexibly with common communication modules or identification modules and protects against misuse or damage. unauthorized access or access in that the authentication is only enabled by a multi-level system, which prevents the access and release can already be obtained by stealing a single authentication control means.
  • FIGS. 1 a and 1 b show exemplary embodiments illustrated in FIGS. 2 and 3. It shows
  • FIG. 1 a shows an authentication function known from the prior art for implementing access control based on a short-range radio module
  • FIG. 1 b shows an authentication function known from the prior art on the basis of a communication standard that allows greater distances
  • FIG. 2 schematically shows an exemplary embodiment of the arrangement according to the invention, based on a short-range radio module and a radio module with a larger radio range;
  • FIG. 3 shows an exemplary embodiment with a radio module designed as an RF-ID tag and a wristwatch capable of Bluetooth communication, which jointly provide the authentication function.
  • FIG. 1 a schematically illustrates an arrangement known from the prior art for implementing an authentication function for realizing access control.
  • a module M1 which is designed for short-range radio communication, for example in accordance with Bluetooth or a communication, as used in radio identification (RF-ID) modules, can be seen here.
  • an access device ZP can be recognized, with which the module M1 in the context of an authentication function, a communication connection KOMl, for the Ü- transmission of authentication information - according to the example shown an access information - ZIl is necessary, so that the access device ZP on the basis of the transmitted authentication information ZIl the authorization for Can check access.
  • a second module M2 and an authentication device ZP which are located in a radio cell M2, which has a much larger radius than is the case in the example shown above, can be seen.
  • the second module could function according to a DECT or WLAN standard, so that a connection KOM2 to be generated for providing the authentication function is designed according to this standard.
  • a transmission of authentication information via this connection KOM2 is also required here in order to obtain access, for which purpose the authentication information ZI2 is transmitted to the authentication device ZP and checked by the latter for authorization ,
  • FIG. 2 shows a first exemplary embodiment of the invention, wherein the participating units are also shown schematically for this purpose.
  • a first module Ml 'functioning according to a short-range radio standard and a second module M2' functioning according to a longer distance enabling radio communication standard, as well as an authentication device, which likewise belongs to one of the larger ones, can be seen
  • first radio module Ml 'and the second radio module M2' are located in a near field N1, this near field resulting from the transmission power and / or the radio communication standard of the first radio module Ml '. Only in the case that both modules Ml 'and M2' are in this near field Nl, a communication link between the two modules Ml 'and M2' is possible.
  • a first authentication information ZI A ' is transmitted from the first module Ml' to the second module M2 '.
  • the first authentication information ZI A ' is then combined with a second authentication information ZI B 'generated by the second module M2', so that a valid authentication information ZI ( AB ) necessary for an access can be formed.
  • the second module M2' For the transmission of this valid authentication information ZI (AB) ', the second module M2' must be located in a radio radius in which a second communication connection KOM 'to the authentication device ZP can be established.
  • This radius is much larger than the radius of the near field Nl according to the embodiment, then e.g. effortless contactless access is possible.
  • the first module M1 ' can be mounted very small and thus very hidden on a user, while the second module M2' can be made larger and presumably because of the provision of communication at a greater distance, so that with a high probability in a theft attempt only the second module M2 '- optically, ie by seeing - is detected and can be lost, while the first module Ml' undetected and thus maintained at the user.
  • FIG. 3 shows a more concrete embodiment of the arrangement according to the invention.
  • a first module M1 'as a so-called RF-ID tag can for example be glued or even implanted on the hand of the authorized user and a second module M2' accommodated in a garment and in particular a watch can be, so that access to a space, which is secured by an authentication device ZP, only possible when the wristwatch is applied and thus it is in the near field of the first module Ml '.
  • the second module M2 ' may include and transmit the complete authentication information, which is only possible if it detects a first module Ml' in its near field.
  • the first module M1 ' can be freed from larger components and also consume less energy.
  • This variant is particularly suitable for RF-ID's, some without integrated Power supply and are powered only by received radio signals with energy, while radio modules that need to bridge a greater radio distance, such as the second radio module M2 'battery-powered must work, for example, this advantageously by the in the Module carrying clock contained battery can be done.
  • both modules M1 ', M2' can carry a secret that is necessary for the identification or authentication function, so that the case is made more difficult for an attacker to steal the second module M2 'and try to obtain the necessary impulse by borrowing generate, which triggers the transmission alone by the second module M2 'generated authentication information.
  • the invention is not limited to the illustrated example of the access, but includes all design variants that requires the authentication function according to the invention as the basis of a release.
  • all design variants should also be included, to which a person skilled in the art is able to readily consider them, which enable the core of the invention, namely the provision of an authentication function on an authentication device, by providing an access or release is only possible if at least a first module Ml 'and a second module M2' come so close to each other that a valid authentication sinformation can be transmitted to the authentication device.

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Electromagnetism (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Communication Control (AREA)

Abstract

Die Erfindung betrifft eine Anordnung zur Bereitstellung einer Authentifizierungsfunktion an einer Authentifizierungseinrichtung, die zumindest aus zwei zur Authentifizierungs- funktion beitragenden Modulen besteht, wobei ein erstes Modul und ein zweites Modul derart ausgestaltet sind, dass eine erste Kommunikationsverbindung nur dann etabliert wird, wenn sich das erste Modul im Nahfeld des zweiten Moduls befindet und wobei das erste Modul und das zweite Modul derart ausgestaltet sind, dass sie der Authentifizierungseinrichtung über zumindest eine zweite Kommunikationsverbindung nur dann eine gültige Authentifizierungsinformation bereitstellen können, wenn die erste Kommunikationsverbindung etabliert ist. Des Weiteren betrifft die Erfindung ein eine mehrstufige Authentifizierungsfunktion bereitstellendes Verfahren.

Description

Beschreibung
Anordnung sowie Verfahren zur Bereitstellung einer Authenti- fizierungsfunktion an einer Authentifizierungseinrichtung
Die Erfindung betrifft eine Anordnung zur Bereitstellung einer Authentifizierungsfunktion gemäß dem Gattungsbegriff des Anspruchs 1 sowie ein Verfahren zur Bereitstellung einer Authentifizierungsfunktion gemäß dem Gattungsbegriff des An- spruchs 10.
Authentifizierungsfunktionen sind im Allgemeinen, beispielsweise im Rahmen einer Zugangskontrolle aber auch für Freigaben von Daten oder ähnliche Anwendungen, die abhängig von ei- ner erfolgreichen Authentifizierung durchgeführt werden können, bekannt. Häufig werden hierfür die betreffenden Informationen zur Identifikation über eine Funk- oder eine Infrarotübertragung an die betreffende Authentifizierungseinrichtung übermittelt. Hierbei kann im Allgemeinen davon ausgegangen werden, dass die Sendeleistung eines für eine derartige Übertragung notwendigen Moduls meist direkt proportional zu dessen Abmessungen ist.
Hieraus ergibt sich der Nachteil, dass für eine Authentifi- zierungsfunktion, welche in einem größeren Abstand zum Authentifizierungseinrichtung erfolgen soll, meist verhältnismäßig große Module verwendet werden, welche zum einen sehr leicht erkennbar und somit auch sehr leicht entwendbar sind und durch nicht berechtigte Dritte somit leicht für einen un- berechtigten automatischen Zugang, Freigabe bzw. Zugriff missbraucht werden können.
Die der Erfindung zugrunde liegende Aufgabe ist es, ein Verfahren sowie eine Anordnung anzugeben, die ein derartiges Si- cherheitsrisiko bei gleich bleibender Flexibilität beheben. Diese Aufgabe wird ausgehend von der Anordnung gemäß dem Gattungsbegriff des Anspruchs 1 durch dessen Merkmale sowie ausgehend von dem Verfahren gemäß dem Gattungsbegriff des Anspruchs 10 durch dessen Merkmale gelöst.
Die erfindungsgemäße Anordnung zur Bereitstellung einer Au- thentifizierungsfunktion an einer Authentifizierungseinrich- tung besteht zumindest aus zwei zur Authentifizierungsfunktion beitragenden Modulen, wobei ein erstes Modul und ein zweites Modul derart ausgestaltet sind, dass eine erste Kommunikationsverbindung nur dann etabliert wird, wenn sich das erste Modul im Nahfeld des zweiten Moduls befindet und wobei das erste Modul und das zweite Modul derart ausgestaltet sind, dass sie der Authentifizierungseinrichtung über zumin- dest eine zweite Kommunikationsverbindung nur dann eine gültige Authentifizierungsinformation bereitstellen können, wenn die erste Kommunikationsverbindung etabliert ist.
Durch diese erfindungsgemäße Anordnung wird eine Authentifi- zierungsfunktion bereitgestellt, welche auf Mehrstufigkeit basiert, die verhindert, dass durch die Entwendung eines sichtbaren Identifikationsmoduls ein unberechtigter Dritter dadurch unmittelbar in die Lage versetzt wird, unberechtigten Zugang zu erhalten. Dies wird erfindungsgemäß dadurch er- reicht, dass die gültige Authentifizierungsinformation nur dann bereit gestellt werden kann, wenn sich die beiden Module in unmittelbarer Nähe zueinander befinden, wobei dieses Nahfeld in seinem Ausmaß dadurch bestimmt ist, dass die erste Kommunikationsverbindung nur innerhalb dieses Nahfeldes be- stehen kann.
Bei einer ersten Weiterbildung der Erfindung sind dabei das erste und das zweite Modul derart ausgestaltet, dass die Authentifizierungsinformation auf Grundlage einer von dem ers- ten Modul erzeugten ersten Authentifizierungsinformation gebildet wird. Hierdurch wird erreicht, dass beispielsweise das zweite Modul lediglich diese erzeugte erste Authentifizie- rungsinformation an die Authentifizierungseinrichtung weiterleitet, das zweite Modul also eine besondere Intelligenz nicht erfordert und im Stromverbrauch und Ausmaß reduziert werden kann, während das erste Modul, da es sich in einem Nahfeld des zweiten Moduls befindet, für die erste Kommunikationsverbindung nur Mittel mit geringem Stromverbrauch und kleiner Dimension benötigt, was einem eventuellen Mehraufwand zur Erzeugung der ersten Authentifizierungsinformation insgesamt so ausgleichen kann, dass das erste Modul ebenfalls in seinen Ausmaßen bezüglich Dimension und Stromverbrauch reduziert werden kann.
Alternativ können bei einer weiteren Weiterbildung das erste Modul und das zweite Modul derart ausgestaltet sein, dass die erste Authentifizierungsinformation auf Grundlage einer von dem zweiten Modul erzeugten zweiten Authentifizierungsinformation gebildet wird. Dies hat den Vorteil, dass das erste Modul von einer zusätzlichen Intelligenz zur Erzeugung der ersten Authentifizierungsinformation befreit wird und somit sehr klein gehalten werden kann. Die Funktion des ersten Moduls würde dabei bei dieser Ausgestaltung derart sein, dass es die Übertragung der Authentifizierungsinformation einfach durch Aufenthalt im Nahfeld des zweiten Moduls anstößt, beispielsweise schon allein dadurch, dass es durch das zweite Modul als sich im Nahfeld befindend detektiert wird. Diese Weiterbildung kann aber auch ergänzend zur oben genannten Ausgestaltung eingesetzt werden und zwar in der Art, dass das erste Modul eine erste Authentifizierungsinformation bildet und das zweite Modul eine zweite Authentifizierungsinformati- on bildet, so dass insgesamt die gültige Authentifizierungsinformation, welche letztendlich den Zugang gewährt, auf Grundlage der ersten und der zweite Authentifizierungsinformation gebildet wird, wobei dies einen Angriff seitens eines Dritten dadurch erschwert, dass sowohl das erste als auch das zweite ein zur Authentifizierungsfunktion notwendiges Geheimnis tragen, so dass der mutmaßliche Angreifer unbedingt beide Module brauchte, um einen unberechtigten Zugang zu erlangen, es also mit einem Diebstahl des zweiten Moduls und einer Simulation des ersten Moduls alleine nicht möglich wäre, den Zugang zu erhalten.
Bei einer vorteilhaften Weiterbildung ist dabei vorgesehen, dass das erste Modul und das zweite Modul derart ausgestaltet sind, dass die erste Kommunikationsverbindung durch ein Herbeiführen eines elektrischen Kontaktes zwischen dem ersten Modul und dem zweiten Modul etabliert wird. Dies erfordert das unmittelbare Angrenzen des ersten Moduls an das zweite Modul, d.h. die minimalste Abmessung, die das Nahfeld haben kann. Dabei ist klar, dass dieser elektrische Kontakt durch eine lösbare Verbindung hergestellt wird, da ja ein Entwenden des zweiten Moduls andernfalls zu einem gleichzeitigen Ver- lust des ersten Moduls führen würde.
Bei einer alternativen Ausgestaltung ist es vorgesehen, dass das erste Modul und das zweite Modul derart ausgestaltet sind, dass die erste Kommunikationsverbindung durch Herbei- führen einer drahtlosen Kurzstreckenfunkverbindung zwischen dem ersten und dem zweiten Modul etabliert wird. Hierdurch wird der Zwang zum Herstellen eines elektrischen Kontaktes befreit, so dass man beispielsweise als Nutzer das eine Funkmodul örtlich getrennt voneinander am Körper transportieren kann. Hierdurch wird ein gleichzeitiges Entwenden beider Module auf jeden Fall deutlich erschwert.
Werden das zweite Modul und die Authentifizierungseinrichtung derart ausgestaltet, dass die zweite Kommunikationsverbindung als drahtlose Kommunikationsverbindung funktioniert, wird erreicht, dass ein berührungsloser Zugang bzw. Freigabe von Daten erfolgen kann.
Werden das zweite Modul und die Authentifizierungseinrichtung derart ausgestaltet, dass die zweite Kommunikationsverbindung gemäß einem sich von einem ersten Übertragungsstandard der ersten Kommunikationsverbindung unterscheidenden zweiten Ü- bertragungsStandard betrieben wird, erzielt man den Vorteil, dass ein möglicher Lauscher einen höheren Aufwand betreiben muss, da er zwei unterschiedliche Übertragungsstandards belauschen können muss. Zudem ist es möglich, hierdurch bei- spielsweise für das erste Modul einen Übertragungsstandard vorzusehen, der eine Übertragung innerhalb eines sehr kleinen Radius ermöglicht, wie es beispielsweise durch Bluetooth oder andere Funkstandards bei Nutzung der geringsten vorgeschriebenen Sendeleistungsstufe ermöglicht wird, während man für das zweite Modul einen Übertragungsstandard verwendet, der eine Kommunikation in einer größeren Distanz ermöglicht, wobei das zweite Modul ja in der Lage sein muss, beide Übertragungsstandards durchzuführen, da es ja sowohl die erste Kommunikationsverbindung als auch die zweite Kommunikationsver- bindung etabliert. Durch diese Ausgestaltung wird der erfindungsgemäße Gedanke der Separierung von Authentifizierungsin- formationen derart, dass es einem Angreifer erschwert wird, nur durch Entwenden allein eines Moduls Zugang zu Daten, Anwendungen oder geschützten Bereichen erreichen, weil dies nur dann geht, wenn die beiden Module sich in unmittelbarer Nähe befinden, besonders gestützt.
Vorzugsweise sind dabei das erste Modul und/oder das zweite Modul sowie die Authentifizierungseinrichtung als Radio Fre- quency Identification „RF-ID, Bluetooth-WLAN-WMAX- und/oder DECT-Gerät" ausgestaltet.
Die Aufgabe wird aber auch durch das erfindungsgemäße Verfahren zur Bereitstellung einer Authentifizierungsfunktion an einer Authentifizierungseinrichtung gelöst, bei der ein Zugang bzw. Freigabe nur dann möglich wird, wenn zumindest ein erstes Modul und ein zweites Modul derart nahe zueinander zu liegen kommen müssen, dass eine gültige Authentifizierungsin- formation an die Authentifizierungseinrichtung übertragen werden kann. Dieses Verfahren hat den Vorteil, flexibel mit gängigen Kommunikationsmodulen bzw. Identifikationsmodulen durchgeführt werden zu können und schützt vor Missbrauch bzw. unberechtigten Zugang bzw. Zugriff dadurch, dass die Authentifizierung nur durch ein mehrstufiges System ermöglicht wird, welches verhindert, dass durch Entwendung eines einzigen Authentifizierungskontrollmittels schon ein Zugang bzw. eine Freigabe erhalten werden kann.
Weitere Vorteile sowie Einzelheiten der Erfindung werden ausgehend von dem in den Figuren Ia und Ib dargestellten Stand der Technik anhand von in den Figuren 2 und 3 dargestellten Ausführungsbeispielen näher erläutert. Dabei zeigt
Figur Ia eine aus dem Stand der Technik bekannte Authentifi- zierungsfunktion zur Realisierung einer Zugangskontrolle auf Grundlage eines Kurzstreckenfunkmoduls;
Figur Ib eine aus dem Stand der Technik bekannte Authentifi- zierungsfunktion auf Grundlage eines Kommunikationsstandards, der größere Distanzen erlaubt;
Figur 2 schematisch ein Ausführungsbeispiel der erfindungsgemäßen Anordnung, basierend auf einem Kurzstreckenfunkmodul und einem Funkmodul mit größerer Funkreichweite;
Figur 3 ein Ausführungsbeispiel mit einem als RF-ID-Tag ausgestalteten Funkmodul sowie einer zur Bluetooth- Kommunikation fähigen Armbanduhr, welche gemeinsam die Authentifizierungsfunktion bereitstellen.
In Figur Ia ist schematisch eine Anordnung dargestellt, wie sie gemäß dem Stand der Technik zur Umsetzung einer Authenti- fizierungsfunktion zur Realisierung einer Zugangskontrolle bekannt ist. Zu erkennen ist dabei ein Modul Ml, welches zu einer Kurzstreckenfunkkommunikation, beispielsweise gemäß Bluetooth oder einer Kommunikation, wie sie bei Radio Identification (RF-ID) Modulen zur Anwendung kommt, ausgestaltet ist. Des Weiteren ist eine Zugangseinrichtung ZP zu erkennen, mit welcher das Modul Ml im Rahmen einer Authentifizierungs- funktion eine Kommunikationsverbindung KOMl, die für die Ü- bertragung einer Authentifizierungsinformation - gemäß dem dargestellten Beispiel eine Zugangsinformation - ZIl notwen- dig ist, so dass die Zugangseinrichtung ZP anhand der übertragenen Authentifizierungsinformation ZIl die Berechtigung zum Zugang überprüfen kann.
In Figur Ib ist ebenfalls schematisch eine Darstellung einer weiteren aus dem Stand der Technik bekannten Anordnung zur
Bereitstellung einer Authentifizierungsfunktion dargestellt. Zu erkennen ist ein zweites Modul M2 sowie eine Authentifi- zierungseinrichtung ZP, die sich in einer Funkzelle M2 befinden, welche einen weitaus größeren Radius aufweist, als es in dem oben gezeigten Beispiel der Fall ist. Hierbei könnte beispielsweise das zweite Modul gemäß einem DECT- oder WLAN- Standard funktionieren, so dass eine zur Bereitstellung der Authentifizierungsfunktion zu erzeugende Verbindung KOM2 gemäß diesem Standard ausgestaltet ist. Wie in dem oben erläu- terten Beispiel ist auch hier eine Übertragung von Authenti- fizierungsinformationen über diese Verbindung KOM2 erforderlich, um einen Zugang zu erhalten, wobei hierzu die Authenti- fizierungsinformation ZI2 an die Authentifizierungseinrich- tung ZP übertragen und von dieser auf Berechtigung überprüft wird.
In der Figur 2 ist ein erstes Ausführungsbeispiel der Erfindung dargestellt, wobei hierzu ebenfalls schematisch die beteiligten Einheiten dargestellt sind.
Zu erkennen ist ein erstes gemäß einem Kurzstreckenfunkstandard funktionierendes Modul Ml' sowie ein zweites gemäß eine größere Distanz ermöglichenden FunkkommunikationsStandard funktionierenden Modul M2' sowie eine Authentifizierungsein- richtung, welche ebenfalls zu einer gemäß dem die größere
Distanz gewährleistenden FunkkommunikationsStandard ausgestaltet ist. Zu erkennen ist des Weiteren, dass das erste Funkmodul Ml' und das zweite Funkmodul M2' sich in einem Nahfeld Nl befinden, wobei sich dieses Nahfeld durch die Sendeleistung und/oder dem FunkkommunikationsStandard des ersten Funkmoduls Ml' ergibt. Nur in dem Fall, dass beide Module Ml' und M2' in diesem Nahfeld Nl sich befinden, ist eine Kommunikationsverbindung zwischen den beiden Modulen Ml' und M2' möglich.
Dabei ist schematisch angedeutet, dass über diese Kommunikationsverbindung eine erste Authentifizierungsinformation ZIA' , von dem ersten Modul Ml' an das zweite Modul M2' übertragen wird. Seitens des zweiten Moduls M2' empfangen wird dann die erste Authentifizierungsinformation ZIA' mit einer durch das zweite Modul M2' erzeugten zweiten Authentifizierungsinformation ZIB' verquickt, so dass eine für einen Zugang notwendige gültige Authentifizierungsinformation ZI (AB) gebildet werden kann.
Für die Übertragung dieser gültigen Authentifizierungsinformation ZI(AB)' muss sich das zweite Modul M2' in einem Funkradius befinden, in welchem eine zweite Kommunikationsverbindung KOM' zu der Authentifizierungseinrichtung ZP aufgebaut werden kann.
Dieser Radius ist gemäß dem Ausführungsbeispiel weitaus größer als der Radius des Nahfelds Nl, so dann z.B. mühelos ein kontaktloser Zugang ermöglicht wird.
Kommt nun das erste Modul Ml' durch Diebstahl abhanden, kann keine gültige Authentifizierungsinformation ZI (AB) ' gebildet werden, so dass die Authentifizierungseinrichtung ZP den Zutritt verweigert.
Gleiches gilt, wenn das zweite Modul M2' gestohlen wird. Erfindungsgemäß ist es dabei angedacht, dass das erste Modul Ml' sehr klein und damit sehr versteckt an einem Nutzer angebracht werden kann, während das zweite Modul M2' größer ausgestaltet sein kann und vermutlich wegen der Bereitstellung der Kommunikation in einer größeren Distanz auch sein wird, so dass mit einer hohen Wahrscheinlichkeit bei einem Diebstahlsversuch lediglich das zweite Modul M2' - optisch, d.h. durch Sehen - detektiert wird und abhanden kommen kann, während das erste Modul Ml' unentdeckt und somit beim Nutzer er- halten bleibt. Dies hat aber den Effekt, dass der unberechtigte Dritte sich zwar nun im Besitz des zweiten Moduls M2' befindet, es aber durch Entfernen aus dem Nahfeld Nl des ersten Moduls Ml' nicht mehr die gültige Authentifizierungsin- formation ZI (AB) generieren und an die Authentifizierungsein- richtung ZP übertragen kann.
In Figur 3 ist eine konkretere Ausführungsvariante der erfindungsgemäßen Anordnung dargestellt. Dabei ist zu erkennen, dass ein erstes Modul Ml' als so genanntes RF-ID-Tag bei- spielsweise auf die Hand des berechtigten Benutzers geklebt oder sogar implantiert werden kann sowie ein zweites Modul M2', welches in einem Kleidungsstück und insbesondere einer Uhr untergebracht sein kann, so dass ein Zugang zu einem Raum, welcher durch eine Authentifizierungseinrichtung ZP ge- sichert ist, nur dann möglich ist, wenn die Armbanduhr angelegt ist und es sich somit im Nahfeld des ersten Moduls Ml' befindet .
Die erfindungsgemäße Mehrstufigkeit kann dabei auf unter- schiedliche Weise erzeugt werden. Beispielsweise kann nach einer Ausführungsvariante das zweite Modul M2' die vollständige Authentifizierungsinformation beinhalten und übertragen, wobei dies nur dann möglicht ist, wenn es ein erstes Modul Ml' in seinem Nahfeld detektiert. Auf diese Art kann das ers- te Modul Ml' von größeren Bauteilen befreit werden und auch weniger Energie verbrauchen. Diese Variante ist insbesondere für RF-ID' s geeignet, die teilweise ganz ohne integrierte Stromversorgung funktionieren und lediglich durch empfangene Funksignale mit Energie gespeist werden, während Funkmodule, die eine größere Funkdistanz überbrücken müssen, wie beispielsweise das zweite Funkmodul M2' akku- bzw. batteriege- speist arbeiten müssen, wobei dies beispielsweise auf vorteilhafte Weise durch die in der das Modul tragenden Uhr enthaltenen Batterie erfolgen kann.
Auch ist es möglich, dass beide Module Ml', M2' ein zur Iden- tifikation bzw. Authentifizierungsfunktion notwendiges Geheimnis tragen, so dass der Fall erschwert wird, dass ein Angreifer das zweite Modul M2' entwendet und versucht, durch Fremdmittel den notwendigen Impuls zu erzeugen, welcher die Übertragung allein durch das zweite Modul M2' erzeugten Au- thentifizierungsinformation auslöst.
Die Erfindung ist dabei nicht auf das dargestellte Beispiel des Zuganges beschränkt, sondern umfasst alle Ausgestaltungsvarianten, die die erfindungsgemäße Authentifizierungsfunkti- on als Grundlage einer Freigabe benötigt. Zudem sollen auch alle Ausgestaltungsvarianten erfasst sein, zu der ein Fachmann in der Lage ist, sie ohne weiteres in Betracht zu ziehen, welche den erfindungswesentlichen Kern, nämlich die Bereitstellung einer Authentifizierungsfunktion an einer Au- thentifizierungseinrichtung zu ermöglichen, indem ein Zugang bzw. eine Freigabe nur dann möglich wird, wenn zumindest ein erstes Modul Ml' und ein zweites Modul M2' derart nahe zueinander zu liegen kommen, dass eine gültige Authentifizierung- sinformation an die Authentifizierungseinrichtung übertragen werden kann.

Claims

Patentansprüche
1. Anordnung (Ml', M2') zur Bereitstellung einer Authentifi- zierungsfunktion an einer Authentifizierungseinrichtung (ZP) dadurch gekennzeichnet, dass a) zumindest zwei zur Identifikationsfunktion beitragenden Module (Ml', M2'), b) das erste Modul (Ml') und das zweite Modul derart ausgestaltet sind, dass eine erste Kommunikationsverbindung nur dann etabliert wird, wenn sich das erste Modul (Ml') im Nahfeld (Nl) des zweiten Moduls (M2') befindet, c) das erste Modul (Ml') und das zweite Modul (M2') derart ausgestaltet sind, dass sie der Authentifizierungseinrichtung (ZP) über zumindest eine zweite Kommunikationsverbindung (KOMl) nur dann eine gültige Authentifizierungsinformation (ZIab' ) bereitstellen können, wenn die erste Kommunikationsverbindung etabliert ist.
2. Anordnung (Ml', M2') nach Anspruch 1, dass das erste Modul (Ml') und das zweite Modul (M2') derart ausgestaltet sind, dass die Authentifizierungsinformation (ZIab' ) auf Grundlage einer von dem ersten Modul (Ml') erzeugten ersten Authentifizierungsteilinformation (ZI3' ) gebildet wird.
3. Anordnung (Ml', M2') nach Anspruch 1 oder 2, dass das erste Modul (Ml') und das zweite Modul (M2') derart ausgestaltet sind, dass die Authentifizierungsinformation (ZIab' ) auf Grundlage einer von dem zweiten Modul (M2') erzeugten zweiten Authentifizierungsteilinformation (ZIb' ) gebildet wird.
4. Anordnung (Ml', M2') nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass erste Modul (Ml') und das zweite Modul (M2') derart ausgestaltet sind, dass die erste Kommunikationsverbindung durch Herbeiführen eines elektri- sehen Kontakts zwischen dem ersten Modul (Ml') und dem zweiten Modul (M2') etabliert wird.
5. Anordnung (Ml', M2') nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass erste Modul (Ml') und das zweite Modul (M2') derart ausgestaltet sind, dass die zweite Kommunikationsverbindung durch Herbeiführen eines elektri- sehen Kontakts zwischen der Authentifizierungseinrichtung
(ZP) sowie dem ersten Modul (Ml') und/oder dem zweiten Modul (M2') etabliert wird.
6. Anordnung (Ml', M2') nach einem der vorhergehenden Ansprü- che, dadurch gekennzeichnet, dass erste Modul (Ml') und das zweite Modul (M2') derart ausgestaltet sind, dass die erste Kommunikationsverbindung durch Herbeiführen einer drahtlosen Kurzstreckenfunkverbindung zwischen dem ersten Modul (Ml') und dem zweiten Modul (M2') etabliert wird.
7. Anordnung (Ml', M2') nach dem Anspruch 4 oder 6, dadurch gekennzeichnet, dass das zweite Modul (M2') und die Authenti- fizierungseinrichtung derart ausgestaltet sind, dass die zweite Kommunikationsverbindung als drahtlose Kommunikati- onsverbindung funktioniert.
8. Anordnung (Ml', M2') nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass das zweite Modul (M2') und die Authentifizierungseinrichtung derart ausgestaltet sind, dass die zweite Kommunikationsverbindung gemäß einem sich von einem ersten Übertragungsstandard der ersten Kommunikationsverbindung unterscheidenden zweiten Übertragungsstandard betrieben wird.
9. Anordnung (Ml', M2') nach dem vorhergehenden Ansprüche, dadurch gekennzeichnet, dass erste Modul (Ml') und/oder das zweite Modul (M2') als Radio Frequency Identification ,,RF- ID", Bluetooth, WLAN, WiMax und/oder DECT-Gerät kommunizieren können.
10. Verfahren zur Bereitstellung einer Authentifizierungs- funktion an einer Authentifizierungseinrichtung (ZP) dadurch gekennzeichnet, dass ein Zugang nur dann möglich wird, wenn zumindest ein erstes Modul (Ml') und ein zweites Modul (M2') derart nahe zueinander zu liegen kommen, dass eine gültige Authentifizierungsinformation an die Authentifizierungsein- richtung (ZP) übertragen werden kann.
PCT/EP2006/060728 2005-03-30 2006-03-15 Anordnung sowie verfahren zur bereitstellung einer authentifizierungsfunktion an einer authentifizierungseinrichtung WO2006103165A2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102005014518.3 2005-03-30
DE200510014518 DE102005014518A1 (de) 2005-03-30 2005-03-30 Anordnung sowie Verfahren zur Bereitstellung einer Authentifizierungsfunktion an einer Authentifizierungseinrichtung

Publications (2)

Publication Number Publication Date
WO2006103165A2 true WO2006103165A2 (de) 2006-10-05
WO2006103165A3 WO2006103165A3 (de) 2006-12-21

Family

ID=36932737

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2006/060728 WO2006103165A2 (de) 2005-03-30 2006-03-15 Anordnung sowie verfahren zur bereitstellung einer authentifizierungsfunktion an einer authentifizierungseinrichtung

Country Status (2)

Country Link
DE (1) DE102005014518A1 (de)
WO (1) WO2006103165A2 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19527715A1 (de) * 1995-07-31 1997-02-06 Deutsche Telekom Mobil Verfahren zur Nutzeridentifikation und -authentifikation bei Datenfunkverbindungen, zugehörige Chipkarten und Endgeräte
EP0990356A1 (de) * 1997-06-16 2000-04-05 Swisscom AG Mobilgerät, chipkarte und kommunikationsverfahren
US6826690B1 (en) * 1999-11-08 2004-11-30 International Business Machines Corporation Using device certificates for automated authentication of communicating devices

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004036493A2 (de) * 2002-10-14 2004-04-29 Volker Budde Zugangskarte zum überprüfen einer zutrittsberechtigung zu einem sicherheitssystem

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19527715A1 (de) * 1995-07-31 1997-02-06 Deutsche Telekom Mobil Verfahren zur Nutzeridentifikation und -authentifikation bei Datenfunkverbindungen, zugehörige Chipkarten und Endgeräte
EP0990356A1 (de) * 1997-06-16 2000-04-05 Swisscom AG Mobilgerät, chipkarte und kommunikationsverfahren
US6826690B1 (en) * 1999-11-08 2004-11-30 International Business Machines Corporation Using device certificates for automated authentication of communicating devices

Also Published As

Publication number Publication date
DE102005014518A1 (de) 2006-10-12
WO2006103165A3 (de) 2006-12-21

Similar Documents

Publication Publication Date Title
DE10148830B4 (de) Verfahren und System zur Authentifizierung eines ersten Sende-/Empfangsgeräts gegenüber einem zu diesem entfernt angeordneten zweiten Sende-/Empfangsgerät
DE60121081T2 (de) Sicherheitssystem zum Ermöglichen eines authentifizierten Zugangs einer Person zu einem gesichertem Raum
EP2415028B1 (de) Mechatronische schliessvorrichtung
EP2377795B1 (de) Personenliftsystem mit Zugriffskontrolle
EP1284894B1 (de) Verfahren zum erkennen der lage eines tragbaren transponders sowie ein diebstahlschutzsystem
AT503122A4 (de) Vorrichtung zur zutrittskontrolle sowie schreib-/leseeinrichtung
DE19523009C2 (de) Authentifizierungssystem
DE102016203521A1 (de) Verfahren und System für ein Authentifizieren eines Benutzers sowie ein Kraftfahrzeug
WO2019105609A1 (de) VERFAHREN ZUM BETREIBEN EINER SCHLIEßEINRICHTUNG EINES KRAFTFAHRZEUGS, AUTORISIERUNGSEINRICHTUNG, ZUTRITTSKONTROLLEINRICHTUNG, STEUEREINRICHTUNG, UND MOBILES ENDGERÄT
DE19604206A1 (de) Transponder zum Übertragen insbesondere sicherheitstechnisch relevanter Daten zu einem Basisgerät
WO2006103165A2 (de) Anordnung sowie verfahren zur bereitstellung einer authentifizierungsfunktion an einer authentifizierungseinrichtung
EP2469481B1 (de) Sicherungssystem und Sicherungsverfahren
DE102016201786A1 (de) Zusatzgerät zur Verwendung mit einem intelligenten Gerät sowie System und Verfahren mit einem solchen Zusatzgerät
DE102007006473B4 (de) Verfahren zum Starten eines drahtlos zwischen einem Aktivteil und einem Reaktivteil übermittelten elektrischen Datendialogs
DE102010019467A1 (de) Kontaktlos arbeitendes Zugangssystem
DE102015222235B4 (de) Tragbare Vorrichtung und Verfahren zum Aktivieren oder Deaktivieren eines Kraftfahrzeugs
EP0879160B2 (de) Diebstahlsicherungseinrichtung für kraftfahrzeuge sowie verfahren zur diebstahlsicherung
DE10341456A1 (de) Manipulationsgeschützter Schlüssel
DE102016215628A1 (de) Kommunikationssystem zur Verwaltung von Nutzungsrechten an einem Fahrzeug
DE69933928T2 (de) Verfahren zur Zugangsberechtigung zu Rechneranwendungen
EP2095338A1 (de) Antenne eines rfid-lesegeräts für induktive datenkommunikation
DE102017103741A1 (de) Steuerung des Zugriffs auf eine Maschine, insbesondere auf eine industrielle Produktionsmaschine
DE102020108710A1 (de) Kombinationsschloss-system und verfahren zum betrieb desselben
DE102013108941A1 (de) Verfahren zur Datenzugriffsteuerung
DE102019133836A1 (de) Scheckkartenförmige Vorrichtung und Verfahren zum Aktivieren einer Datenübertragung einer scheckartenförmigen Vorrichtung

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

WWW Wipo information: withdrawn in national office

Country of ref document: DE

NENP Non-entry into the national phase

Ref country code: RU

WWW Wipo information: withdrawn in national office

Country of ref document: RU

122 Ep: pct application non-entry in european phase

Ref document number: 06708768

Country of ref document: EP

Kind code of ref document: A2

WWW Wipo information: withdrawn in national office

Ref document number: 6708768

Country of ref document: EP