WO2020234459A1 - Verfahren zur authentifizierung eines nutzers und authentifizierungssystem - Google Patents

Verfahren zur authentifizierung eines nutzers und authentifizierungssystem Download PDF

Info

Publication number
WO2020234459A1
WO2020234459A1 PCT/EP2020/064293 EP2020064293W WO2020234459A1 WO 2020234459 A1 WO2020234459 A1 WO 2020234459A1 EP 2020064293 W EP2020064293 W EP 2020064293W WO 2020234459 A1 WO2020234459 A1 WO 2020234459A1
Authority
WO
WIPO (PCT)
Prior art keywords
data signal
wireless optical
key device
authentication
signal
Prior art date
Application number
PCT/EP2020/064293
Other languages
English (en)
French (fr)
Inventor
Alexander Noack
Original Assignee
Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. filed Critical Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V.
Publication of WO2020234459A1 publication Critical patent/WO2020234459A1/de

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • G06Q20/108Remote banking, e.g. home banking
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C2009/00753Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys
    • G07C2009/00769Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means
    • G07C2009/00785Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means by light
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/28Individual registration on entry or exit involving the use of a pass the pass enabling tracking or indicating presence

Definitions

  • the present invention relates to a method for authenticating a user and to an authentication system for carrying out such a method.
  • the present invention also relates to a device with a control unit in order to control a wireless optical signal source for wireless optical authentication.
  • chipTAN the chipTAN procedure generates the TAN with the help of a TAN generator.
  • the SMS can be intercepted or forwarded.
  • apps available for forwarding an SMS, which can even be installed legally and free of charge.
  • the pushTAN procedure is also vulnerable if the smartphone has been hacked (infected with malicious software) so that the attacker can access the data remotely.
  • the chipTAN process can only be attacked if the attacker comes into possession of the chip card.
  • this means that the method can only be used for applications where the user has a corresponding chip card. All of the above methods have in common that they require manual interaction by the user.
  • One object of the present invention is therefore to create a method, an authentication system and a device which enable a user to be authenticated securely. This object is achieved by the subject matter of the independent patent claims.
  • the inventor has recognized that by using a wireless optical signal for data transmission in the context of user authentication, several synergetic aspects of the wireless optical signal can be used.
  • the wireless optical signal has a strong local limitation, which ensures that the wireless optical signal is sent from this local area or is received there, which leads to a so-called man-in-the-middle attack or other attempts to data.
  • Ten tapping made difficult, at the same time a simple and unambiguous assignment of the signal source to the signal sink based on a line of sight can take place, so that overall a very reliable assignment between signal source and signal sink can take place, which enables reliable authentication.
  • a method for authenticating a user comprises sending a first data signal to a key device assigned to the user.
  • the method further comprises sending a second data signal by means of the key device based on the first data signal and authenticating the user based on the second data signal.
  • the first data signal and / or the second data signal is transmitted as a wireless optical data signal. This makes it possible to determine that the user is present in the area predetermined by using the wireless optical signal.
  • Embodiments provide that the method includes determining a presence of the key device based on receipt of the second data signal, so that the authentication takes place based on the presence of the key device. This enables the explicit or implicit determination that the user assigned to the key device is at the specified location, which at least partially prevents maliciously incorrect authentication.
  • the first data signal is transmitted as a wireless optical data signal with a wireless optical signal source and a presence of the key device in a transmission range of the wireless optical signal source is determined.
  • the second data signal is received as a wireless optical data signal by a wireless optical receiving device and a presence of the key device in a receiving area of the wireless optical receiving device is determined. This can be done explicitly in that the data signal is evaluated, but can also be done implicitly in that a corresponding signal transmission is successful. This enables the localized assignment of a position of the key device and the user assigned to it.
  • the first data signal is sent as a wireless optical signal to the key device and the second data signal is sent as a wireless optical signal, for example to a source of the first data signal and / or to another device.
  • Optical data signals enable a high data transmission rate while avoiding cables and radio signals.
  • the authentication is an at least two-stage authentication.
  • the method includes performing a first partial authentication before authenticating the user based on the second data signal and performing a second partial authentication based on the transmission of the first data signal and / or the second data signal as a wireless optical data signal.
  • the wireless optical data signal is used as a higher, confirming level of an at least two-level authentication process, which enables secure authentication of the user.
  • the first partial authentication is carried out using a device and the second partial authentication is carried out in order to confirm the presence of the user adjacent to the device.
  • This enables a high level of security, in particular, when secure or confidential information is displayed, queried or output on the device and / or when, for example, goods are made available by the device.
  • a method comprises setting up a communication area in which wireless optical communication is provided.
  • the method further includes positioning the key device in the communication area.
  • the method is carried out such that the transmission of the wireless optical data signal is associated with a presence of the user assigned to the key device in or adjacent to the communication area.
  • the transmission of the second data signal with the key device is carried out automatically. This allows time-consuming and / or complicated user input for authentication to be avoided.
  • information is transmitted to the key device by means of the first data signal.
  • the method further comprises receiving a user input with the key device and providing the second data signal or a third data signal based on the user input.
  • This exemplary embodiment can be combined with the automatic transmission of the second data signal, for example, in such a way that the user input is received by the key device in advance, that is, before the second data signal is transmitted and / or before the first data signal is transmitted.
  • the first data signal can be understood as a trigger or trigger for the transmission of the thus predefined second data signal.
  • the second data signal is assigned to the key device. This means that the second data signal can enable identification of the key device.
  • the method includes receiving the second data signal, evaluating the second data signal as to whether the key device corresponds to a predetermined key device, the step of authenticating only being carried out if the key device corresponds to the predefined key device. This means that the key device can decide on access authorizations and / or authorizations for using services.
  • a method comprises outputting a data signal that the key device does not correspond to the predefined key device and / or denying an authorization that is dependent on the authentication based on the fact that the key device does not correspond to the predefined key device. This enables both the denial of services by denying authentication and the output of appropriate alarms or notifications in order to further increase security.
  • an authentication system is set up for performing a method according to the invention.
  • the authentication system comprises a device for the operation of which the authentication is carried out.
  • This can be a device providing a corresponding service, a device providing functionality, such as a door, a computer, or the start of a machine or the like, but also an operator terminal for access for a service that is performed remotely.
  • the authentication system further comprises a wireless optical hot spot, that is to say a device for sending and / or receiving wireless optical signals. This enables the assignment and / or implementation of a control as to whether the user or the assigned key device is in a transmission area or the reception area of the hot spot, which represents an additional security feature.
  • the authentication system comprises a control unit which is designed to send an instruction signal, that is, instructions, to the wireless optical hot spot based on a request signal received from the device, for example a request, wherein the instructions or the instruction signal contains an instruction to transmit or receive the wireless optical data signal.
  • An instruction to receive can include, for example, the activation of corresponding interfaces and / or the establishment of readiness to receive.
  • the wireless optical hot spot is designed to provide a signal that indicates a result of the authentication. This makes it possible to provide the authentication at least to the extent of the optical wireless signal by the hot spot, so that the device or the service that performs the two-step authentication, for example, is only provided with a positive and / or negative result of the authentication which can mean a small adjustment effort on the service side.
  • control unit is arranged at least partially as part of the wireless optical hot spot and / or at least partially as part of the device. This makes it possible to avoid further, additional components.
  • a device comprises a control unit which is designed to control a wireless optical signal source and a plurality of devices for wireless optical authentication using at least one wireless optical data signal.
  • control unit is designed to provide a first device from the plurality of devices with a first data signal that has information that is designed to control the first device such that the first device requests information from a second device of the plurality of devices by means of a first wireless optical data signal as to whether a third device of the plurality of devices, for example the key device, is positioned for a wireless optical data link in a predetermined communication area.
  • FIG. 1 a shows a schematic flow diagram of a method according to an exemplary embodiment
  • 1 b shows a schematic flow diagram of a method according to an exemplary embodiment in which the presence of a user is determined
  • FIG. 2 shows a schematic flowchart of a method according to an exemplary embodiment, in which the authentication of the user is an at least two-stage authentication
  • FIG. 3 shows a schematic flow diagram of a method according to an exemplary embodiment, comprising a step for setting up a communication area
  • FIG. 4 shows a schematic flow diagram of a method according to an exemplary embodiment with a step for transmitting information to a key device by means of the first data signal;
  • FIG. 5 shows a schematic flow diagram of a method according to an exemplary embodiment, which can be carried out, for example, as part of other methods described herein;
  • 6a shows a schematic block diagram of an authentication system according to an exemplary embodiment, which is designed to optically transmit the second data signal wirelessly
  • 6b shows a schematic block diagram of an authentication system according to an exemplary embodiment, in which the first data signal is sent as a wireless optical data signal
  • FIG. 7 shows a schematic block diagram of an authentication system in accordance with an exemplary embodiment, which comprises a device for the operation of which the authentication is carried out;
  • FIG. 8 shows a schematic block diagram of an authentication system according to an exemplary embodiment which has a control unit
  • FIG. 9 shows a schematic block diagram of an authentication system according to an exemplary embodiment, in which the control unit is implemented in whole or in part as part of a hot spot or the device.
  • the following exemplary embodiments relate to wireless optical signal transmission or data transmission.
  • this is also referred to as Li-Fi (light fidelity; light transmission).
  • Li-Fi also refers to terms such as IrDA (Infrared Data Association) or OWC (Optical Wireless Communication)]
  • IrDA Infrared Data Association
  • OWC Optical Wireless Communication
  • Optical wireless data transmission is understood here to mean transmitting an electromagnetic signal through a free transmission medium, for example air or another fluid.
  • a free transmission medium for example air or another fluid.
  • UV ultraviolet
  • a wireless optical data transmission is also to be differentiated from a wired optical data transmission, which is obtained, for example, by means of optical waveguides or optical waveguide cables.
  • Embodiments in connection with the present invention also relate to the authentication of a user.
  • This relates both to the authentication of a person of the user and to the authentication of groups of users.
  • Access to a personal account is an example of the personal authentication of a user.
  • a group of people can be used who have access to a specific area or to a specific service and whose authorization is queried.
  • the exemplary embodiments described herein use a key device which is designed to transmit a data signal. This data signal can send out a predetermined identifier, for example an identifier of a user assigned to the key device or a group of users or the key device itself.
  • the data signal can also include a result of processed information, such as a key, a TAN or a password based on on a received data signal, possibly with the help of a user input.
  • a result of processed information such as a key, a TAN or a password based on on a received data signal, possibly with the help of a user input.
  • the user authentication referenced here is thus to be distinguished from authentication as it occurs in the context of a wired or wireless communication setup, where, for example, details of a transmission protocol are transmitted or coordinated between devices.
  • Data signals described herein can be coded information that differs from other signals, for example optical recognition of patterns, for example in the course of an iris scan or a fingerprint.
  • a step 110 comprises sending a first data signal to a key device assigned to the user.
  • the first data signal can contain a request requesting a key device to send a response so that knowledge can be obtained based on the response that the request has been complied with.
  • a step 120 includes sending a second data signal with the key device based on the first data signal.
  • the second data signal can be a simple Answer without its own information design, since the temporal context can provide information that the request to send the second data signal has been complied with.
  • the second data signal can be a response to a request or challenge transmitted by the first data signal, that is to say is an adapted response.
  • the first data signal can be encoded so that only a key device set up or authorized for decoding is able to send the second data signal after successful decoding, for example by deriving a response or even recognizing the request to send the second data signal becomes.
  • Such a challenge / response method can be designed in such a way that a response / response is unknown in advance and is only determined or derived from a content of the first data signal according to defined rules, but can alternatively or additionally also take place in such a way that information or a Data set is selected from a large number of different information items depending on a content of the first data signal and is inserted into the second data signal.
  • Deriving the content can include, for example, an application of at least one special data operation, such as an at least partial inversion, multiplication, division, addition or subtraction of a numerical value or the like.
  • the first and / or second data signal can also contain information going beyond this, for example an identifier of the user, the key device or other information to be processed or processed in a challenge / response method.
  • the additional information can also include information about the locations at which the key device has already been, for example during the day, the week or the lifetime, for example as coordinates or identifier of a device with which the key device has communicated.
  • Information, such as a counter, can also be specified as to how often the key device has already been read out or addressed within a period, for example in order to identify fraudulent operations.
  • Step 120 can take place in response to step 110, ie the sending 120 of the second data signal can take place in response to the first data signal.
  • the second data signal is not transmitted automatically or continuously, but is a response to the first data signal, which enables energy-efficient communication.
  • a step 130 includes authenticating the user based on the second data signal. The method is set up such that, according to 140, the first data signal and / or the second data signal is transmitted as a wireless optical data signal.
  • the method 100 uses Li-Fi to ensure that the wireless optical data signal is sent from a specific area and / or by a specific device or that the key device is activated when the second data signal is received as a wireless optical data signal , is located in a corresponding neighboring or distant communication or reception area.
  • method 150 shows a schematic flow diagram of a method 150 according to an exemplary embodiment, which has steps 110 and 120, as described in connection with FIG. 1 a.
  • method 150 also has a step 160 by which a presence of the key device is determined based on receipt of the second data signal. This means that the reception of the second data signal is associated with the presence of the user, with the association being able to take place implicitly or explicitly. This means that a data processing device can already infer the presence of the key device from this when the second data signal is received, but can also explicitly infer this by determining the presence.
  • the second data signal can be received as a wireless optical data signal by a wireless optical receiving device. The presence can be determined by arranging the key device at the time of sending the second data signal in a receiving area from which wireless optical data signals can be received.
  • the method 150 comprises a step 130 ′, in which the authentication of the user takes place based on the determined presence, that is to say based on a result of step 160.
  • the method 150 is also set up according to 140 such that the first data signal and / or the second data signal is sent as a wireless optical data signal.
  • the methods 100 and 150 are described such that at least one of the data signals is optically transmitted wirelessly. However, it is also possible to send both data signals as a wireless optical data signal.
  • FIG. 2 shows a schematic flow diagram of a method 200 according to an exemplary embodiment, in which the authentication of the user is an at least two-stage authentication.
  • a first T e i I authentication is carried out prior to the authentication of the user based on the second data signal.
  • a step 220 includes performing a second partial authentication based on the transmission of the first data signal and / or the second data signal as a wireless optical data signal, for example by performing the method 100 and / or 150.
  • the chronological sequence in that the first partial authentication is carried out before the user is authenticated based on the second data signal does not restrict the exemplary embodiments to the effect that the first partial authentication is completed before step 220 got to. Rather, embodiments also provide that a partial result of the first partial authentication, for example a successfully entered password, enables or triggers the second partial authentication, and a result of the second partial authentication of step 220, a common result for steps 210 and 20 represents.
  • the first part authentication can be carried out using an apparatus.
  • the second partial authentication according to step 220 can be carried out, for example, to confirm or to ensure that the user is positioned adjacent to the device, that is to say is present. If, for example, the example is “online banking”, confirming the presence of the user can ensure that the transmitted information was not transmitted from another location and that it was merely pretended that a specific terminal, the device, was used.
  • a neighboring presence of the user is an example here, since it offers advantages to be positioned directly at the input terminal or another respective device used.
  • the corresponding area can also be set up at any other predefined location so that the presence of the user at this predefined location can be checked.
  • a first stage and a second stage the authentication can be carried out in any order and / or at least partially simultaneously.
  • the method 300 comprises a step 310 in which a communication area is set up in which wireless optical communication is provided.
  • this wireless optical communication can be unidirectional and, for example, be set up in the direction of the key device or to receive from the key device.
  • bidirectional communication can also be set up, in particular in order to enable an exchange of the first data signal and the second data signal as wireless optical data signals.
  • a step 320 includes positioning the key device in the communication area so that the transmission of the wireless optical data signal is associated with a presence of the user assigned to the key device in or adjacent to the communication area. This can take place in that, for example, a transmission or reception of the wireless optical data signal outside the communication area is prevented or, in other words, is only possible within the communication area. As soon as the communication is carried out successfully, it can be concluded from this that the key device is arranged in the communication memory and that the user is in the vicinity thereof.
  • a step 330 comprises executing a method for authentication using the wireless optical signal, for example method 1 10, 150 or 200.
  • the key device Upon receipt of the first data signal, the key device can automatically transmit the second data signal. Automatic transmission can mean that no data input or no user input is required in response to the first data signal. This enables simple two-step authentication and / or automatic unlocking of a computer. For example, storing the key device in a correspondingly set up communication area can result in a certain service being automatically enabled, such as access to a computer. This does not prevent data or user input from being carried out or required for other services.
  • a step 410 comprises transmitting information to the key device by means of the first data signal. This includes information that goes beyond a mere request to send a signal and has information that is further processed by the key device, e.g. to integrate information derived therefrom into a response signal z, so that different information always includes the Can cause sending the second data signal, but can have a different information content.
  • a step 420 includes receiving user input with the key device.
  • the user input can take place in such a way that a request for the user input is output to the user beforehand.
  • this request can relate to the information transmitted by means of the first data signal, for example similar to a so-called challenge / response method.
  • the key device can thus be actuated.
  • a step 430 includes providing the second data signal or a third data signal based on the user input.
  • the key device can send the second data signal based on the user input or instruct another device to send such a data signal, the third data signal.
  • first data signal, the second data signal and / or further data signals can be a single coherent data signal, but also a sequence of data signals or messages.
  • a data signal can be divided over a number of resources (time, frequency, code or the like) and / or divided into a number of messages.
  • split signals are also understood in connection with the present exemplary embodiments as a common data signal.
  • FIG. 5 shows a schematic flow diagram of a method 500 according to an exemplary embodiment, which can be executed, for example, as part of method 100, 150, 200, 300 or 400.
  • a step 510 comprises receiving the second data signal, for example in response to step 120.
  • a step 520 comprises evaluating the second data signal as to whether the key device corresponds to a predetermined key device. This can mean that an identifier of the key device or information stored in it is evaluated. The information can be associated with a user, for example in a database or the like. Step 520 can also do so It can be understood that a comparison is made as to whether the second data signal has information that is expected on the receiver side. In addition to the identifier of the key device, this can also be a response from a challenge / response method, a password or the like.
  • a step 540 is provided, which can, for example, correspond to step 130 or 130 or 220 or 330, but is coupled to the positive decision 532 or is dependent on it.
  • a data signal can be output that the key device does not correspond to the predefined key device and / or that possibly no suitable key device was recognized.
  • an authorization that is dependent on the authentication can be denied based on the fact that the key device does not correspond to the predefined key device.
  • a step 550 is provided for this, which can also be understood as an active rejection.
  • Step 550 can be optional, since the non-execution of a corresponding authorization or an abortion of a method can also be understood as an implicit denial of the authorization.
  • FIG. 6a shows a schematic block diagram of an authentication system 6O 1 according to an embodiment, which is configured to perform a method of the invention, the method for setting 100, 150, 200, 300, 400 and / or 500.
  • the authenti- tification 6O1 for example, includes a Device 62, for the operation of which authentication is carried out.
  • This can be, for example, a machine or other device that requires user authentication for the direct, electronic, mechanical or electrical execution of a function, which can include, for example, a door mechanism, a robot programmer or the like but also include a device for information reproduction and / or information input, for example a terminal, by means of which a possible wise, remotely provided service is served or requested, for example the authentication for access to a portal or to online banking or the like.
  • the device 62 is designed to send a first data signal 64 directly or indirectly to a key device 66.
  • the key device 66 is designed to send a second data signal 68 to the device 62.
  • the first data signal 64 can be sent to the key device 66 directly or indirectly, for example, by means of step 110, that is, in the form of a direct connection, by means of a relay or in further processed form.
  • the second data signal 68 can for example be transmitted by means of step 120 and / or 430.
  • the second data signal is transmitted as a wireless optical signal, for example.
  • the first data signal can optionally also be a wireless optical signal, but can also be designed in any other way, for example as a wired signal, as a radio signal or the like.
  • FIG. 6b shows a schematic block diagram of an authentication system 60 2 according to an exemplary embodiment, in which, unlike in the authentication system 6O 1, the data signal 64 is sent as a wireless optical data signal, while the data signal 68 is only optionally designed to be wireless and optically and alternatively also wired, electrically or optically can be and / or can be carried out wirelessly in the form of a radio signal.
  • the authentication system 70 may include a device 72, the operation of which is authenticated.
  • the device 72 can for example be a terminal that has access to a remotely executed service, but can also provide direct access to a service or a function, as described above.
  • the device 72 is shown as a terminal or computer unit, any other device is possible, for example a door, a machine, a vehicle or the like.
  • the authentication system 70 further includes a wireless optical hot spot 74 for sending and / or receiving a wireless optical signal.
  • a hot spot is understood to be a unidirectional or bidirectional signal source and / or signal sink that is designed to cover a communication area 76, as can be set up in step 310, for example, by taking from communication area 76 wireless signals can be received or sent from the wireless optical hot spot.
  • the wireless hot spot 74 can generate a cone of light 78 that at least partially generates the communication area 76.
  • the light cone 78 can be set up for the transmission case of the wireless optical hot spot 74, wherein for the reception case a corresponding communication area 76 can also be generated without lighting.
  • the authentication system 70 enables the key device 68 to be stimulated to send the response signal 68 in different ways.
  • the corresponding data signal 64 can for example be sent as a data signal 641 from the device 72 to the key device 68 in a wired manner, either directly or, for example, to a docking device in which the key device 68 is placed and establishes a wired connection there.
  • the data signal 64 can be sent as a wireless optical data signal 64 2 from the terminal 72 set up for wireless optical communication to the key device 68.
  • the response signal, the data signal 68 can be sent as a wired data signal 68 1 from the key device 68 to the terminal 72, but alternatively or additionally as a wireless optical data signal 68 2 from the key device directly to the terminal 72 or indirectly as a wireless optical data signal 68 3 to the wireless optical hot spot 74.
  • At least one of the data signals 64 and 68 is sent as a wireless optical data signal. This means that use of data signal 64i leads to use of data signal 682 or 68 3 , while use of data signal 68 1 leads to use of data signal 64 2 or 64s.
  • the terminal 72 can send a request signal 82 as a wired request signal 82i and / or as a wireless optical request signal 82 2 to the wireless optical hot spot 74.
  • the request signal 82i or 82 2 can either have an implicit instruction to the wireless optical hot spot 74 to carry out an authentication of the key device 68 by transmitting the wireless optical data signal 64 3 .
  • the wireless optical hot spot 74 can be set up to carry out the authentication independently and to transmit a response signal 84 to the terminal 72 as a wired response signal 84 1 or as a wireless optical response signal 84 2 , which indicates a positive or negative result of the authentication. This means that in a simple case this can be binary information which indicates whether the authentication of the key device 68 was successful.
  • the signals 82i, 64i and 68 1 can also be radio-linked, as described in connection with FIGS. 6a and 6b.
  • the wireless optical hot spot 74 as a relay that merely forwards signals or converts them from wired / radio to wireless optical or the other way around, so that the signal 82i or 82 2 is the signal 64 3 and / or the signal 84i or 84 2 can be the signal 68 3 .
  • FIG. 7 shows an illustration with an exemplary embodiment according to the invention.
  • the input device 72 is located in the same spot / light cone 78 of the associated Li-Fi hot spot 74 as the key device 68.
  • both devices, the input device 72 and the key device 68 receive the same optically wireless signal. This ensures that the user who makes the entries is actually present in front of the input device.
  • FIG. 8 shows a schematic block diagram of an authentication system 80 according to an embodiment, which has a control unit 86.
  • the control unit 86 is designed to receive the request signal 82, that is to say the request, and to send an instruction signal 88 to the wireless optical hot spot 74 that contains an instruction, the wireless optical data signal 64 3 , the that is to say to transmit the first data signal and / or to receive the wireless optical data signal 68 3 , that is to say to receive the second data signal.
  • the control unit 86 can have authentication logic and / or information relating to a necessary authentication and control the device 72 and / or the wireless optical hot spot 74 in such a way that the authentication is carried out.
  • the control unit 86 can, for example, have a processor, a microcontroller, a central processing unit (CPU), an application-specific integrated circuit (AS IC) or the like.
  • the communication area 76 can be a monitoring area or work area, in the area of which the presence of the user is expected at least temporarily.
  • the communication area 76 can also extend onto the device 72, which offers a further increased degree of security.
  • the control unit 86 can, for example, send instructions both to the device 72 and to the device 74 in order to check whether the key device 68 and the device 72 receive the same optical signal, for example by both the device 72 and the device 68 giving feedback transmit the Li-Fi hot spot 74 and the hot spot 74 or the control unit 86 checks whether the responses match.
  • This can be, for example, a response from a challenge / response method, which can also include a simple confirmation (acknowledgment; ACK).
  • the control unit 86 can be arranged wholly or partly in the wireless optical hot spot 74 and / or wholly or partly in the device 72.
  • a device having the control unit can be designed such that the control unit is designed to control a wireless optical signal source, for example the wireless optical hot spot 74 and two or more further devices.
  • These devices can include, for example, device 72 and key device 68, which are configured for wireless optical authentication using at least one wireless optical data signal.
  • the control of the devices can consist of generating instructions and / or forwarding feedback in order to coordinate the authentication.
  • the control unit can be designed to provide a first device, for example the device 72 or the hot spot 74, the data signal 64, which has information that is designed to control the first device in such a way that the first device by means of a first wireless optical data signal requests information from a second device, for example the hot spot 74 or the device 72, as to whether another device, for example the key device 68, is positioned for a wireless optical data link in a predetermined communication area, the communication area 76.
  • the control unit 86 can be designed to control the further devices 72, 74 and / or 68 directly or indirectly in such a way as to coordinate the authentication.
  • FIG. 9 shows a schematic block diagram of an authentication system 90 according to an exemplary embodiment.
  • the control unit 86 is implemented in whole or in part as part of the hot spot 74 or the device 72.
  • the hot spot 74 is arranged, for example, adjacent to the terminal 72.
  • the communication area 76 can be a comparatively small area which, for example, has the single, double or triple extension of the key device 68, for example at a work station, desk or the like.
  • exemplary embodiments are not limited to this, but allow any size of the communication area.
  • This can be used both as a full authentication in that the positioning of the key device 68 in the communication area 76 is already carried out to unlock the device 72 or a service performed by it, but can also be used as a convenient second level of two-level authentication, for example by successfully entering the password or the like by querying whether the key device 68 is positioned in the communication area 76.
  • Such concepts can easily be implemented in the authentication system 60, 70 and / or 80.
  • the Li-Fi-Key (wireless optical key) method uses Li-Fi technology to ensure that the user is actually present at the input device.
  • the input device computer, workstation, terminal, machine, door, etc.
  • a key device assigned to the user can be used in the same spot, the communication area of an optically wireless data transmission device (also called Li-Fi hotspot or wireless optical hotspot) to be present.
  • At least the key device is designed to receive and / or evaluate signals from the Li-Fi hot spot.
  • the input device for example the device 72, can also have a corresponding receiver, for example if it cannot be ensured that the input device and the key device are spatially in direct proximity, for example through a fixed installation.
  • the device 72 can also be arranged outside of the communication area 76, for example at a remote location. If the user wishes to log on to an input device or to carry out an action that requires authentication, a signal can be sent out via a Li-Fi hot spot assigned to this input device, device 72. If this signal is received and confirmed by the key device, the key device 68, of the corresponding user, the action is considered to be authorized.
  • the feedback from the key device can also be optically wireless. Alternatively, it is possible for the key device to send a corresponding optical wireless signal to the Li-Fi hot spot assigned to the receiving device.
  • an optical wireless signal is sent, received and evaluated at least once between the key device and the assigned Li-Fi hot spot. If no Li-Fi hot spot can be clearly assigned to an input device, an unambiguous assignment of a terminal device, for example the device 72 to a Li-Fi hot spot, can also be achieved by the described exchange of at least one optical wireless signal between the input device and the corresponding Li-Fi hot spot can be guaranteed. This can be achieved by different methods and / or devices.
  • device 72 can be present without an input device, such as a keyboard.
  • any input device could now also be identified as an input device for device 72 via an optically wireless signal.
  • the key device 68 could also function directly as an input device.

Abstract

Ein Verfahren zur Authentifizierung eines Nutzers umfasst ein Senden eines ersten Datensignals an eine dem Nutzer zugeordnete Schlüsselvorrichtung; ein Senden eines zweiten Datensignals mit der Schlüsselvorrichtung basierend auf dem ersten Datensignal; ein Authentifizieren des Nutzers basierend auf dem zweiten Datensignal, wobei das erste Datensignal und/oder das zweite Datensignal als drahtloses optisches Datensignal gesendet wird.

Description

Verfahren zur Authentifizierung eines Nutzers und Authentifizierungssystem
Beschreibuna
Die vorliegende Erfindung bezieht sich auf ein Verfahren zur Authentifizierung eines Nutzers und auf ein Authentifizierungssystem zum Durchführen eines derartigen Verfahrens. Die vorliegende Erfindung bezieht sich ferner auf eine Vorrichtung mit einer Steuerungseinheit, um eine drahtlose optische Signalquelle zur drahtlosen optischen Authentifizierung zu steuern. Die vorliegende Erfindung bezieht sich insbesondere auf eine optisch drahtlose Zwei-Stufen-Authentifizierung mittels eines Li-Fi Schlüssels (Li-Fi = Light Fidelity, drahtlose optische Datenübertragung).
Sichere Authentifizierung im Netz ist noch immer ein ungelöstes Problem. Zwar existieren eine Reihe von Sicherheitsverschlüsselungen und Anmeldungsverfahren, der größte Unsicherheitsfaktor bleibt in den meisten Anwendungen jedoch der Nutzer selbst.
Für Onlinebanking oder etwaige Anmeldungen bei beliebigen Portalen oder Angeboten werden Passwörter verwendet und sogenannte Transaktionsnummer (TAN) vergeben. Ein sicheres Passwort ist jedoch schwer zu merken und wird von den wenigsten Nutzern verwendet. Auch die Disziplin regelmäßig das Passwort zu wechseln, ist in der Bevölkerung eher nicht gegeben. Unsichere Passwörter lassen sich durch sogenannte Brute-Force-At- tacken (Methode der rohen Gewalt oder Exhaustionsmethode oder erschöpfende Suche knacken). Darüber hinaus gibt es eine Reihe an anderen Möglichkeiten, wie sich Betrüger Passwörter, Anmeldenamen und TANs beschaffen. Um den Sicherheitsaspekt besonders beim Onlinebanking zu erhöhen, wird inzwischen von vielen Banken ein zweistufiges Identifikationsverfahren eingesetzt. Dazu wird die TAN nicht mehr wie bisher bei dem Nutzer verwahrt, sondern während des Auftragsvorgangs generiert. Dabei sind folgende Techniken etabliert.
• smsTAN: der Nutzer bekommt an sein Mobiltelefon die TAN per SMS gesendet.
• pushTAN: beim pushTAN erhält der Nutzer die TAN über eine separate App auf dem Smartphone
• chipTAN: das chipTAN Verfahren generiert die TAN mithilfe eines TAN-Generators.
Dies ist ein kleines Gerät in welchem die Chipkarte des Nutzers gesteckt wird und die aus der Kombination der Überweisungsdaten mit der Chipkarte die TAN erzeugt. Bei der smsTAN kann die SMS abgefangen oder weitergeleitet werden. Zum Weiterleiten einer SMS gibt es eine ganze Reihe an Apps, die sogar legal und kostenlos installiert werden können. Auch das pushTAN Verfahren ist angreifbar, wenn das Smartphone gehackt (mit schädlicher Software infiziert) wurde, so dass der Angreifer von der Ferne aus die Daten abgreifen kann. Das chipTAN Verfahren ist nur dann angreifbar, wenn der Angreifer in Besitz der Chipkarte kommt. Damit ist das Verfahren jedoch auch nur für Anwendungen nutzbar, wo der Nutzer eine entsprechende Chipkarte besitzt. Alle genannten Verfahren haben gemeinsam, dass sie eine manuelle Interaktion des Nutzers erfordern.
Eine Zwei-Stufen-Authentifizierung ist jedoch generell in verschiedenen Anwendungsfeldern möglich. Das Onlinebanking ist dabei nur eine Anwendung, bei der es schon seit Längerem eingesetzt wird. Exemplarisch können weiterfolgende Anwendungen genannt werden:
• Anmeldung bei einem Onlineservice
• Anmeldung an einem Nutzerterminal
• Registrierung an einem Rechner oder einer Workstation
• Zugriff auf Maschinendaten in der Industrie
• Zugangsberechtigung zu Gebäuden oder Räumen
Wünschenswert wären demnach Verfahren und Vorrichtungen zum sicheren Authentifizieren von Nutzern.
Eine Aufgabe der vorliegenden Erfindung besteht deshalb darin, ein Verfahren, ein Authen- tifizierungssystem und eine Vorrichtung zu schaffen, die eine sichere Authentifizierung eines Nutzers ermöglichen. Diese Aufgabe wird durch den Gegenstand der unabhängigen Patentansprüche gelöst.
Der Erfinder hat erkannt, dass durch Ausnutzen eines drahtlosen optischen Signals für die Datenübermittlung im Rahmen eine Nutzerauthentifizierung mehrere synergetisch wirkende Aspekte des drahtlosen optischen Signals genutzt werden können. Zum einen weist das drahtlose optische Signal eine starke lokale Begrenzung auf, die sicherstellt, dass das drahtlose optische Signal aus diesem lokalen Bereich gesendet wird oder dort empfangen wird, was einen sogenannten Man-in-the-Middle-Angriff oder sonstige Versuche zum Da- tenabgriff erschwert, gleichzeitig kann eine einfache und eindeutige Zuordnung von Signalquelle zur Signalsenke basierend auf einer Sichtverbindung erfolgen, so dass insgesamt eine sehr sichere Zuordnung zwischen Signalquelle und Signalsenke erfolgen kann, was eine sichere Authentifizierung ermöglicht.
Gemäß einem Ausführungsbeispiel umfasst ein Verfahren zur Authentifizierung eines Nutzers ein Senden eines ersten Datensignals an eine dem Nutzer zugeordnete Schlüsselvor richtung. Das Verfahren umfasst ferner ein Senden eines zweiten Datensignals mittels der Schlüsselvorrichtung basierend auf dem ersten Datensignal und ein Authentifizieren des Nutzers basierend auf dem zweiten Datensignal. Das erste Datensignal und/oder das zweite Datensignal wird als drahtloses optisches Datensignal gesendet. Dies ermöglicht es, festzustellen, dass der Nutzer in dem durch das Verwenden des drahtlosen optischen Signals vorgegebenen Bereich anwesend ist.
Ausführungsbeispiele sehen vor, dass das Verfahren ein Bestimmen einer Anwesenheit der Schlüsselvorrichtung basierend auf einem Empfang des zweiten Datensignals umfasst, so dass das Authentifizieren basierend auf der Anwesenheit der Schlüsselvorrichtung erfolgt. Dies ermöglicht die explizite oder implizite Bestimmung, dass der der Schlüsselvorrichtung zugeordnete Nutzer an dem vorgegebenen Ort ist, was eine böswillige fehlerhafte Authentifizierung zumindest teilweise verhindert.
Gemäß einem Ausführungsbeispiel wird das erste Datensignal als drahtloses optisches Datensignal mit einer drahtlosen optischen Signalquelle gesendet und eine Anwesenheit der Schlüsselvorrichtung in einem Sendebereich der drahtlosen optischen Signalquelle bestimmt. Alternativ oder zusätzlich wird das zweite Datensignal als drahtloses optisches Datensignal von einer drahtlosen optischen Empfangsvorrichtung empfangen und eine Anwesenheit der Schlüsselvorrichtung in einem Empfangsbereich der drahtlosen optischen Empfangsvorrichtung bestimmt. Dies kann explizit dadurch erfolgen, dass das Datensignal ausgewertet wird, kann aber auch implizit dadurch erfolgen, dass eine entsprechende Signalübertragung erfolgreich ist. Dies ermöglicht die lokalisierte Zuordnung einer Position der Schlüsselvorrichtung und des hierzu zugeordneten Nutzers.
Gemäß einem Ausführungsbeispiel wird das erste Datensignal als drahtloses optisches Signal an die Schlüsselvorrichtung gesendet und das zweite Datensignal wird als drahtloses optisches Signal gesendet, beispielweise an eine Quelle des ersten Datensignals und/oder an eine andere Vorrichtung. Optische Datensignale ermöglichen eine hohe Datenübertragungsrate bei Vermeidung von Kabeln und Funksignalen.
Gemäß einem Ausführungsbeispiel ist die Authentifizierung eine zumindest zweistufige Au- thentifizierung. Das Verfahren umfasst ein Durchführen einer ersten Teil-Authentifizierung vor dem Authentifizieren des Nutzers basierend auf dem zweiten Datensignal und ein Durchführen einer zweiten Teil-Authentifizierung basierend auf dem Senden des ersten Datensignals und/oder des zweiten Datensignals als drahtloses optisches Datensignal. Das bedeutet, das drahtlose optische Datensignal wird als höhere, bestätigende Stufe eines zumindest zweistufigen Authentifizierungsverfahrens genutzt, was eine sichere Authentifizierung des Nutzers ermöglicht.
Gemäß einem Ausführungsbeispiel wird die ersten Teil-Authentifizierung unter Verwendung einer Vorrichtung ausgeführt und die zweite T eil-Authentifizierung wird ausgeführt, um die Anwesenheit des Nutzers benachbart zu der Vorrichtung zu bestätigen. Dies ermöglicht eine hohe Sicherheit insbesondere dahin gehend, wenn sichere oder geheimhaltungsbedürftige Informationen an der Vorrichtung dargestellt, abgefragt oder ausgegeben werden und/oder wenn beispielsweise Güter von der Vorrichtung zur Verfügung gestellt werden.
Gemäß einem Ausführungsbeispiel umfasst ein Verfahren ein Einrichten eines Kommunikationsbereichs in welchem eine drahtlose optische Kommunikation bereitgestellt wird. Das Verfahren umfasst ferner ein Positionieren der Schlüsselvorrichtung in dem Kommunikationsbereich. Das Verfahren wird so ausgeführt, dass das Senden des drahtlosen optischen Datensignals mit einer Anwesenheit des der Schlüsselvorrichtung zugeordneten Nutzers in oder benachbart zu dem Kommunikationsbereich assoziiert ist. Dies stellt ein hohes Maß an Sicherheit bereit, da die Anwesenheit des Nutzers auch so ausgelegt werden kann, dass ggf. eine Intervention gegenüber betrügerischen Handlungen vorgenommen werden kann.
Gemäß einem Ausführungsbeispiel wird das Senden des zweiten Datensignals mit der Schlüsselvorrichtung automatisch ausgeführt. Dies ermöglicht die Vermeidung zeitaufwendiger und/oder komplizierter Benutzereingaben für die Authentifizierung.
Gemäß einem Ausführungsbeispiel werden mittels des ersten Datensignals Informationen an die Schlüsselvorrichtung übermittelt. Das Verfahren umfasst ferner das Empfangen einer Benutzereingabe mit der Schlüsselvorrichtung und ein Bereitstellen des zweiten Datensignals oder eines dritten Datensignals basierend auf der Benutzereingabe. Dies ermöglicht ein zusätzliches Sicherheitslevel, da eine vordefinierte oder zu bestimmende Benutzereingabe ein weiteres, einem potentiellen Angreifer unbekanntes, Geheimnis darstellen kann. Dieses Ausführungsbeispiel lässt sich mit der automatischen Übermittlung des zweiten Datensignals beispielsweise so kombinieren, dass die Benutzereingabe schon vorab, das heißt, vor Übermittlung des zweiten Datensignals und/oder vor Übermittlung des ersten Datensignals, von der Schlüsselvorrichtung empfangen wird. Das erste Datensignal kann als Trigger oder Auslöser für die Übermittlung des somit vordefinierten zweiten Datensignals aufgefasst werden. Es ist alternativ oder zusätzlich vorstellbar, eine Entscheidung darüber, ob das zweite Datensignal zufällig übermittelt wird oder eine Benutzereingabe erforderlich ist, zufällig für die jeweilige Authentifizierung zu treffen, wobei die Zufälligkeit ebenfalls ein Sicherheitsmaß bereitstellt.
Gemäß einem Ausführungsbeispiel ist das zweite Datensignal der Schlüsselvorrichtung zugeordnet. Das bedeutet, das zweite Datensignai kann eine Identifikation der Schlüsselvorrichtung ermöglichen. Das Verfahren umfasst ein Empfangen des zweiten Datensignals, ein Auswerten des zweiten Datensignal, ob die Schlüsselvorrichtung einer vorbestimmten Schlüsselvorrichtung entspricht, wobei der Schritt des Authentifizierens nur dann ausgeführt wird, wenn die Schlüsselvorrichtung der vordefinierten Schlüsselvorrichtung entspricht. Das bedeutet, die Schlüsselvorrichtung kann über Zugangsberechtigungen und/oder Berechtigungen zum Nutzen von Diensten entscheiden.
Gemäß einem Ausführungsbeispiel umfasst ein Verfahren ein Ausgeben eines Datensignals, dass die Schlüsselvorrichtung nicht der vordefinierten Schlüsselvorrichtung entspricht und/oder ein Verweigern einer von der Authentifizierung abhängigen Berechtigung basierend darauf, dass die Schlüsselvorrichtung nicht der vordefinierten Schlüsselvorrichtung entspricht. Dies ermöglicht sowohl die Verweigerung von Diensten durch Ablehnen der Authentifizierung als auch das Ausgeben entsprechender Alarme oder Hinweise, um die Sicherheit weiter zu erhöhen.
Gemäß einem Ausführungsbeispiel ist ein Authentifizierungssystem zum Durchführen eines erfindungsgemäßen Verfahrens eingerichtet.
Gemäß einem Ausführungsbeispiel umfasst das Authentifizierungssystem eine Vorrichtung, für deren Betrieb das Authentifizieren ausgeführt wird. Hierbei kann es sich sowohl um eine einen entsprechenden Dienst bereitstellende Vorrichtung handeln, eine eine Funktionalität bereitstellende Vorrichtung, etwa eine Tür, ein Rechner, der Start einer Maschine oder dergleichen, aber auch ein Bedienerterminal zum Zugang für einen Dienst, der entfernt ausgeführt wird. Das Authentifizierungssystem umfasst ferner einen drahtlosen optischen Hot-Spot, also eine Einrichtung zum Senden und/oder Empfangen von drahtlosen optischen Signalen. Dies ermöglicht die Zuordnung und/oder das Implementieren einer Kontrolle, ob der Nutzer bzw. die zugeordnete Schlüsselvorrichtung in einem Sendebereich o- der Empfangsbereich des Hot-Spots ist, was ein zusätzliches Sicherheitsmerkmal darstellt.
Gemäß einem Ausführungsbeispiel umfasst das Authentifizierungssystem eine Steuerungseinheit, die ausgebildet ist, um basierend auf einem von der Vorrichtung empfangenen Anfrage-Signal, beispielsweise ein Request, ein Anweisungs-Signal, das bedeutet, Instruktionen, an den drahtlosen optischen Hot-Spot zu senden, wobei die Instruktionen bzw. das Anweisungs-Signal eine Anweisung enthält, das drahtlose optische Datensignal zu senden oder zu empfangen. Eine Anweisung zum Empfangen kann beispielsweise die Aktivierung entsprechender Schnittstellen umfassen und/oder das Herstellen einer Empfangsbereitschaft.
Gemäß einem Ausführungsbeispiel ist der drahtlose optische Hot-Spot ausgebildet, um ein Signal bereitzustellen, dass ein Ergebnis des Authentifizierens angibt. Dies ermöglicht es, die Authentifizierung zumindest in dem Umfang des optischen drahtlosen Signals durch den Hot-Spot bereitzustellen, so dass der Vorrichtung oder dem Dienst, der beispielsweise die Zwei-Stufen-Authentifizierung ausführt, lediglich ein positives und/oder negatives Ergebnis der Authentifizierung bereitgestellt werden kann, was einen geringen Anpassungsaufwand auf Dienst-Seite bedeuten kann.
Gemäß einem Ausführungsbeispiel ist die Steuerungseinheit zumindest teilweise als Teil des drahtlosen optischen Hot-Spots und/oder zumindest teilweise als Teil der Vorrichtung angeordnet. Dies ermöglicht die Vermeidung weiterer, zusätzlicher Komponenten.
Gemäß einem Ausführungsbeispiel umfasst eine Vorrichtung eine Steuerungseinheit, die ausgebildet ist, um eine drahtlose optische Signalqueile und eine Mehrzahl von Vorrichtungen zur drahtlosen optischen Authentifizierung unter Verwendung zumindest eines drahtlosen optischen Datensignals zu steuern.
Gemäß einem Ausführungsbeispiel ist die Steuerungseinheit ausgebildet, um einer ersten Vorrichtung aus der Mehrzahl von Vorrichtungen ein erstes Datensignal bereitzustellen, das Informationen aufweist, die ausgelegt sind, um die erste Vorrichtung so zu steuern, dass die erste Vorrichtung mittels eines ersten drahtlosen optischen Datensignals Informationen von einer zweiten Vorrichtung der Mehrzahl von Vorrichtungen anfordert, ob eine dritte Vorrichtung der Mehrzahl von Vorrichtungen, beispielsweise die Schlüsselvorrichtung, zu einer drahtlosen optischen Datenverbindung in einem vorbestimmten Kommunikationsbereich positioniert ist.
Weitere vorteilhafte Ausgestaltungen sind in weiteren Ausführungsbeispielen definiert.
Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden Zeichnungen erläutert. Es zeigen:
Fig. 1 a eine schematisches Ablaufdiagramm eines Verfahrens gemäß einem Ausführungsbeispiel;
Fig. 1 b ein schematisches Ablaufdiagramm eines Verfahrens gemäß einem Ausführungsbeispiel, bei dem die Anwesenheit eines Nutzers bestimmt wird;
Fig. 2 ein schematisches Ablaufdiagramm eines Verfahrens gemäß einem Ausführungsbeispiel, bei dem die Authentifizierung des Nutzers eine zumindest zweistufige Authentifizierung ist;
Fig. 3 ein schematisches Ablaufdiagramm eines Verfahrens gemäß einem Ausführungsbeispiel, einen Schritt zum Einrichten eines Kommunikationsbereichs umfasst;
Fig. 4 ein schematisches Ablaufdiagramm eines Verfahrens gemäß einem Ausführungsbeispiel mit einem Schritt zum Übermitteln von Informationen an eine Schlüsselvorrichtung mittels des ersten Datensignals;
Fig. 5 ein schematisches Ablaufdiagramm eines Verfahrens gemäß einem Ausführungsbeispiel, das beispielsweise als Teil anderer hierin beschriebener Verfahrens ausgeführt werden kann;
Fig. 6a ein schematisches Blockschaltbild eines Authentifizierungssystems gemäß einem Ausführungsbeispiel, das ausgebildet ist, um das zweite Datensignal drahtlos optisch zu senden; Fig. 6b ein schematisches Blockschaltbild eines Authentifizierungssystems gemäß einem Ausführungsbeispiel, bei dem das erste Datensignal als drahtloses optisches Datensignal gesendet wird;
Fig. 7 ein schematisches Blockschaltbild eines Authentifizierungssystems gemäß ei nem Ausführungsbeispiel, das eine Vorrichtung umfasst, für deren Betrieb das Authentifizieren ausgeführt wird;
Fig. 8 ein schematisches Blockschaltbild eines Authentifizierungssystems gemäß einem Ausführungsbeispiel, das eine Steuerungseinheit aufweist; und
Fig. 9 ein schematisches Blockschaltbild eines Authentifizierungssystems gemäß einem Ausführungsbeispiel, bei dem die Steuerungseinheit als Teil eines Hot- Spots oder der Vorrichtung ganz oder teilweise implementiert ist.
Bevor nachfolgend Ausführungsbeispiele der vorliegenden Erfindung im Detail anhand der Zeichnungen näher erläutert werden, wird darauf hingewiesen, dass identische, funktionsgleiche oder gleichwirkende Elemente, Objekte und/oder Strukturen in den unterschiedlichen Figuren mit den gleichen Bezugszeichen versehen sind, so dass die in unterschiedlichen Ausführungsbeispielen dargestellte Beschreibung dieser Elemente untereinander austauschbar ist bzw. aufeinander angewendet werden kann.
Nachfolgende Ausführungsbeispiele beziehen sich auf eine drahtlose optische Signalübertragung oder Datenübertragung. Diese wird im Rahmen der hierin beschriebenen Ausführungsbeispiele auch als Li-Fi (Light Fidelity; Lichtübertragung) bezeichnet. Der Begriff Li-Fi bezieht sich dabei auch auf Begriffe wie IrDA (Infrared Data Association) oder OWC (Optical Wireless Communication; optische drahtlose Kommunikation)] Das bedeutet, die Ausdrücke drahtlose optische Datenübertragung und Li-Fi werden synonym verwendet. Als optische drahtlose Datenübertragung wird hierbei verstanden, ein elektromagnetisches Signal durch ein freies Übertragungsmedium, beispielsweise Luft oder ein anderes Fluid, zu übertragen. Hierfür können beispielsweise Wellenlängen zwischen dem ultravioletten (UV) Bereich mit zumindest 350 nm und dem Infrarotbereich, beispielsweise höchstens 1550 nm verwendet werden, wobei auch andere Wellenlängen möglich sind, die sich von für Funk- Standards benutzten Wellenlängen unterscheiden. Eine drahtlose optische Datenübertragung ist auch von einer drahtgebundenen optischen Datenübertragung zu unterscheiden, die beispielsweise mittels Lichtwellenleiter oder Lichtwellenleiterkabel erhalten wird.
Ausführungsbeispiele im Zusammenhang mit der vorliegenden Erfindung beziehen sich ferner auf die Authentifizierung eines Nutzers. Dies bezieht sich sowohl auf die Authentifizie- rung einer Person des Nutzers als auch auf die Authentifizierung von Gruppen von Nutzern. Für die persönliche Authentifizierung eines Nutzers ist der Zugang zu einem persönlichen Konto beispielhaft. Für die Authentifizierung eines Mitglieds einer Gruppe kann beispielsweise eine Gruppe von Personen dienen, die Zugang zu einem bestimmten Bereich oder zu einem bestimmten Dienst besitzen und deren Berechtigung abgefragt wird. Die hierin beschriebenen Ausführungsbeispiele bedienen sich hierfür einer Schlüsselvorrichtung, die ausgebildet ist, um ein Datensignal auszusenden. Dieses Datensignal kann eine vorbestimmte Kennung aussenden, beispielsweise eine Kennung eines der Schlüsselvorrichtung zugeordneten Nutzers oder einer Gruppe von Nutzern oder der Schlüsselvorrichtung selbst. Alternativ kann das Datensignal auch ein Ergebnis verarbeiteter Informationen umfassen, wie etwa einen Schlüssel, eine TAN oder ein Passwort, welches basierend auf einem empfangenen Datensignal, ggf. unter Zuhilfenahme einer Benutzereingabe erstellt wurde. Die hierin referenzierte Nutzer-Authentifizierung ist somit abzugrenzen von einer Authentifizierung, wie sie im Rahmen eines drahtgebundenen oder drahtlosen Kommunikationsaufbaus erfolgt, wo beispielsweise Einzelheiten eines Übertragungsprotokolls zwischen Vorrichtungen übermittelt oder abgestimmt werden.
Hierin beschriebene Datensignale können dabei eine codierte Information, die sich von anderen Signalen, beispielsweise einer optischen Erkennung von Mustern, etwa im Zuge eines Iris-Scans oder eines Fingerabdrucks unterscheiden.
Fig. 1 a zeigt eine schematisches Ablaufdiagramm eines Verfahrens 100 gemäß einem Ausführungsbeispiel. Das Verfahren dient zur Authentifizierung eines Nutzers. Ein Schritt 1 10 umfasst ein Senden eines ersten Datensignals an eine dem Nutzer zugeordnete Schlüsselvorrichtung. Das erste Datensignal kann eine Aufforderung enthalten, die eine Schlüsselvorrichtung dazu auffordert, eine Antwort zu senden, so dass basierend auf der Antwort Kenntnis davon erhalten werden kann, dass der Aufforderung nachgekommen wurde.
Ein Schritt 120 umfasst ein Senden eines zweiten Datensignals mit der Schlüsselvorrichtung basierend auf dem ersten Datensignal. Das zweite Datensignal kann dabei eine simple Antwort ohne eigene Informationsausgestaltung sein, da bereits der zeitliche Zusammenhang eine Information darüber liefern kann, dass der Aufforderung zur Sendung des zweiten Datensignals nachgekommen wurde. Alternativ kann das zweite Datensignal eine Antwort (Response) auf eine durch das erste Datensignal übermittelte Anfrage oder Herausforderung (Challenge) sein, also eine angepasste Antwort ist. So kann das erste Datensignal bspw. kodiert sein, so dass nur eine zur Dekodierung eingerichtete oder berechtigte Schlüsselvorrichtung in der Lage ist, das zweite Datensignal nach erfolgreicher Dekodierung zu senden, etwa indem eine Antwort abgeleitet wird oder überhaupt die Anforderung zum Senden des zweiten Datensignals erkannt wird. Ein derartiges Challenge/Response- Verfahren kann so ausgestaltet sein, dass eine Antwort/Response vorab unbekannt ist und nach festgelegten Regeln erst aus einem Inhalt des ersten Datensignals bestimmt oder abgeleitet wird, kann aber alternativ oder zusätzlich auch so erfolgen, dass eine Information oder ein Datensatz aus einer Vielzahl von unterschiedlichen Informationen in Abhängigkeit eines Inhalts des ersten Datensignals ausgewählt wird und in das zweite Datensignal eingefügt wird. Ein Ableiten des Inhalts kann bspw. eine Anwendung zumindest einer speziellen Datenoperation umfassen, etwa eine zumindest teilweise Invertierung, Multiplikation, Division, Addition oder Subtraktion eines Zahlenwerts oder dergleichen umfasst.
Alternativ oder zusätzlich kann das erste und/oder zweite Datensignal auch eine darüber hinausgehende Information aufweisen, bspw. eine Kennung des Nutzers, der Schlüsselvorrichtung oder eine andere zu verarbeitende oder verarbeitete Information eines Chal- lenge/Response-Verfahrens. Die zusätzliche Information kann alternativ oder zusätzlich auch eine Information aufweisen, an welchen Orten die Schlüsselvorrichtung bereits war, etwa während des Tages, der Woche oder der Lebenszeit, etwa als Koordinaten oder Kennung einer Vorrichtung, mit der die Schlüsselvorrichtung kommuniziert hat. Auch kann eine Information, etwa ein Zähler, angegeben werden, wie oft die Schlüsselvorrichtung bereits innerhalb eines Zeitraums ausgelesen oder angesprochen wurde, etwa um betrügerische Operationen zu erkennen.
Der Schritt 120 kann als Reaktion auf den Schritt 110 erfolgen, d. h., das Senden 120 des zweiten Datensignals kann als Antwort auf das erste Datensignal erfolgen. Anders ausgedrückt sehen Ausführungsbeispiele vor, dass das zweite Datensignal anders als in bekannten Systemen nicht selbsttätig oder kontinuierlich ausgesendet wird, sondern eine Antwort auf das erste Datensignal ist, was eine energieeffiziente Kommunikation ermöglicht. Ein Schritt 130 umfasst ein Authentifizieren des Nutzers basierend auf dem zweiten Datensignal. Das Verfahren ist so eingerichtet, dass gemäß 140 das erste Datensignal und/oder das zweite Datensignal als drahtloses optisches Datensignal gesendet wird. Das bedeutet, das Verfahren 100 bedient sich Li-Fi, um sicherzustellen, dass das drahtlose optische Datensignal aus einem bestimmten Bereich und/oder von einer bestimmten Vorrichtung gesendet wird bzw. dass sich die Schlüsselvorrichtung, wenn das zweite Datensignal als drahtloses optisches Datensignal empfangen wird, in einem entsprechenden benachbarten oder entfernten Kommunikations- oder Empfangsbereich befindet.
Fig. 1 b zeigt ein schematisches Ablaufdiagramm eines Verfahrens 150 gemäß einem Ausführungsbeispiel, das die Schritte 1 10 und 120 aufweist, wie sie im Zusammenhang mit der Fig. 1 a beschrieben sind. Das Verfahren 150 weist gegenüber dem Verfahren 100 ferner einen Schritt 160 auf, durch den eine Anwesenheit der Schlüsselvorrichtung basierend auf einem Empfang des zweiten Datensignals bestimmt wird. Das bedeutet, der Empfang des zweiten Datensignals wird mit einer Anwesenheit des Nutzers assoziiert, wobei die Assoziierung implizit oder explizit erfolgen kann. Das bedeutet, eine datenverarbeitende Vorrichtung kann bereits daraus auf die Anwesenheit der Schlüsselvorrichtung schließen, wenn das zweite Datensignal empfangen wird, kann aber auch explizit darauf schließen, indem die Anwesenheit festgesellt wird. Dies kann beispielsweise wiederholt oder zyklisch erfolgen, so dass eine zyklisch aktualisierte Information in der datenverarbeitenden Vorrichtung angeben kann, ob sich derzeit ein Nutzer oder der Nutzer in einem vorbestimmten Kommunikationsbereich befindet oder nicht. Dies kann insbesondere dadurch verbessert werden, indem das erste Datensignal als drahtloses optisches Datensignal in einen Sendebereich, das heißt, einen von der Signalquelle beleuchteten Bereich, so dass aus einem Empfang des zweiten Datensignals geschlossen werden kann, dass das erste Datensignal empfangen wurde und sich somit die Schlüsselvorrichtung in dem Sendebereich befindet oder zumindest zum Zeitpunkt des Sendens des ersten Datensignals befunden hat. Alternativ oder zusätzlich kann das zweite Datensignal als drahtloses optisches Datensignal von einer drahtlosen optischen Empfangsvorrichtung empfangen werden. Das Bestimmen der Anwesenheit kann dadurch erfolgen, dass die Schlüsselvorrichtung zum Zeitpunkt des Sendens des zweiten Datensignals in einem Empfangsbereich, aus welchem drahtlose optische Datensignale empfangen werden können, angeordnet ist.
Das Verfahren 150 umfasst einen Schritt 130‘, bei dem das Authentifizieren des Nutzers basierend auf der bestimmten Anwesenheit, das bedeutet, basierend auf einem Ergebnis des Schritts 160 erfolgt. Auch das Verfahren 150 ist gemäß 140 so eingerichtet, dass das erste Datensignal und/oder das zweite Datensignal als drahtloses optisches Datensignal gesendet wird.
Die Verfahren 100 und 150 sind so beschrieben, dass zumindest eines der Datensignal drahtlos optisch gesendet wird. Es besteht jedoch ebenfalls die Möglichkeit, beide Datensignale als drahtloses optisches Datensignal zu senden.
Fig. 2 zeigt ein schematisches Ablaufdiagramm eines Verfahrens 200 gemäß einem Ausführungsbeispiel, bei dem die Authentifizierung des Nutzers eine zumindest zweistufige Au- thentifizierung ist. In einem Schritt 210 erfolgt ein Durchführen einer ersten T e i I- Authe ntif i- zierung vor dem Authentifizieren des Nutzers basierend auf dem zweiten Datensignal. Ein Schritt 220 umfasst ein Durchführen einer zweiten T eil-Authentifizierung basierend auf dem Senden des ersten Datensignals und/oder des zweiten Datensignals als drahtloses optisches Datensignal, beispielsweise durch Ausführen des Verfahrens 100 und/oder 150.
Die zeitliche Reihenfolge dahin gehend, dass das Durchführen der ersten Teil-Authentifi- zierung vor dem Authentifizieren des Nutzers basierend auf dem zweiten Datensignal erfolgt, schränkt die Ausführungsbeispiele nicht dahin gehend ein, dass die erste Teil-Authen- tifizierung vor dem Schritt 220 abgeschlossen sein muss. Vielmehr sehen Ausführungsbeispiele ebenfalls vor, dass ein Teilergebnis der ersten Teil-Authentifizierung, beispielsweise ein erfolgreich eingegebenes Passwort, die zweite T eil-Authentifizierung ermöglicht oder auslöst und ein Ergebnis der zweiten T eil-Authentifizierung des Schritts 220, ein gemeinsames Ergebnis für die Schritte 210 und 20 darstellt.
Die erste T eil-Authentifizierung kann unter Verwendung einer Vorrichtung ausgeführt werden. Die zweite T eil-Authentifizierung gemäß dem Schritt 220 kann ausgeführt werden, um beispielsweise zu bestätigen oder sicherzustellen, dass der Nutzer benachbart zu der Vorrichtung positioniert ist, das bedeutet, anwesend ist. Wird beispielsweise das Beispiel„Onlinebanking“, so kann durch die Bestätigung der Anwesenheit des Nutzers sichergestellt werden, dass die übermittelten Informationen nicht von einem anderen Ort übermittelt wurden und dabei lediglich vorgespielt wurde, dass ein bestimmtes Terminal, die Vorrichtung, benutzt wurde. Eine benachbarte Anwesenheit des Nutzers ist dabei beispielhaft, da es Vorteile bietet direkt am Eingabeterminal oder einer anderen jeweilig benutzten Vorrichtung positioniert zu sein. Alternativ kann der entsprechende Bereich auch an einer beliebigen anderen vordefinierten Stelle eingerichtet werden, so dass die Anwesenheit des Nutzers an dieser vordefinierten Stelle überprüft werden kann. Eine erste Stufe und eine zweite Stufe der Authentifizierung kann dabei in beliebiger Reihenfolge und/oder zumindest teilweise gleichzeitig ausgeführt werden.
Fig. 3 zeigt ein schematisches Ablaufdiagramm eines Verfahrens 300 gemäß einem Ausführungsbeispiel. Das Verfahren 300 umfasst einen Schritt 310, bei dem ein Einrichten eines Kommunikationsbereichs erfolgt, in welchem eine drahtlose optische Kommunikation bereitgestellt wird. Je nach Anforderung kann diese drahtlose optische Kommunikation un- idirektional sein und beispielsweise in Richtung der Schlüsselvorrichtung eingerichtet sein oder zum Empfang von der Schlüsselvorrichtung. Alternativ kann auch eine bidirektionale Kommunikation eingerichtet werden, insbesondere, um einen Austausch des ersten Datensignals und des zweiten Datensignals als drahtlose optische Datensignale zu ermöglichen.
Ein Schritt 320 umfasst ein Positionieren der Schlüsselvorrichtung in dem Kommunikationsbereich, so dass das Senden des drahtlosen optischen Datensignals mit einer Anwesenheit des der Schlüsselvorrichtung zugeordneten Nutzers in oder benachbart zu dem Kommunikationsbereich assoziiert ist. Dies kann dadurch erfolgen, dass beispielweise ein Senden bzw. ein Empfangen des drahtlosen optischen Datensignals außerhalb des Kommunikationsbereichs verhindert ist oder, anders ausgedrückt, nur innerhalb des Kommunikationsbereichs möglich ist. Sobald die Kommunikation also erfolgreich ausgeführt wird, kann daraus geschlossen werden, dass die Schlüsselvorrichtung in dem Kommunikationsspeicher angeordnet ist und dass sich der Nutzer in der Nachbarschaft hierzu befindet.
Ein Schritt 330 umfasst ein Ausführen eines Verfahrens zur Authentifizierung unter Verwendung des drahtlosen optischen Signals, beispielsweise das Verfahren 1 10, 150 oder 200.
Auf den Empfang des ersten Datensignals hin kann die Schlüsselvorrichtung, das zweite Datensignal automatisch senden. Ein automatisches Senden kann bedeuten, dass es keiner Dateneingabe oder keiner Benutzereingabe auf das erste Datensignal hin bedarf. Dies ermöglicht eine einfache Zwei-Stufen-Authentifizierung und/oder ein automatisches Entsperren eines Rechners. So kann beispielsweise das Ablegen der Schlüsselvorrichtung in einem entsprechend eingerichteten Kommunikationsbereich dazu führen, dass automatisch ein bestimmter Dienst freigegeben wird, wie eben beispielsweise der Zugang zu einem Rechner. Dies verhindert nicht, dass im zeitlichen Wechsel oder für andere Dienste, eine Dateneingabe oder Benutzereingabe erfolgt oder erforderlich ist. Fig. 4 zeigt ein schematisches Ablaufdiagramm eines Verfahrens 400. Ein Schritt 410 umfasst ein Übermitteln von Informationen an die Schlüsselvorrichtung mittels des ersten Datensignals. Hierbei sind Informationen beinhaltet, die über eine reine Aufforderung zum Senden eines Signals hinausgehen und Informationen aufweisen, die von der Schlüsselvorrichtung weiterverarbeitet werden, bspw. um eine hieraus abgeleitete Information in ein Antwortsigna, das zweite Datensignal z integrieren, so dass unterschiedliche Informationen zwar stets das Senden des zweiten Datensignals bewirken können, aber einen unterschiedlichen Informationsinhalt aufweisen können.
Ein Schritt 420 umfasst ein Empfangen einer Benutzereingabe mit der Schlüsselvorrichtung. Die Benutzereingabe kann dabei so erfolgen, dass zuvor eine Anforderung der Benutzereingabe an den Nutzer ausgegeben wird. So kann diese Anforderung sich beispielsweise auf die mittels des ersten Datensignals übermittelten Informationen beziehen, etwa ähnlich einem sogenannten Challenge (Anforderung)/Response (Antwort)-Verfahrens. Es kann somit eine Betätigung der Schlüsselvorrichtung erfolgen. Ein Schritt 430 umfasst ein Bereitstellen des zweiten Datensignals oder eines dritten Datensignals basierend auf der Benutzereingabe. So kann beispielsweise die Schlüsselvorrichtung das zweite Datensignal, das auf der Benutzereingabe basiert, senden oder eine anderer Vorrichtung anweisen, ein solches Datensignal, das dritte Datensignal, zu senden.
Es wird darauf hingewiesen, dass das erste Datensignal, das zweite Datensignal und/oder weitere Datensignale ein einzelnes zusammenhängendes Datensignal sein können, aber auch eine Sequenz von Datensignalen oder Nachrichten. So kann beispielweise ein Datensignal über mehrere Ressourcen (Zeit, Frequenz, Code oder dergleichen) aufgeteilt sein und/oder auf mehrere Nachrichten aufgeteilt werden. Auch solche aufgeteilten Signale werden im Zusammenhang mit den vorliegenden Ausführungsbeispielen als ein gemeinsames Datensignal verstanden.
Fig. 5 zeigt ein schematisches Ablaufdiagramm eines Verfahrens 500 gemäß einem Ausführungsbeispiel, das beispielsweise als Teil des Verfahrens 100, 150, 200, 300 oder 400 ausgeführt werden kann. Ein Schritt 510 umfasst ein Empfangen des zweiten Datensignals, beispielsweise auf den Schritt 120 hin. Ein Schritt 520 umfasst ein Auswerten des zweiten Datensignals, ob die Schlüsselvorrichtung einer vorbestimmten Schlüsselvorrichtung entspricht. Dies kann bedeuten, dass eine Kennung der Schlüsselvorrichtung oder eine darin abgelegte Information ausgewertet wird. Die Information kann mit einem Nutzer assoziiert sein, beispielsweise in einer Datenbank oder dergleichen. Der Schritt 520 kann auch so verstanden werden, dass ein Abgieich erfolgt, ob das zweite Datensignal eine Information aufweist, die empfängerseitig erwartet wird. Neben der Kennung der Schlüsselvorrichtung kann dies auch eine Response eines Challenge/Response-Verfahrens, ein Passwort oder dergleichen sein.
In einem Schritt 530 erfolgt eine Unterscheidung, ob die Schlüsselvorrichtung der vordefinierten Schlüsselvorrichtung entspricht. Ist dies der Fall (ja) 532, so kann ein Ausführen des Authentifizierens erfolgen, das bedeutet, das Ausführen des Authentifizierens erfolgt nur dann, wenn die Schlüsselvorrichtung der vordefinierten Schlüsselvorrichtung entspricht. Hierzu ist ein Schritt 540 vorgesehen, der beispielsweise dem Schritt 130 oder 130 oder 220 oder 330 entsprechen kann, jedoch an die positive Entscheidung 532 gekoppelt ist bzw. hiervon abhängig ist.
Im negativen Fall (nein) 534 kann ein Ausgeben eines Datensignals erfolgen, dass die Schlüsselvorrichtung nicht der vordefinierten Schlüsselvorrichtung entspricht und/oder dass möglicherweise keine geeignete Schlüsselvorrichtung erkannt wurde. Alternativ oder zusätzlich kann ein Verweigern einer von der Authentifizierung abhängigen Berechtigung basierend darauf, dass die Schlüsselvorrichtung nicht der vordefinierten Schlüsselvorrichtung entspricht, erfolgen. Hierfür ist ein Schritt 550 vorgesehen, der auch als aktive Zurückweisung verstanden werden kann.
Der Schritt 550 kann optional sein, da auch das Nicht-Ausführen einer entsprechenden Berechtigung oder ein Abbruch eines Verfahrens als implizite Verweigerung der Berechtigung verstanden werden kann.
Fig. 6a zeigt ein schematisches Blockschaltbild eines Authentifizierungssystems 6O1 gemäß einem Ausführungsbeispiel, das ausgebildet ist, um ein erfindungsgemäßes Verfahren auszuführen, beispielsweis das Verfahren 100, 150, 200, 300, 400 und/oder 500. Das Authen- tifizierungssystem 6O1 umfasst beispielsweise eine Vorrichtung 62, für deren Betrieb das Authentifizieren ausgeführt wird. Hierbei kann es sich beispielsweise um eine Maschine oder eine sonstige Vorrichtung handeln, die zum direkten, elektronischen oder mechanischen oder elektrischen Ausführen einer Funktion einer Nutzerauthentifizierung bedarf, wozu beispielsweise ein Türmechanismus, eine Ro bote rprog ra m m ie ru ng oder dergleichen gehören kann, kann jedoch auch eine Einrichtung zur Informationswiedergabe und/oder Informationseingabe umfassen, beispielsweise ein Terminal, mittels dessen ein möglicher- weise entfernt bereitgestellter Dienst bedient oder angefragt wird, beispielsweise die Au- thentifizierung zum Zugang zu einem Portal oder zu einem Onlinebanking oder dergleichen. Die Vorrichtung 62 ist ausgebildet, um direkt oder indirekt ein erstes Datensignal 64 an eine Schlüsselvorrichtung 66 zu senden. Die Schlüsselvorrichtung 66 ist ausgebildet, um ein zweites Datensignal 68 an die Vorrichtung 62 zu senden. Das erste Datensignal 64 kann beispielsweise mittels des Schritts 1 10 direkt oder indirekt, das bedeutet, in Form einer direkten Verbindung, mittels eines Relays oder in weiterverarbeiteter Form an die Schlüsselvorrichtung 66 gesendet werden. Das zweite Datensignal 68 kann beispielsweise mittels des Schritts 120 und/oder 430 übermittelt werden. Das zweite Datensignal wird beispielsweise als drahtloses optisches Signal übermittelt.
Das erste Datensignal kann optional ebenfalls ein drahtloses optisches Signal sein, kann aber auch beliebig anders ausgeführt sein, beispielsweise als drahtgebundenes Signal, als Funksignal oder dergleichen.
Fig. 6b zeigt ein schematisches Blockschaltbild eines Authentifizierungssystems 602 gemäß einem Ausführungsbeispiel, bei dem anders als im Authentifizierungssystem 6O1 das Datensignal 64 als drahtloses optisches Datensignal gesendet wird, während das Datensignal 68 lediglich optional drahtlos optisch ausgeführt ist und alternativ ebenso drahtgebunden elektrisch oder optisch sein kann und/oder drahtlos in Form eines Funksignals ausgeführt sein kann.
Fig. 7 zeigt ein schematisches Blockschaltbild eines Authentifizierungssystems 70 gemäß einem Ausführungsbeispiel. Das Authentifizierungssystem 70 kann eine Vorrichtung 72 umfassen, für deren Betrieb das Authentifizieren ausgeführt wird. Die Vorrichtung 72 kann beispielsweise ein Terminal sein, das einen Zugriff auf einen entfernt ausgeführten Dienst aufweist, kann aber auch einen direkten Zugang zu einem Dienst oder einer Funktion bereitstellen, wie es vorangehend beschrieben ist. Obwohl die Vorrichtung 72 als Terminal oder Rechnereinheit dargestellt ist, ist eine beliebige andere Vorrichtung möglich, beispielsweise, eine Tür, eine Maschine, ein Fahrzeug oder dergleichen.
Das Authentifizierungssystem 70 umfasst ferner einen drahtlosen optischen Hot-Spot 74 zum Senden und/oder Empfangen eines drahtlosen optischen Signals. Als Hot-Spot wird eine unidirektionale oder bidirektionale Signalquelle und/oder Signalsenke verstanden, die ausgelegt ist, um einen Kommunikationsbereich 76, wie er beispielsweise in dem Schritt 310 eingerichtet werden kann, abzudecken, indem aus dem Kommunikationsbereich 76 drahtlose Signale von dem drahtlosen optischen Hot-Spot empfangen werden können oder diesen gesendet werden können. Beispielsweise kann der drahtlose Hot-Spot 74 einen Lichtkegel 78 erzeugen, der den Kommunikationsbereich 76 zumindest teilweise erzeugt. Der Lichtkegel 78 kann für den Sendefall des drahtlosen optischen Hot-Spots 74 eingerichtet sein, wobei für den Empfangsfall ein korrespondierender Kommunikationsbereich 76 auch ohne Beleuchtung erzeugt werden kann.
Das Authentifizierungssystem 70 ermöglicht es, auf unterschiedliche Weise, die Schlüsselvorrichtung 68 dazu anzuregen, das Antwortsignal 68 zu senden. Das entsprechende Datensignal 64 kann beispielsweise drahtgebunden als Datensignal 641 von der Vorrichtung 72 an die Schlüsselvorrichtung 68 gesendet werden, entweder direkt oder beispielsweise an eine Docking-Vorrichtung, in welcher die Schlüsselvorrichtung 68 gelegt wird und dort eine drahtgebundene Verbindung herstellt. Alternativ kann das Datensignal 64 als drahtloses optisches Datensignal 642 von dem für eine drahtlose optische Kommunikation eingerichteten Terminal 72 an die Schlüsselvorrichtung 68 gesendet werden. Alternativ oder zusätzlich ist es möglich, das Datensignal 64 als drahtloses optisches Datensignal 643 von dem drahtlosen optischen Hot-Spot 74 an die Schlüsselvorrichtung 68 zu senden.
Das Antwortsignal, das Datensignal 68 kann als drahtgebundenes Datensignal 681 von der Schlüsselvorrichtung 68 an das Terminal 72 gesendet werden, kann alternativ oder zusätzlich aber auch als drahtloses optisches Datensignal 682 von der Schlüsselvorrichtung direkt an das Terminal 72 oder indirekt als drahtloses optisches Datensignal 683 an den drahtlosen optischen Hot-Spot 74 gesendet werden.
Zumindest eines der Datensignale 64 und 68 wird dabei als drahtloses optisches Datensignal gesendet. Das bedeutet, eine Verwendung des Datensignals 64i führt zu einer Verwendung des Datensignals 682 oder 683, während eine Verwendung des Datensignals 681 zu einer Verwendung des Datensignals 642 oder 64s führt.
Zur Authentifizierung des Nutzers an der Vorrichtung 72, das heißt, dem Terminal, kann das Terminal 72 ein Anfragesignal 82 als drahtgebundenes Anfrage-Signal 82i und /oder als drahtloses optisches Anfrage-Signal 822 an den drahtlosen optischen Hot-Spot 74 senden. Das Anfrage-Signal 82i oder 822 kann entweder eine implizite Anweisung an den drahtlosen optischen Hot-Spot 74 aufweisen, eine Authentifizierung der Schlüsselvorrichtung 68 durch Übermitteln des drahtlosen optischen Datensignals 643 auszuführen. Hierfür kann der drahtlose optische Hot-Spot 74 eingerichtet sein, um die Authentifizierung selbstständig auszuführen und dem Terminal 72 ein Antwortsignal 84 als drahtgebundenes Antwortsignal 841 oder als drahtloses optisches Antwortsignal 842 zu übermitteln, das ein positives bzw. negatives Ergebnis der Authentifizierung angibt. Das bedeutet, in einem einfachen Fall kann es sich hierbei um eine binäre Information handeln, die angibt, ob die Authentifizierung der Schlüsselvorrichtung 68 erfolgreich war. Die Signale 82i , 64i und 681 können auch funkgebunden sein wie im Zusammenhang mit Fig. 6a und 6b beschrieben.
Alternativ oder zusätzlich ist es möglich, den drahtlosen optischen Hot-Spot 74 als Relay zu betreiben, das lediglich Signale weiterleitet oder von drahtgebunden/Funk auf drahtlos optisch oder andersherum umsetzt, so dass es sich bei dem Signal 82i oder 822 um das Signal 643 und/oder bei dem Signal 84i oder 842 um das Signal 683 handeln kann.
In anderen Worten zeigt Fig. 7 eine Abbildung mit einem erfindungsgemäßen Ausführungsbeispiel. Das Eingabegerät 72 befindet sich im selben Spot/Lichtkegel 78 des zugeordneten Li-Fi-Hot-Spots 74 wie das Schlüsselgerät 68. In diesem Beispiel erhalten beide Geräte, das Eingabegerät 72 und das Schlüsselgerät 68 das gleiche optisch drahtlose Signal. Damit ist sichergestellt, dass der Nutzer, welcher die Eingaben macht, auch tatsächlich vor dem Eingabegerät präsent ist.
Fig. 8 zeigt ein schematisches Blockschaltbild eines Authentifizierungssystems 80 gemäß einem Ausführungsbeispiel, das eine Steuerungseinheit 86 aufweist. Die Steuerungseinheit 86 ist ausgebildet, um das Anfrage-Signal 82, das heißt, den Request, zu empfangen und um ein Anweisungssignal 88 an den drahtlosen optischen Hot-Spot 74 zu senden, das eine Anweisung enthält, das drahtlose optische Datensignal 643, das heißt, das erste Datensignal zu senden und/oder das drahtlose optische Datensignal 683, das heißt, das zweite Datensignal zu empfangen.
Die Steuerungseinheit 86 kann eine Authentifizierungslogik und/oder Informationen bezüglich einer notwendigen Authentifizierung aufweisen und die Vorrichtung 72 und/oder den drahtlosen optischen Hot-Spot 74 so steuern, dass die Authentifizierung ausgeführt wird. Die Steuerungseinheit 86 kann bspw. einen Prozessor, einen Mikrokontroller, eine zentrale Recheneinheit (Central Processing Unit - CPU), eine applikationsspezifische integrierte Schaltung (AS IC) oder dergleichen aufweisen. Insbesondere ist es dadurch möglich, die Vorrichtung 72 lediglich zur Nutzerinteraktion zu verwenden und beispielsweise entsprechende Datenbanken oder Speichermedien oder dergleichen entfernt vom Nutzer aufzubewahren. Der Kommunikationsbereich 76 kann ein Überwachungsbereich oder Arbeitsbereich sein, in dessen Bereich eine Anwesenheit des Nutzers zumindest zeitweise erwartet wird. Der Kommunikationsbereich 76 kann sich auch auf das die Vorrichtung 72 erstrecken, was ein weiter erhöhtes Maß an Sicherheit bietet. Die Steuerungseinheit 86 kann bspw. Instruktionen sowohl an die Vorrichtung 72 als auch an die Vorrichtung 74 aussenden, um zu überprüfen, ob die Schlüsselvorrichtung 68 und die Vorrichtung 72 dasselbe optische Signal empfangen, etwa indem sowohl die Vorrichtung 72 als auch die Vorrichtung 68 Rückmeldung an den Li-Fi-Hot-Spot 74 übermitteln und der Hot-Spot 74 oder die Steuerungseinheit 86 überprüft, ob die Rückmeldungen übereinstimmen. Hierzu kann es sich beispielsweise um eine Response eines Challenge/Response-Verfahrens handeln, worunter auch eine einfache Bestätigung (Acknowledgement; ACK) fallen kann.
Die Steuerungseinheit 86 kann ganz oder teilweise in dem drahtlosen optischen Hot-Spot 74 und/oder ganz oder teilweise in der Vorrichtung 72 angeordnet sein.
Eine die Steuerungseinheit aufweisende Vorrichtung kann so ausgeführt sein, dass die Steuerungseinheit ausgebildet ist, um eine drahtlos optische Signalquelle, beispielsweise den drahtlosen optischen Hot-Spot 74 und zwei oder mehr weitere Vorrichtungen zu steuern. Diese Vorrichtungen können zum Beispiel die Vorrichtung 72 und die Schlüsselvorrichtung 68 umfassen, die zur drahtlosen optischen Authentifizierung unter Verwendung zumindest eines drahtlosen optischen Datensignals eingerichtet sind.
Die Steuerung der Vorrichtungen kann dabei aus einem Erzeugen von Anweisungen und/oder einem Weiterleiten von Rückmeldungen bestehen, um die Authentifizierung zu koordinieren. So kann die Steuerungseinheit ausgebildet sein, um einer ersten Vorrichtung, beispielsweise der Vorrichtung 72 oder dem Hot-Spot 74 das Datensignal 64 bereitzustellen, das Informationen aufweist, die ausgelegt sind, um die erste Vorrichtung so zu steuern, dass die erste Vorrichtung mittels eines ersten drahtlosen optischen Datensignals Informationen von einer zweiten Vorrichtung, beispielsweise dem Hot-Spot 74 beziehungsweise der Vorrichtung 72 anfordert, ob eine weitere Vorrichtung, etwa die Schlüsselvorrichtung 68 zu einer drahtlosen optischen Datenverbindung in einem vorbestimmten Kommunikationsbereich, dem Kommunikationsbereich 76, positioniert ist. Das bedeutet, die Steuerungseinheit 86 kann ausgebildet sein, um die weiteren Vorrichtungen 72, 74 und/oder 68 direkt oder indirekt so zu steuern, um die Authentifizierung zu koordinieren.
Fig. 9 zeigt ein schematisches Blockschaltbild eines Authentifizierungssystems 90 gemäß einem Ausführungsbeispiel. Beispielsweise ist die Steuerungseinheit 86 als Teil des Hot- Spots 74 oder der Vorrichtung 72 ganz oder teilweise implementiert. Unabhängig hiervon ist beispielhaft der Hot-Spot 74 benachbart zu dem Terminal 72 angeordnet.
Unabhängig hiervon kann der Kommunikationsbereich 76 ein vergleichsweise kleiner Bereich sein, der beispielsweise die einfache, doppelte oder dreifache Ausdehnung der Schlüsselvorrichtung 68 aufweist, beispielsweise an einem Arbeitsplatz, Schreibtisch oder dergleichen. Ausführungsbeispiele beschränken sich jedoch nicht hierauf, sondern ermöglichen eine beliebige Größe des Kommunikationsbereichs. Durch zyklische Abfrage und/oder ständige Empfangsbereitschaft kann festgestellt werden, dass die Schlüsselvorrichtung 68 in dem Kommunikationsbereich 76 positioniert wird oder wurde. Dies ermöglicht die automatische Durchführung einer Authentifizierung an der Vorrichtung 72, was beispielsweise zu einem automatischen Entsperren eines Rechners oder zu einer automatischen Öffnung einer Tür oder zu einer automatischen Freigabe bestimmter Funktionen an einer Vorrichtung oder einer Maschine genutzt werden kann. Das bedeutet, das Senden des Datensignals 68 kann automatisch ausgeführt werden. Dies kann sowohl als vollständige Authentifizierung eingesetzt werden, indem die Positionierung der Schlüsselvorrichtung 68 in dem Kommunikationsbereich 76 bereits zur Entsperrung der Vorrichtung 72 oder eines hiervon ausgeführten Dienstes ausgeführt wird, kann aber auch als komfortable zweite Stufe einer Zwei-Stufen-Authentifizierung genutzt werden, beispielsweise indem eine erfolgreiche Passworteingabe oder dergleichen durch eine Abfrage, ob die Schlüsselvorrichtung 68 in dem Kommunikationsbereich 76 positioniert ist, ausgeführt wird. Derartige Konzepte können ohne weiteres auch in dem Authentifizierungssystem 60, 70 und/oder 80 implementiert werden.
In anderen Worten verwendet das Li-Fi-Key (drahtloser optischer Schlüssel)-Verfahren Li- Fi-Technologie, um sicherzustellen, dass der Nutzer tatsächlich am Eingabegerät präsent ist. Dazu können das Eingabegerät (Rechner, Workstation, Terminal, Maschine, Tür, etc.) und ein dem Nutzer zugeordnetes Schlüsselgerät im gleichen Spot, dem Kommunikationsbereich eines optisch drahtlosen Datenübertragungsgerätes (auch bezeichnet Li-Fi Hot- Spot oder drahtloser optischer Hot-Spot) präsent sein. Mindestens das Schlüsselgerät ist ausgebildet, um Signale des Li-Fi Hot-Spot zu empfangen und/oder auszuwerten. Das Eingabegerät, beispielsweise die Vorrichtung 72 kann ebenfalls über einen entsprechenden Empfänger verfügen, beispielsweise wenn nicht sichergestellt werden kann, dass das Eingabegerät und das Schlüsselgerät räumlich in direkter Nähe sind, beispielsweise durch eine feste Installation.
Unter Verweis auf die Authentifizierungssysteme 70 und/oder 80 kann die Vorrichtung 72 auch außerhalb des Kommunikationsbereichs 76 angeordnet sein, beispielsweise an einem entfernten Ort. Möchte sich der Nutzer an einem Eingabegerät anmelden oder eine authen- tifizierungsbedürftige Aktion ausführen, so kann über ein diesem Eingabegerät, der Vorrichtung 72, zugeordneten Li-Fi-Hot-Spot ein Signal ausgesendet werden. Wird dieses Signal vom Schlüsselgerät, der Schlüsselvorrichtung 68, des entsprechenden Nutzers empfangen und bestätigt, so gilt die Aktion als autorisiert. Für eine erhöhte Sicherheit kann die Rückmeldung vom Schlüsselgerät dabei ebenfalls optisch drahtlos erfolgen. Alternativ ist es möglich, dass das Schlüsselgerät ein entsprechendes optisches drahtloses Signal an den dem Empfangsgerät zugeordneten Li-Fi-Hot-Spot sendet. Hierzu kann es wichtig sein, dass mindestens einmal ein optisches drahtloses Signal zwischen Schlüsselgerät und dem zugeordneten Li-Fi-Hot-Spot gesendet, empfangen und ausgewertet wird. Kann einem Eingabegerät kein Li-Fi-Hot-Spot eindeutig zugeordnet werden, so kann eine eindeutige Zuordnung eines Endgeräts, beispielsweise der Vorrichtung 72 zu einem Li-Fi-Hot-Spot ebenfalls durch das beschriebene Austauschen von mindestens einem optischen drahtlosen Signal zwischen Eingabegerät und dem entsprechenden Li-Fi-Hot-Spot gewährleistet werden. Dies kann durch unterschiedliche Verfahren und/oder Vorrichtungen erreicht werden. So kann Vorrichtung 72 beispielsweise ohne Eingabegerät vorhanden sein, wie beispielsweise eine Tastatur. Um eine Eingabe an der Vorrichtung 72 zu tätigen, könnten nun ein beliebiges Eingabegerät ebenfalls über ein optisch drahtloses Signal als Eingabegerät für Vorrichtung 72 identifiziert werden. In speziellen Fällen könnte auch die Schlüsselvorrichtung 68 direkt als Eingabegerät fungieren.
Obwohl manche Aspekte im Zusammenhang mit einer Vorrichtung beschrieben wurden, versteht es sich, dass diese Aspekte auch eine Beschreibung des entsprechenden Verfahrens darstellen, sodass ein Block oder ein Bauelement einer Vorrichtung auch als ein entsprechender Verfahrensschritt oder als ein Merkmal eines Verfahrensschrittes zu verstehen ist. Analog dazu stellen Aspekte, die im Zusammenhang mit einem oder als ein Verfahrensschritt beschrieben wurden, auch eine Beschreibung eines entsprechenden Blocks oder Details oder Merkmals einer entsprechenden Vorrichtung dar. Die oben beschriebenen Ausführungsbeispiele stellen lediglich eine Veranschaulichung der Prinzipien der vorliegenden Erfindung dar. Es versteht sich, dass Modifikationen und Variationen der hierin beschriebenen Anordnungen und Einzelheiten anderen Fachleuten ein- leuchten werden. Deshalb ist beabsichtigt, dass die Erfindung lediglich durch den Schutzumfang der nachstehenden Patentansprüche und nicht durch die spezifischen Einzelheiten, die anhand der Beschreibung und der Erläuterung der Ausführungsbeispiele hierin präsentiert wurden, beschränkt sei.

Claims

Patentansprüche
1. Verfahren zur Authentifizierung eines Nutzers mit folgenden Schritten:
Senden (110) eines ersten Datensignals an eine dem Nutzer zugeordnete Schlüsselvorrichtung;
Senden (120) eines zweiten Datensignals mit der Schlüsselvorrichtung basierend auf dem ersten Datensignal;
Authentifizieren (130) des Nutzers basierend auf dem zweiten Datensignal; wobei (140) das erste Datensignal und/oder das zweite Datensignal als drahtloses optisches Datensignal gesendet wird.
2. Verfahren gemäß Anspruch 1 , ferner umfassend:
Bestimmen (160) einer Anwesenheit der Schlüsselvorrichtung basierend auf einem Empfang des zweiten Datensignals; so dass das Authentifizieren basierend auf der Anwesenheit der Schlüsselvorrichtung erfolgt.
3. Verfahren gemäß Anspruch 1 oder 2, bei dem das erste Datensignal (64) als drahtloses optisches Datensignal mit einer drahtlosen optischen Signalquelle (74) gesendet wird, und eine Anwesenheit der Schlüsselvorrichtung (66) in einem Sendebereich der drahtlosen optischen Signalquelle (74) bestimmt wird und/oder bei dem das zweite Datensignal (68) als drahtloses optisches Datensignal von einer drahtlosen optischen Empfangsvorrichtung (74) empfangen wird, und eine Anwesenheit der Schlüsselvorrichtung (66) in einem Empfangsbereich der drahtlosen optischen Empfangsvorrichtung (74) bestimmt wird.
4. Verfahren gemäß einem der vorangehenden Ansprüche, bei dem das erste Datensignal (64) als drahtloses optisches Signal an die Schlüsselvorrichtung (68) gesendet wird; und bei dem das zweite Datensignal (68) als drahtloses optisches Signal gesendet wird.
5. Verfahren gemäß einem der vorangehenden Ansprüche, bei dem die Authentifizie- rung eine zumindest zweistufige Authentifizierung ist, und das ferner folgende Schritte aufweist;
Durchführen (210) einer ersten Teil-Authentifizierung vor dem Authentifizieren des Nutzers basierend auf dem zweiten Datensignal; und
Durchführen (220) einer zweiten T eil-Authentifizierung basierend auf dem Senden des ersten Datensignals und/oder des zweiten Datensignals als drahtloses optisches Datensignal.
6. Verfahren gemäß Anspruch 5, bei dem die erste T eil-Authentifizierung unter Verwendung einer Vorrichtung (72) ausgeführt wird, und die zweite Teil-Authentifizierung ausgeführt wird, um eine Anwesenheit des Nutzers benachbart zu der Vorrichtung (72) zu bestätigen.
7. Verfahren gemäß einem der vorangehenden Ansprüche, mit folgenden Schritten:
Einrichten (310) eines Kommunikationsbereichs in welchem eine drahtlose optische Kommunikation bereitgestellt wird;
Positionieren (320) der Schlüsselvorrichtung in dem Kommunikationsbereich; so dass das Senden des drahtlosen optischen Datensignals mit einer Anwesenheit des der Schlüsselvorrichtung zugeordneten Nutzers in oder benachbart zu dem Kommunikationsbereich assoziiert ist.
8. Verfahren gemäß einem der vorangehenden Ansprüche, bei dem das Senden des zweiten Datensignals (68) mit der Schlüsselvorrichtung (66) automatisch ausgeführt wird.
9 Verfahren gemäß einem der vorangehenden Ansprüche, bei dem mittels des ersten Datensignals (64) Informationen an die Schlüsselvorrichtung (66) übermittelt werden, wobei das Verfahren ferner aufweist:
Empfangen (420) einer Benutzereingabe mit der Schlüsselvorrichtung; und Bereitstellen (430) des zweiten Datensignals oder eines dritten Datensignals basierend auf der Benutzereingabe.
10. Verfahren gemäß einem der vorangehenden Ansprüche, bei dem das zweite Datensignal (68) der Schlüsselvorrichtung (66) zugeordnet ist, wobei das Verfahren ferner aufweist:
Empfangen (510) des zweiten Datensignals;
Auswerten (520) des zweiten Datensignals, ob die Schlüsselvorrichtung einer vorbestimmten Schlüsselvorrichtung entspricht; wobei der Schritt des Authentifizierens (540) nur dann ausgeführt wird, wenn die Schlüsselvorrichtung der vordefinierten Schlüsselvorrichtung entspricht.
11. Verfahren gemäß Anspruch 10, das ferner aufweist:
Ausgeben (550) eines Datensignals, dass die Schlüsselvorrichtung nicht der vordefinierten Schlüsselvorrichtung entspricht; und/oder
Verweigern einer von der Authentifizierung abhängigen Berechtigung basierend darauf, dass die Schlüsselvorrichtung nicht der vordefinierten Schlüsselvorrichtung entspricht.
12. Verfahren gemäß einem der vorangehenden Ansprüche, bei dem das Senden (120) des zweiten Datensignals als Antwort auf das erste Datensignal erfolgt.
13. Verfahren gemäß einem der vorangehenden Ansprüche, bei dem das Senden (110) des ersten Datensignals eine Übermittlung einer Anfrage eines Anfrage/Antwort-Verfahrens umfasst.
14. Verfahren gemäß Anspruch 13, bei dem das Senden (120) des zweiten Datensignals eine Übermittlung einer Antwort des Antwo rt/Anf rage-Ve rf ah re ns umfasst.
15. Verfahren gemäß einem der vorangehenden Ansprüche, bei dem das zweite Datensignal eine Information aufweist, die aus einem Inhalt des ersten Datensignals abgeleitet wird und/oder einer Vielzahl von unterschiedlichen Informationen in Abhängigkeit eines Inhalts des ersten Datensignals ausgewählt ist.
16. Authentifizierungssystem zum Durchführen eines Verfahrens gemäß einem der vorangehenden Ansprüche.
17. Authentifizierungssystem gemäß Anspruch 16, das eine Vorrichtung (72) umfasst, für deren Betrieb das Authentifizieren ausgeführt wird; und das ferner umfasst: einen drahtlosen optischen Hot-Spot (74) zum Senden und/oder empfangen des drahtlosen optischen Signals.
18. Authentifizierungssystem gemäß Anspruch 17, mit einer Steuerungseinheit (86), die ausgebildet ist, um basierend auf einem von der Vorrichtung empfangenen Anfrage- Signal (82) ein Anweisungs-Signal (88) an den drahtlosen optischen Hot-Spot (74) zu senden, das ein Anweisung enthält, das drahtlose optische Datensignal zu senden oder zu empfangen.
19. Authentifizierungssystem gemäß Anspruch 18, bei dem der drahtlose optische Hot- Spot (74) ausgebildet ist, um ein Signal (84) bereitzustellen, das ein Ergebnis des Authentifizierens angibt.
20. Authentifizierungssystem gemäß Anspruch 18 oder 19, bei dem die Steuerungseinheit (86) zumindest teilweise als Teil des drahtlosen optischen Hot-Spots (74) und/ oder zumindest teilweise als Teil der Vorrichtung (72) angeordnet ist.
21. Vorrichtung mit: einer Steuerungseinheit (86), die ausgebildet ist, um eine drahtlose optische Signalquelle (74) und eine Mehrzahl von Vorrichtungen zur drahtlosen optischen Authenti- fizierung unter Verwendung zumindest eines drahtlosen optischen Datensignals (64; 68) zu steuern.
22. Vorrichtung gemäß Anspruch 21 , bei der die Steuerungseinheit (86) ausgebildet ist, um einer ersten Vorrichtung (72, 74) der Mehrzahl von Vorrichtungen ein erstes Datensignal bereitzustellen, das Informationen aufweist, die ausgelegt sind, um die erste Vorrichtung (72, 74) so zu steuern, dass die erste Vorrichtung (72, 74) mittels eines ersten drahtlosen optischen Datensignals (64) Informationen von einer zweiten Vorrichtung (72, 74) der Mehrzahl von Vorrichtungen anfordert, ob eine dritte Vorrichtung (66) der Mehrzahl von Vorrichtungen zu einer drahtlosen optischen Datenverbindung in einem vorbestimmten Kommunikationsbereich (76) positioniert ist.
PCT/EP2020/064293 2019-05-23 2020-05-22 Verfahren zur authentifizierung eines nutzers und authentifizierungssystem WO2020234459A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102019207606.8A DE102019207606A1 (de) 2019-05-23 2019-05-23 Verfahren zur authentifizierung eines nutzers und authentifizierungssystem
DE102019207606.8 2019-05-23

Publications (1)

Publication Number Publication Date
WO2020234459A1 true WO2020234459A1 (de) 2020-11-26

Family

ID=70847382

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2020/064293 WO2020234459A1 (de) 2019-05-23 2020-05-22 Verfahren zur authentifizierung eines nutzers und authentifizierungssystem

Country Status (2)

Country Link
DE (1) DE102019207606A1 (de)
WO (1) WO2020234459A1 (de)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150037039A1 (en) * 2013-07-30 2015-02-05 Genie House Co., Ltd. Visible light transmission system for vehicles
US20150302732A1 (en) * 2014-04-18 2015-10-22 Gentex Corporation Trainable transceiver and mobile communications device training systems and methods
US20160019729A1 (en) * 2013-03-04 2016-01-21 Padro David Gonzalez Vera System and method for the access to information contained in motor vehicles
US9710978B1 (en) * 2016-03-15 2017-07-18 Tyco Fire & Security Gmbh Access control system using optical communication protocol
WO2017143193A1 (en) * 2016-02-19 2017-08-24 The Regents Of The University Of Colorado, A Body Corporate Wearable token-based authentication for touch-enabled devices
EP3413276A1 (de) * 2017-06-08 2018-12-12 Honeywell International Inc. Fahrzeugkommunikationssystem mit lichtmodulation

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9407609B2 (en) * 2010-12-30 2016-08-02 Koninklijke Philips N.V. Lighting system, a light source, a device and a method of authorizing the device by the light source
US9520939B2 (en) * 2013-03-06 2016-12-13 Qualcomm Incorporated Methods and apparatus for using visible light communications for controlling access to an area
US10397777B2 (en) * 2016-04-29 2019-08-27 Cisco Technology, Inc. Method and system to provide multi-factor authentication for network access using light
WO2018019553A1 (en) * 2016-07-26 2018-02-01 Philips Lighting Holding B.V. Monitoring an area using illumination

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160019729A1 (en) * 2013-03-04 2016-01-21 Padro David Gonzalez Vera System and method for the access to information contained in motor vehicles
US20150037039A1 (en) * 2013-07-30 2015-02-05 Genie House Co., Ltd. Visible light transmission system for vehicles
US20150302732A1 (en) * 2014-04-18 2015-10-22 Gentex Corporation Trainable transceiver and mobile communications device training systems and methods
WO2017143193A1 (en) * 2016-02-19 2017-08-24 The Regents Of The University Of Colorado, A Body Corporate Wearable token-based authentication for touch-enabled devices
US9710978B1 (en) * 2016-03-15 2017-07-18 Tyco Fire & Security Gmbh Access control system using optical communication protocol
EP3413276A1 (de) * 2017-06-08 2018-12-12 Honeywell International Inc. Fahrzeugkommunikationssystem mit lichtmodulation

Also Published As

Publication number Publication date
DE102019207606A1 (de) 2020-11-26

Similar Documents

Publication Publication Date Title
EP3256977B1 (de) Computerimplementiertes verfahren zur zugriffskontrolle
EP3416140B1 (de) Verfahren und vorrichtung zum authentisieren eines nutzers an einem fahrzeug
DE102012103106A1 (de) Verfahren zum Authentifizieren eines Nutzers an einem Dienst auf einem Diensteserver, Applikation und System
EP3246839B1 (de) Zugangskontrolle mit einem mobilfunkgerät
DE102006042358A1 (de) Verfahren und Servicezentrale zum Aktualisieren von Berechtigungsdaten in einer Zugangsanordnung
DE102011075257B4 (de) Beantwortung von Anfragen mittels des Kommunikationsendgeräts eines Nutzers
EP3449655B1 (de) Verfahren zur sicheren interaktion eines nutzers mit einem mobilen endgerät und einer weiteren instanz
EP2965490B1 (de) Verfahren zum authentifizieren von personen
DE102013100756B3 (de) Verfahren und Vorrichtung zur Authentifizierung eines Nutzers
WO2020234459A1 (de) Verfahren zur authentifizierung eines nutzers und authentifizierungssystem
EP3540623B1 (de) Verfahren zur erzeugung eines pseudonyms mit hilfe eines id-tokens
EP2677791A2 (de) Verfahren und Vorrichtung zum Übermitteln einer Prüfanfrage an ein Identifizierungsmodul
DE102013001733A1 (de) Verfahren zum Zugriff auf einen Dienst eines Servers über eine Applikation eines Endgeräts
EP3657750B1 (de) Verfahren zur authentifizierung einer datenbrille in einem datennetz
DE102020205933A1 (de) Verfahren zur Kopplung eines Authentifizierungsmittels mit einem Fahrzeug
EP3289751B1 (de) Übertragung eines einmalschlüssels via infrarotsignal
DE102019200925A1 (de) Verfahren und Vorrichtung zur Erzeugung und Überprüfung eines Einmal-Kennworts
EP3039611B1 (de) Verfahren und vorrichtung zur übertragung einer information
EP3530022A1 (de) Maschine zur verarbeitung von lebensmitteln und verpackungsprodukten
DE102021005350A1 (de) Autorisieren einer Anwendung auf einem Sicherheitselement
DE102014211839A1 (de) Verfahren zum Authentifizieren einer Entität
EP2834767B1 (de) Computersystem sowie verfahren zum sicheren booten eines computersystems
EP2933769A1 (de) Transaktionsverfahren
DE102011110898A1 (de) Verfahren zur Authentifizierung eines Benutzers zum Gewähren eines Zugangs zu Diensten eines Computersystems, sowie zugehöriges Computersystem, Authentifizierungsserver und Kommunikationsgerät mit Authentifizierungsapplikation
DE102014201846A1 (de) Verfahren zur sicheren Übertragung von Zeichen

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20728001

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 20728001

Country of ref document: EP

Kind code of ref document: A1