DE102011055297B4 - Verfahren sowie Netzwerk-System und Authentifizierungsvorrichtung zur Authentifizierung in einer Netzwerkapplikation - Google Patents

Verfahren sowie Netzwerk-System und Authentifizierungsvorrichtung zur Authentifizierung in einer Netzwerkapplikation Download PDF

Info

Publication number
DE102011055297B4
DE102011055297B4 DE201110055297 DE102011055297A DE102011055297B4 DE 102011055297 B4 DE102011055297 B4 DE 102011055297B4 DE 201110055297 DE201110055297 DE 201110055297 DE 102011055297 A DE102011055297 A DE 102011055297A DE 102011055297 B4 DE102011055297 B4 DE 102011055297B4
Authority
DE
Germany
Prior art keywords
network
authentication device
application server
application
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE201110055297
Other languages
English (en)
Other versions
DE102011055297A1 (de
Inventor
Rainer Dahlmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DAHLMANN, RAINER, DE
EBEL, MARC, DE
Original Assignee
Rainer Dahlmann
Marc Ebel
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Rainer Dahlmann, Marc Ebel filed Critical Rainer Dahlmann
Priority to DE201110055297 priority Critical patent/DE102011055297B4/de
Publication of DE102011055297A1 publication Critical patent/DE102011055297A1/de
Application granted granted Critical
Publication of DE102011055297B4 publication Critical patent/DE102011055297B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Abstract

Ein Verfahren zur Authentifizierung eines Nutzers in einer Netzwerkapplikation mit einem Netzwerk-System, aufweisend einen Applikations-Client, an dem die Netzwerkapplikation gestartet werden kann, einen Applikations-Server zur Bereitstellung der Netzwerkapplikation und eine autonome, mit dem Nutzer assoziierte Authentifizierungsvorrichtung, die mit dem Netzwerk verbindbar ist, um wenigstens ein Sicherheitsmerkmal, das in derselben gespeichert ist, an den Applikations-Server zu übertragen, wobei die Übertragung des wenigstens einen Sicherheitsmerkmals unter Herstellung einer zweiten logischen Verbindung der Authentifizierungsvorrichtung zu dem Applikations-Server unabhängig von der ersten logischen Verbindung zwischen dem Applikations-Client und dem Applikations-Server erfolgt. Nach einem positiven Vergleichsergebnis des wenigstens einen übertragenen Sicherheitsmerkmals mit einem registrierten Sicherheitsmerkmal erfolgt durch den Applikations-Server ein Abschließen eines Applikationsvorgangs.

Description

  • Die Erfindung betrifft ein Verfahren und ein Netzwerk-System mit einem Applikations-Client und einem Applikations-Server sowie eine Authentifizierungsvorrichtung zur Authentifizierung eines Nutzers in einer Netzwerkapplikation.
  • Service- und Datenanbieter müssen aus unterschiedlichen Interessen sicherstellen, dass solche Dateninhalte, die lediglich für einen begrenzten Nutzerkreis bestimmt sind, auch ausschließlich für diesen zugänglich sind. Eine solche Zugangsbeschränkung auf einen Nutzerkreis ist in der Regel zunächst mit der Zuordnung eines Nutzers zu einem registrierten Profil verbunden und wird regelmäßig durch allgemein bekannte Anmelde bzw. Login-Vorgänge sichergestellt.
  • Derartige Sicherheitsmaßnahmen werden insbesondere bei Internetdiensten, wie z. B. dem e-Commerce von Online-Shops, kostenpflichtigen Datenbanken, Online-Banking, sowie E-Mail Konten und sonstigen Portalen und Foren angewendet. Insbesondere bei Anwendungen zur Abwicklung von Online-Geschäften, im Zuge derer entsprechende Willenserklärungen und Aktivitäten zu Zahlungen oder sonstigen Verbindlichkeiten führen, sowie bei der Bereitstellung sensibler Daten, besteht angesichts des erheblichen kriminellen Potentials eine besonders dringliche Notwendigkeit zur sicheren Authentifizierung der Teilnehmer.
  • Üblicherweise basieren Authentifizierungsverfahren auf einer vorherigen Registrierung, bei der die Identität bzw. persönliche Daten eines Nutzers vor dem ersten Zugang der Anwendung durch Eingabe des Nutzers hinterlegt werden. Dabei wird bei der Registrierung in der Regel ein Identifikationsmerkmal, z. B. ein Username oder eine e-Mailadresse festgelegt, die eine eindeutige Identifikation des Nutzers im Rahmen der Anwendung ermöglicht. Weiterhin wird zur späteren Authentifizierung des Nutzers bei der Registrierung zumeist ein Passwort durch den Nutzer festgelegt, das nur diesem selber bekannt ist, und somit einen exklusiven Zugang gewährleisten soll.
  • Im Stand der Technik wird zwischen 1 bis 3-Faktoren Authentifizierungen unterschieden, wobei die Faktoren das Wissen (z. B. Passwort), den Besitz (z. B. Smartcard) und persönliche Eigenschaften (z. B. Fingerabdruck, Unterschrift) des betreffenden Nutzers umfassen.
  • Passwörter sind die am häufigsten angewandte Methode zur Authentifizierung, da eine entsprechende Registrierung schnell eingerichtet ist und seitens des Nutzers keine weitere Ausrüstung erforderlich ist. Allerdings ist diese Methode auch die unsicherste, da einfache Passwörter von versierten Dritten durch systematische Wörterbuch-Methoden erraten werden können und komplizierte Passwörter (z. B. mit Ziffern, Sonderzeichen, Buchstaben groß – klein) aufgrund erschwerter Gedächtniseinprägung gerne gemieden werden.
  • Zudem sind Passwörter Ziel zahlreicher potentieller Attacken wie z. B. per E-Mail (z. B. identity theft, phishing), Abfangen (man-in-the-middle) oder Key-Logging, bei dem durch eine unbemerkte Installation die Tastatureingabe aufgezeichnet wird.
  • Eine verbesserte Sicherheit schaffen einmalig gültige Passwörter (z. B. TAN). Diese müssen durch den entsprechenden Dienstleister generiert und registriert werden bevor er sie dem Nutzer zukommen lässt. Der Nutzer muss die Passwörter bzw. Ziffernfolgen stets bereit halten und sie insbesondere vor Entwendung schützen. Eine Abkehr der Online-Banking Dienstleister von diesem Verfahren bestätigt Sicherheitslücken und Probleme in der praktischen Handhabung und Durchführung.
  • Weiterhin gibt es sogenannte Security-Token. Dies sind kleine tragbare Geräte, die durch einen synchronisierten Logarithmus zusammen mit einem Authentifizierungsserver kurzzeitig gültige Passwörter zeitgleich generieren und auf einem Display anzeigen. Diese Passwörter enthalten zumeist längere Zahlenreihen und müssen unter Zeitdruck korrekt manuell eingegeben werden, wodurch die Bedienungsfreundlichkeit leidet. Falls keine weiteren Sicherheitsmaßnahmen konfiguriert sind, kann ein entwendeter Security-Token verwendet werden, um sich über beliebige PCs missbräuchlich Zugang zu verschaffen. Wenn das Passwort lediglich in Abhängigkeit eines Zeitrahmens und nicht für einen indiviuellen Zugang generiert wird, kann das Verfahren mit Security-Token durch eine zügig übertragene Aufzeichnung eines Key-Loggers durchgangen werden.
  • Des Weiteren sind Smartcards verbreitet, die z. B. per USB-Anschluss an einem PC des Nutzers angeschlossen werden. In diesen sind entweder Passwörter bzw. Identifikationen gespeichert oder werden gegebenenfalls in Abhängigkeit einer Anwendung generiert. Verfahren mit entsprechenden Peripheriegeräten haben den Nachteil gemeinsam, dass die Passwörter durch unbemerkt installierte Softwaremanipulation ausgespäht werden können. Zudem ist es möglich, dass eine entsprechende Installation mittels der Hardware des PCs den angeschlossenen Speicherort der Passwörter ausliest, oder zum Zeitpunkt der Absendung derselben einen Ausgang zum Netzwerkanschluss überwacht.
  • Schließlich gibt es Verfahren, bei denen ein Austausch von einmalig gültigen Passwörtern über zwei getrennte Verbindungen stattfindet (z. B. mobile-TAN). Diese beiden Verbindungen können beispielweise durch das Internet und den Mobilfunk gebildet werden. Dieses Verfahren gilt spätestens nach dem Vorfall des Banking Trojaners „Zeus” als nicht mehr sicher. Im Falle einer Verbindung mit einem Mobilfunktelefon oder dergleichen bestehen darüber hinaus Methoden, um eine Datenübertragung abzuhören bzw. abzufangen. Zudem können bei der Verwendung Probleme durch Funklöcher bzw. eine unzureichende Netzabdeckung entstehen
  • Ferner sind Verfahren bekannt, in denen eine biometrische Erfassung wie beispielsweise ein Fingerabdruck oder ein Iris-Scan des Nutzers vorgesehen ist. Diese Verfahren können mit Schwachpunkten bei der Übertragung der Erfassungsdaten bzw. eines positiven Bestätigungssignals behaftet sein. Insbesondere ist jedoch die Bereitstellung einer Einrichtung zur biometrischen Erfassung erforderlich, was seitens des Nutzers für viele Anwendungen nicht rentabel ist.
  • Ferner offenbart die freie Enzyklopädie Wikipedia unter dem Begriff Authentifizierung Vorrichtungen, die mit einem PC verbunden werden, wie z. B. einen USB-Stick mit Passworttresor, und Verfahren, wie z. B. das mobile TAN Verfahren, bei denen Sicherheitsmerkmale manuell in den PC eingegeben werden.
  • Die Offenlegungsschrift DE 10 2008 063 864 A1 offenbart ein Verfahren zur Authentifizierung einer Person gegenüber einer elektronischen Datenverarbeitungsanlage mittels eines tragbaren Endgeräts als elektronischer Schlüssel, wie z. B. einem Mobiltelefons mit WLAN-Einrichtung zur drahtlosen Kommunikation
  • Diese Vorrichtungen und Verfahren haben jedoch den Nachteil gemeinsam, dass ein Sicherheitsmerkmal stets über die Netzwerkkarte des potentiell manipulierbaren PC an einen Server übertragen werden muss.
  • Der Erfindung liegt daher die Aufgabe zugrunde, eine alternative Authentifizierung in einem Netzwerk zu schaffen, die ein hohes Maß an Sicherheit gegenüber Zugriffen durch Dritte sowie eine einfache Bedienung gewährleistet.
  • Diese Aufgabe wird erfindungsgemäß durch ein Authentifizierungsverfahren mit den Schritten des Anspruchs 1 sowie durch ein Netzwerk-System mit den Merkmalen des Anspruchs 10 gelöst.
  • Das Netzwerk-System zur Authentifizierung eines Nutzers in einer Client-Server-Netzwerkapplikation zeichnet sich insbesondere durch eine autonome, mit dem Nutzer assoziierte Authentifizierungsvorrichtung aus, die über einen lokalen Netzwerkknoten mit dem Netzwerk verbindbar ist, um wenigstens ein Sicherheitsmerkmal, das in derselben gespeichert ist, gemäß einem Netzwerkprotokoll in einer zweiten Netzwerkverbindung an einen externen Applikations-Server zu übertragen; wobei die Netzwerkadresse des lokalen Netzwerkknotens im externen Applikations-Server registriert ist, und die Übertragung des wenigstens einen Sicherheitsmerkmals eine hardwareimmanente Identifikation der Authentifizierungsvorrichtung umfasst, und unter Herstellung der zweiten Netzwerkverbindung von der Authentifizierungsvorrichtung zu dem Applikations-Server über denselben Netzwerkknoten (4) erfolgt, über den die erste logische Verbindung zwischen dem Applikations-Client und dem externen Applikations-Server besteht.
  • Erfindungsgemäß sind die Sicherheitsmerkmale in der Authentifizierungsvorrichtung an einem systematisch abgetrennten Speicherort hinterlegt. Die Authentifizierungsvorrichtung bildet einen autonomen Schaltkreis, zu dem keine physikalische Verbindungen zur Steuerung oder sonstigen Zugriffen durch externe Datenverarbeitungseinrichtungen bereitgestellt sind. Somit können die Sicherheitsmerkmale grundsätzlich nicht durch einen Applikations-Client, d. h. insbesondere einem durch Softwaremanipulation gefährdeten Nutzer-PC des Nutzers, ausgelesen werden.
  • Die Authentifizierungsvorrichtung weist erfindungsgemäß zur externen Datenverbindung lediglich eine Netzwerkschnittstelle auf, über die sie gespeicherte Sicherheitsmerkmale in einer eigenen logischen Verbindung über das Netzwerk an den Applikations-Server überträgt. Daher werden die Sicherheitsmerkmale aus der Authentifizierungsvorrichtung insbesondere nicht über eine Netzwerkschnittstelle des Applikations-Clients versendet und folglich nicht durch die Hardware desselben geleitet. Somit können die Sicherheitsmerkmale während einer Übertragung zur Authentifizierung prinzipiell nicht durch Manipulationen des Applikations-Clients aufgezeichnet werden.
  • Das Verfahren zur Authentifizierung eines Nutzers in einer Client-Server-Netzwerkapplikation zeichnet sich insbesondere dadurch aus, dass der Aufbau einer zweiten Netzwerkverbindung und die Übertragung eines Sicherheitsmerkmals über denselben Netzwerkknoten erfolgt, über den die erste Netzwerkverbindung zwischen dem Applikations-Client und dem Applikations-Server besteht, wobei die Netzwerkadresse des lokalen Netzwerkknotens im externen Applikations-Server registriert ist, wobei das Übertragen des Sicherheitsmerkmals weiterhin eine hardwareimmanente Identifikation der Authentifizierungsvorrichtung umfasst; und wobei der Applikations-Server ein Verifizieren, ob die erste und zweite Netzwerkverbindung über den registrierten lokalen Netzwerkknoten (4) erfolgt, ein Vergleichen des wenigstens einen übertragenen Sicherheitsmerkmals und der hardwareimmanenten Identifikation der Authentifizierungsvorrichtung mit wenigstens einem registrierten Sicherheitsmerkmal und einer registrierten Identifikation, und ein Abschließen eines Applikationsvorgangs in Reaktion auf ein positives Vergleichsergebnis, durchführt.
  • Im Rahmen des Authentifizierungsverfahrens wird eine Verbindung der Authentifizierungsvorrichtung erfindungsgemäß nur zweitweise zur Übertragung der Sicherheitsmerkmale aufgebaut, sodass die Authentifizierungsvorrichtung ansonsten von dem gesamten Netzwerk getrennt und gegen externe Zugriffe aus dem Netzwerk geschützt ist.
  • Zudem kann die Verbindung der Authentifizierungsvorrichtung erfindungsgemäß nur auf eine Betätigung des Nutzers hin erfolgen. Somit kann durch einen Dritten aus dem Netzwerk keine Verbindung zur Netzwerkschnittstelle initiiert werden, um Daten aus der Speichereinheit der Authentifizierungsvorrichtung zu entwenden. Weiterhin ermöglicht diese Bedingung dem Nutzer auf einfache Weise den Zeitpunkt und den Status der Verbindung zu kontrollieren.
  • Weiterhin werden in dem Verfahren erfindungsgemäß Sicherheitsmerkmale übertragen, die vorab in der Authentifizierungsvorrichtung abgespeichert sind. Somit ist während der Authentifizierung keine wiederholende Generierung, keine Synchronisierung eines auf einem Server parallel ausgeführten Generierungsalgorithmus und insbesondere keine manuelle Eingabe eines Sicherheitsmerkmals erforderlich. Hinsichtlich des Bedienungsaufwands ist während der Authentifizierung lediglich eine Betätigung zur Aktivierung der Authentifizierungsvorrichtung und ggf. eine Betätigung zum Abrufen bzw. Übermitteln von Sicherheitsmerkmalen erforderlich. Hierdurch wird eine hohe Bedienungsfreundlichkeit der erfindungsgemäßen Authentifizierung gewährleistet.
  • Die Authentifizierungsvorrichtung kann einen dedizierten Schaltkreis, der eine Speichereinheit zur Speicherung des wenigstens einen Sicherheitsmerkmals und einer Netzwerkadresse, die dem wenigstens einen Sicherheitsmerkmal zugeordnet ist; eine Netzwerkschnittstelle zur zeitweisen Herstellung einer physikalischen Verbindung zu dem Netzwerk der Netzwerkapplikation während einer Datenübertragung zur Übermittlung des wenigstens einen Sicherheitsmerkmals mit einer Netzwerkkarte zur Übertragung von Daten in einem Netzwerkprotokoll, die eine logische Verbindung zur Übermittlung des wenigstens einen Sicherheitsmerkmals lediglich basierend auf derjenigen Netzwerkadresse aufbauen kann, die dem wenigstens einen Sicherheitsmerkmal im Speicher zugeordneten ist; und einen einmalig beschreibbaren Speicher, auf dem eine Vorrichtungsidentifikation, die mit einem Nutzer assoziiert ist, gespeichert ist, aufweisen, wobei die Vorrichtungsidentifikation in der Datenübertragung zur Übermittlung des wenigstens einen Sicherheitsmerkals enthalten sein kann.
  • Die Authentifizierungsvorrichtung kann einen dedizierten Schaltkreis aufweisen, der lediglich zur Realisierung der im Rahmen des Authentifizierungsverfahrens notwendigen Abläufe ausgelegt ist. Die Konfiguration der aufgeführten Hardware ermöglicht insbesondere keine Ausführung eines Netzwerk-Browsers oder sonstiger Anwendungen, die eine Datenkommunikation, ein Herunterladen und Öffnen bzw. Verarbeiten von Daten erfordern. Durch eine dezidierte Schaltkreisstruktur sowie einen Ausschluss bzw. eine Abgrenzung gegenüber einer mehrzweckfähigen Hardwarekonfiguration kann das Risiko einer Installation und Einflussnahme einer Softwaremanipulation auf ein entsprechend dezidiertes Betriebssystem der Authentifizierungsvorrichtung erheblich eingeschränkt werden.
  • Die Netzwerkkarte der Authentifizierungsvorrichtung greift zum Aufbau einer logischen Verbindung zu einem Server erfindungsgemäß auf diejenige Netzwerkadresse zurück, die dem zu versendenden Sicherheitsmerkmal in dem Speicher zugeordnet ist. Somit kann das Risiko einer Manipulation der Netzwerkkarte zur Übertragung von Sicherheitsmerkmalen an die Netzwerkadresse eines Dritten eingeschränkt werden.
  • Die Authentifizierungsvorrichtung weist erfindungsgemäß eine einzigartige hardwareimmanente Geräteidentifikation auf, mittels der sie mit dem Nutzer assoziiert ist. Die Zuweisung zwischen Gerätidentifikation und Identität des Nutzers kann beispielsweise durch den Hersteller oder eine ausgebende Institution vorgenommen und einem Dienstleister eines betreffenden Applikations-Servers mitgeteilt werden. Diese Zuordnung ist außerhalb des Netzwerks erfasst. Sie muss vorzugsweise nicht im Zuge einer Registrierung über das Netzwerk versendet werden und kann insofern nicht über dieses manipuliert werden. Alternativ kann die Assoziierung durch eine Mitteilung, z. B. auf dem Postweg, oder einer Online-Registrierung, einer entsprechenden Partei zugetragen werden.
  • Da die Geräteidentifikation zusätzlich zu den Sicherheitsmerkmalen an den Applikations-Server übertragen wird, kann vorteilhafterweise eine duale Verifizierung der Eigenschaften der Datenübertragung der Sicherheitsmerkmale vorgesehen werden. Hierdurch wird eine weitere Sicherheitsmaßnahme geschaffen.
  • Zudem kann der Applikations-Server unabhängig von einem zeitlichen Zusammenhang und der Netzwerkadresse der Verbindung mit dem Applikations-Clients anhand der Geräteidentifikation eingehende Sicherheitsmerkmale den registrierten Sicherheitsmerkmalen eines Nutzers zuordnen.
  • Vorteilhafte Weiterbildungen des erfindungsgemäßen Autenthifizierungsverfahrens sowie des Netzwerk-Systems mit der Authentifizierungsvorrichtung sind Gegenstand der abhängigen Ansprüche.
  • So ist es möglich, dass vor dem ersten Starten der Netzwerkapplikation eine Initialisierung der mit dem Nutzer assoziierten Authentifizierungsvorrichtung an dem Applikations-Server durch den Nutzer erfolgt, die zumindest eine Registrierung von wenigstens einem Sicherheitsmerkmal durch den Applikations-Server umfasst. Somit ist es möglich den Verwendungsbereich der Authentifizierungsvorrichtung nicht nur auf einen Dienstleister, der diese mit vorab registrierten Daten ausgibt, zu beschränken, sondern auch auf weitere Applikations-Server von nachträglich hinzukommenden Netzwerkapplikationen auszuweiten.
  • Von besonderem Vorteil ist es, wenn mehrere Sicherheitsmerkmale durch den Applikations-Server bei der Initialisierung registriert werden, und der Applikations-Server eine zufällige Auswahl aus den registrierten Sicherheitsmerkmalen treffen kann, die von der Authentifizierungsvorrichtung zu übertragen sind. Durch die zufällige Auswahl einer Kombination und Anzahl der angeforderten Sicherheitsmerkmale kann der Applikations-Server sowohl die Länge als auch die Zusammensetzung der von ihm zu verifizierenden Datenübertragung bei jedem Authentifizierungsvorgang variieren. Somit führt die Aufzeichnung einer oder selbst mehrerer Übertragungen von Sicherheitsmerkmalen mittels einer unbestimmten Abfangmethode eines Dritten innerhalb der Verbindung zu dem Applikations-Server zu keinem verwendbaren Ergebnis für zukünftige Authentifizierungsvorgänge. Da sämtliche zur Auswahl stehenden Sicherheitsmerkmale nach einer entsprechenden Registrierung sowohl seitens des Applikations-Servers als auch in der Authentifizierungsvorrichtung abgespeichert sind, müssen trotz Variation der zu verifizierenden Datenübertragung auf beiden Seiten keine neuen Generierungen oder nachträgliche manuelle Eingaben erfolgen, was sich auf die Bedienungsfreundlichkeit besonders vorteilhaft auswirkt.
  • Außerdem ist es möglich, dass die erste und zweite logische Verbindung über einen lokalen Netzwerkknoten aufgebaut werden, der ein lokales Netzwerk mit dem Netzwerk verbindet. Hierzu kann das Netzwerk-System einen lokalen Netzwerkknoten aufweisen, der ein lokales Netzwerk, das wenigstens den Applikations-Client und im verbundenen Zustand auch die Authentifizierungsvorrichtung umfasst, mit dem Netzwerk verbindet, sodass die erste und zweite logische Verbindung über den lokalen Netzwerknoten aufgebaut werden. Somit überträgt die Authentifizierungsvorrichtung die zur Authentifizierung erforderlichen Sicherheitsmerkmale über einen lokalen Netzwerkknoten, der eine gemeinsame Datenkommunikation zwischen dem lokalen Netzwerk einerseits und dem Applikations-Server andererseits herstellt. Trotz örtlicher Zusammenführung des Applikations-Client und der Authentifizierungsvorrichtung in einem lokalen Netzwerk, besteht selbst im Falle einer zeitgleichen physikalischen Netzwerkverbindung zwischen dem Applikations-Server und dem Applikations-Client sowie dem Applikations-Server und der Authentifizierungsvorrichtung keine gegenseitige Datenkommunikation zwischen dem Applikations-Client und der Authentifizierungsvorrichtung innerhalb des lokalen Netzwerks und insbesondere kein Austausch der Sicherheitsmerkmale.
  • Hierbei ist es möglich, dass der Applikations-Server weiterhin eine Verifizierung von Übereinstimmungen einer lokalen Netzwerkadresse des Applikations-Clients und der Authentifizierungsvorrichtung durchführt. So kann der Applikations-Server anhand der Netzwerkadresse des lokalen Netzwerkknotens feststellen, ob die separate Übermittlung der Sicherheitsmerkmale aus demselben lokalen Netzwerk des Applikations-Clients erfolgt, und dies gegebenenfalls als Bedingung voraussetzen. Hierdurch kann eine weitere Sicherheitsmaßnahme zur Authentifizierung geschaffen werden.
  • Gemäß einem Aspekt der Erfindung kann die Netzwerkschnittstelle der Authentifizierungsvorrichtung eine unidirektionale Netzwerkkarte aufweisen, sodass sie über den lokalen Netzwerkknoten lediglich Daten versenden und nicht empfangen kann. Somit kann der Speicherort der Sicherheitsmerkmale zusätzlich vor einem externen Zugriff aus dem Netzwerk abgesichert werden.
  • Demzufolge kann das Übermitteln des wenigstens einen Sicherheitsmerkmals in Reaktion auf eine Betätigung der Authentifizierungsvorrichtung durch den Nutzer erfolgen. Hierdurch kann das Risiko einer zwischenzeitlichen Übermittlung von Sicherheitsmerkmalen durch eine Manipulation eines Dritten aus dem Netzwerk eingeschränkt werden.
  • Alternativ ist es auch möglich, dass die Netzwerkschnittstelle der Authentifizierungsvorrichtung wahlweise eine bidirektionale Netzwerkkarte aufweist, die sowohl ein Versenden als auch ein Empfangen von Daten ermöglicht, wobei der Empfang lediglich Daten umfassen kann, deren Absendung auf einer Netzwerkadresse basiert, die dem wenigstens einen Sicherheitsmerkmal im Speicher zugeordneten ist. Somit kann die Authentifizierungsvorrichtung die Übermittlung der von dem Applikations-Server angeforderten Sicherheitsmerkmale vorteilhafterweise direkt an die Authentifizierungsvorrichtung anstatt z. B. an den Applikations-Client senden. Dadurch muss der Nutzer die Anforderung nicht selbst über den Applikations-Client ablesen.
  • Demzufolge kann das Übermitteln des wenigstens einen Sicherheitsmerkmals in Reaktion auf eine Anforderung des Applikations-Servers an die Authentifizierungsvorrichtung erfolgen. Somit kann die Bedienungsfreundlichkeit beim Authentifizierungsvorgang erheblich verbessert werden, da lediglich eine einmalige Aktivierung der Authentifizierungsvorrichtung und keine manuelle Auswahl der zu übermittelnden Sicherheitsmerkmale erforderlich ist.
  • Gemäß einem weiteren Aspekt der Erfindung kann die Initialisierung weiterhin ein Generieren von Sicherheitsmerkmalen durch die Authentifizierungsvorrichtung und ein Abspeichern generierter Sicherheitsmerkmale in der Authentifizierungsvorrichtung unter Zuordnung der Netzwerkadresse des Applikations-Servers umfassen. Hierfür weist die Authentifizierungsvorrichtung eine Verarbeitungseinheit auf, durch welche die Sicherheitsmerkmale generierbar sind. Erfindungsgemäß ist die Authentifizierungsvorrichtung dazu vorgesehen, für verschiedene Netzwerkapplikationen verwendet werden zu können. Wenn für jede Netzwerkapplikation neue Sicherheitsmerkmale verwendet werden sollen, muss gewährleistet sein, dass ggf. weitere Sicherheitsmerkmale für hinzukommenden Netzwerkapplikationen gespeichert werden. Durch eine Generierung neuer Sicherheitsmerkmale in der Authentifizierungsvorrichtung müssen diese nicht intellektuell bzw. durch Eingabe des Nutzers geschaffen werden, wodurch die Bedienungsfreundlichkeit erheblich verbessert wird.
  • Dabei kann das Generieren der Sicherheitsmerkmale auf einer hardwareimmanenten Identifikation der Authentifizierungsvorrichtung, einer Netzwerk-Adresse und/oder einer Eingabe des Nutzers basieren. Wenn die übertragenen Sicherheitsmerkmale hardwarespezifische Faktoren enthalten, die z. B. aus der Assoziierung der Authentifizierungsvorrichtung mit dem Nutzer bekannt sind, kann der Applikations-Server diese Faktoren optional durch eine Zerlegung, die einer Umkehrung der Generierung entspricht, zusätzlich mit überprüfen. Durch eine beliebige Eingabe des Nutzers kann ein hardwareunabhängiger, willkürlicher Faktor in die Generierung eingebracht werden, der nur dem Nutzer bekannt ist.
  • Von weiterem Vorteil ist es, wenn die Übertragung des wenigstens einen Sicherheitsmerkmals verschlüsselt wird, mittels eines Schlüssels zum Verschlüsseln, der in der Authentifizierungsvorrichtung gespeichert ist, und eines Schlüssels zum Entschlüsseln, der in dem Applikations-Server registriert ist. Hierbei kann die Übertragung der Sicherheitsmerkmale durch ein asymmetrisches Schlüsselpaar oder durch einen symmetrischen Schlüssel verschlüsselt werden. Ein Schlüssel zum Entschlüsseln kann beispielsweise zusammen mit der Geräteidentifikation in dem einmalig beschreibbaren Speicher gespeichert und ebenfalls mit dem Nutzer assoziiert sein. Ein entsprechender Schlüssel zum Entschlüsseln kann mittels Registrierung durch den Nutzer in dem Applikations-Server abgelegt sein. Vorteilhafterweise ist der Schlüssel zum Entschlüsseln dem Dienstleister des Applikations-Servers aufgrund der Assoziierung der Authentifizierungsvorrichtung mit dem Nutzer bekannt, sodass der Schlüssel selbst bei der anfänglichen Registrierung am Applikations-Server nicht übertragen werden braucht. Durch die Geräteidentifikation, die zusätzlich mit den Sicherheitsmerkmalen übertragen wird, kann der Applikations-Server den registrierten Schlüssel zum Entschlüsseln eingehender Sicherheitsmerkmale zuordnen und abrufen. Durch die Verschlüsselung wird eine weitere Sicherheitsmaßnahme geschaffen, welche die Auswertung einer unbestimmten Abfangmethode eines Dritten innerhalb der Verbindung erheblich erschwert oder verhindert.
  • Außerdem kann das wenigstens eine Sicherheitsmerkmal mittels einer Verschlüsselung in der Authentifizierungsvorrichtung verschlüsselt abgespeichert sein. Somit müssen die Sicherheitsmerkmale nicht bei jedem Authentifizierungsvorgang durch die Authentifizierungsvorrichtung verschlüsselt werden, wodurch der notwendige Zeitbedarf oder die Verarbeitungskapazität und der Leistungsbedarf derselben bei der Datenübertragung gesenkt wird. Alternativ kann der Schlüssel zur verschlüsselten Abspeicherung ein anderer als derjenige sein, der zu Datenübertragung verwendet wird. Somit würde selbst beim Erfolg einer irgendwie gearteten Auslesung der Sicherheitsmerkmale durch eine unbestimmte Zugriffsmethode eines Dritten aus dem Netzwerk während der kurzzeitigen Netzwerkverbindung der Authentifizierungsvorrichtung, eine entsprechende Auswertung der ausgelesenen Daten zu keinem verwendbaren Ergebnis führen. Durch diese Alternative kann eine weitere Sicherheitsmaßnahme geschaffen werden.
  • Von weiterem Vorteil ist es, wenn eine drahtlose Verbindung zwischen der Authentifizierungsvorrichtung und dem Netzwerk aufgebaut wird. Hierdurch wird die Handhabung der Authentifizierungsvorrichtung sowie insbesondere die Betätigung zur Herstellung einer physikalischen Verbindung erleichtert.
  • Zudem kann die Authentifizierungsvorrichtung weiterhin einen Leistungsspeicher aufweisen, wobei die Vorrichtung als tragbares Gerät ausgebildet sein kann. Hierdurch ist die Authentifizierungsvorrichtung nicht auf die stationäre Verwendung an einem Netzwerkanschluss beschränkt, wodurch sich der Anwendungsbereich erheblich vergrößert. Dabei kann die Authentifizierungsvorrichtung vorteilhafterweise durch den Nutzer unterwegs mitgeführt werden und in beliebigen lokalen Netzwerken mit entsprechender Konfiguration verwendet werden.
  • Weiterhin kann die Authentifizierungsvorrichtung als autonome Einheit in einer Einrichtung eines Netzwerkknotens, in einer Kommunikationseinrichtung oder in einer Datenverarbeitungseinrichtung aufgenommen werden oder integriert sein, wobei eine Verbindung der Authentifizierungsvorrichtung zu dem Netzwerk manuell betätigbar ist. Für den stationären Gebrauch in einem eigenen lokalen Netzwerk kann die Authentifizierungsvorrichtung in einem Router baulich integriert oder aufnehmbar sein, um die Anzahl der Netzwerkkomponenten zu verringern. Dabei kann vorteilhafterweise eine Leistungsversorgung bereitgestellt sein oder das Einstecken kann als Aktivierung der Authentifizierungsvorrichtung zum Verbindungsaufbau dienen, wodurch die Bedienung ebenfalls verbessert werden kann. Alternativ kann die Authentifizierungsvorrichtung in einer entsprechend ausgestalteten tragbaren Einrichtung, wie beispielsweise ein Mobiltelefon, baulich integriert sein, wobei eine physikalische Trennung und eine eigene manuelle Betätigung einer autonomen Einheit gewahrt bleibt. Hierdurch erhöht sich der praktische Anwendungsbereich, z. B. hinsichtlich der Applikationen.
  • Ferner kann gemäß einem Aspekt der Erfindung zur Aktivierung derselben eine Eingabe einer PIN erforderlich sein. Dadurch wird eine weitere Sicherheitsmaßnahme gegen einen unberechtigten Gebrauch der Authentifizierungsvorrichtung durch Dritte, z. B. bei Entwendung derselben, geschaffen.
  • Die Erfindung wird nachfolgend in Ausführungsbeispielen anhand der Figuren der Zeichnung näher erläutert. Es zeigt:
  • 1 eine schematische Darstellung der Komponenten und Verbindungen des Netzwerk-Systems gemäß einer Ausführungsform der Erfindung;
  • 2 eine schematische Darstellung der Komponenten und Verbindungen des Netzwerk-Systems gemäß einer Ausführungsform der Erfindung;
  • 3A, B eine schematische Darstellung der Authentifizierungsvorrichtung; und
  • 4 ein Flussdiagramm des Authentifizierungsverfahrens.
  • Die Erfindung wird durch Erläuterung der nachstehenden Ausführungsformen mit Bezug auf die Figuren besser verständlich.
  • Gemäß einer in 1 dargestellten Ausführungsform der Erfindung, wird das Netzwerk-System im Wesentlichen durch einen Applikations-Client 1, einen Applikations-Server 2, eine Authentifizierungsvorrichtung 3 und ein Netzwerk 6 gebildet.
  • Der Applikations-Client 1 ist eine geeignete Datenverarbeitungseinrichtung, wie z. B. ein internetfähiger Personal Computer des Nutzers, der über eine Netzwerkschnittstelle 11, wie beispielsweise einer Ethernet-Netzwerkkarte, an ein Netzwerk 6, insbesondere dem Internet bzw. World Wide Web angeschlossen ist.
  • Der Applikations-Server 2 ist ein Rechner, mit dem andere Datenverarbeitungseinrichtungen, insbesondere PCs in der Funktion eines Applikations-Clients 1, über das Netzwerk 6 kommunizieren können, um Zugang zur Ausführung von Diensleistungen bzw. Anwendungen zu erlangen. Hierzu kann der Applikations-Server 2 mit einer Applikations-Datenbank 23 verknüpft sein, auf deren Daten basierend entsprechende Netzwerkapplikationen ausgeführt, d. h. Inhalte dargestellt oder Anwendungen durchgeführt werden. Diese Netzwerkapplikationen können über das Netzwerk 6 von dem Applikations-Client 1 aus aufgerufen und in einem programmbedingten Rahmen gesteuert werden.
  • Zur Durchführung einer Authentifizierung eines Nutzers kann der Applikations-Server 2 auf eine Registrierungsspeichereinheit 21 zugreifen, in der Sicherheitsmerkmale, d. h. persönliche Zugangsdaten (z. B. Zeichenketten) unter Zuordnung zu einem angelegten Nutzerprofil durch einen Registrierungsvorgang abgespeichert sind. Ferner kann der Applikations-Server 2 registrierte Sicherheitsmerkmale aus der Registrierungsspeichereinheit 21 auslesen und mit eingehenden Sicherheitsmerkmalen vergleichen.
  • Die an dem Applikations-Server 2 eingehenden Sicherheitsmerkmale werden aus einer Authentifizierungsvorrichtung 3 eines Nutzers übermittelt, der sich in einer entsprechenden Netzwerkapplikation des Applikations-Servers 2 authentifizieren möchte. Hierzu nimmt die Authentifizierungsvorrichtung 3 nach einer Betätigung wie z. B. einem Anschließen eines Netzwerkkabels oder der Aktivierung einer drahtlosen Verbindung durch den Nutzer eine Verbindung zu der Adresse des Applikations-Servers 2 auf.
  • Gemäß einer weiteren in 2 dargestellten Ausführungsform der Erfindung, umfasst das Netzwerk-System ein lokales Netzwerk 5, das durch den Applikations-Client 1, die Authentifizierungsvorrichtung 3, insofern diese zweitweise Verbunden ist, und einen lokalen Netzwerkknoten 4, der das lokale Netzwerk 5 mit dem Netzwerk 6 (d. h. insbesondere dem Internet) verbindet, gebildet wird.
  • Wenn die Authentifizierungsvorrichtung 3 mit dem lokalen Netzwerkknoten 4 verbunden ist, mit dem auch der Applikations-Client 1 verbunden ist, werden die Sicherheitsmerkmale aus der Authentifizierungsvorrichtung 3 über dieselbe physikalisch Verbindung zwischen dem lokalen Netzwerk 5 und dem Applikations-Server 2 übertragen, über die auch die Datenkommunikation des Applikations-Clients 1 aus dem lokalen Netzwerk 5 zu dem Applikations-Server 2 erfolgt. Der lokale Netzwerkknoten 4 wird vorzugsweise durch einen Router realisiert und ermöglicht insbesondere keinen Zugriff innerhalb des lokalen Netzwerks 5 auf die Authentifizierungsvorrichtung 3, wie beispielsweise ein Switch oder Hub. Die Verbindung der Authentifizierungsvorrichtung 3 zu dem lokalen Netzwerkknoten 4 kann beispielsweise über W-LAN, Bluetooth, Infrarot, optische Verbindungen oder dergleichen hergestellt werden.
  • Wie in 3A gezeigt, ist die Authentifizierungsvorrichtung 3 eine Datenverarbeitungseinrichtung mit einer Verarbeitungseinheit 33, d. h. einem Mikroprozessor (CPU), einem einmalig beschreibbaren Speicher 34 zum speichern einer Geräteidentifikation, einer Leistungszufuhr oder einem Leistungsspeicher 38, einer unidirektionalen oder bidirektionalen Netzwerkschnittstelle 31, einer Speichereinheit 32 zum Speichern der Sicherheitsmerkmale und einem Betätigungsmittel 35 zur Aktivierung der Authentifizierungsvorrichtung 3 bzw. eines Verbindungsaufbaus derselben zur Übertragung eines Sicherheitsmerkmals.
  • Die Authentifizierungsvorrichtung 3 ist mittels einer hardwareimmanenten Geräteidentifikation mit dem Nutzer assoziiert, die in einem einmalig beschreibbaren Speicher 34 (Write Once Read Many (WORM) Speicher, wie etwa ein WORM Tape, WORM RAID Festplatte, etc.) abgespeichert ist. Diese kann z. B. eine Seriennummer des Herstellers oder eine andere einmalig vergebene Zeichenkette sein. Die Geräteidentifikation kann zudem auch durch einen verschlüsselten Barcode auf einer Außenseite der Authentifizierungsvorrichtung 3 aufgebracht sein.
  • Bei der besonders einfachen, in 3A dargestellten Ausführungsform ist es erforderlich, dass aufgrund der fehlenden Eingabe- und Anzeigemöglichkeiten wenigstens ein Sicherheitsmerkmal und eine Netzwerkadresse vorab durch den Hersteller bzw. durch die ausliefernde Institution eingespeichert sind.
  • Wie in 3B dargestellt ist, kann eine Ausführungsform der Authentifizierungsvorrichtung 3 eine Eingabeeinheit 36 und eine Anzeigeeinheit 37 umfassen, um eine weitere Bedienungsoptionen zu ermöglichen. Die beiden Einheiten 36, 37 können in einem Touchscreen zusammengefasst sein. In diesem Zusammenhang kann eine Eingabe von Zeichenketten zur Generierung von Sicherheitsmerkmalen, eine Menüführung für einen Registrierungsvorgang und ein ausgewähltes Abrufen bestimmter Sicherheitsmerkmale realisiert werden.
  • Zunächst führt der Nutzer vor dem ersten Start der Netzwerkapplikation eine Initialisierung der Authentifizierungsvorrichtung 3 an dem entsprechenden Applikations-Server 2 durch. Hierzu wird die Authentifizierungsvorrichtung 3 von dem Nutzer mit dem Netzwerk 6 verbunden und z. B. durch Eingabe der Netzwerkadresse des Applikations-Servers 2 über eine Eingabeeinheit 36 eingewählt. Es ist ebenfalls möglich, dass der Nutzer mit dem Applikations-Client 1 über eine Homepage des Dienstanbieters des Applikations-Servers 2 durch Eingabe der Netzwerkadresse der Authentifizierungsvorrichtung 3 eine von dem Applikations-Server 2 ausgehende Verbindung zu der Authentifizierungsvorrichtung 3 einrichtet. Gegebenenfalls wird die Registrierung an dem Applikations-Server 2 mit dem Applikations-Client 1 über ein Menü einer entsprechenden Homepage durch den Nutzer gestartet. Anschließend werden persönliche Daten zur Registrierung eines Profils eingegeben. Weiterhin kann bei der Registrierung eine Geräteidentifikation wie z. B. eine einmalige Seriennummer und/oder ein Schlüssel bzw. ein asymmetrisches Schlüsselpaar (z. B. eine 256 Bit AES Verschlüsselung) für eine verschlüsselte Datenübertragung der Sicherheitsmerkmale ausgetauscht werden. Alternativ können diese beiden Merkmale jedoch auch zuvor durch eine Institution (z. B. dem Hersteller oder einem ausgebenden Dienstleister) dem Nutzer zugeordnet worden sein und somit bereits vor der Ausgabe der Authentifizierungsvorrichtung 3 an den Nutzer mit diesem assoziiert sein.
  • Ferner gibt der Nutzer über die Eingabeeinheit 36 Sicherheitsmerkmale wie z. B. Zeichenketten ein, oder lässt diese mittels der Verarbeitungseinheit 33 und einem vorinstallierten Logarithmus in der Authentifizierungsvorrichtung 3 generieren. Hierbei können die Sicherheitsmerkmale jeweils im Zuge einer Initialisierung an einem neuen Applikations-Server 2 durch die Authentifizierungsvorrichtung 3 generiert werden und mit einer Zuordnung der Netzwerkadresse des entsprechenden Applikations-Servers 2 in der Speichereinheit 32 der Authentifizierungsvorrichtung 3 abgespeichert werden. Zudem kann die Abspeicherung der Sicherheitsmerkmale in der Speichereinheit 32 der Authentifizierungsvorrichtung 3 unter Verwendung einer Verschlüsselung erfolgen.
  • Nachdem die Authentifizierungsvorrichtung 3 und der Applikations-Server 2 mit einander verbunden sind, werden die Sicherheitsmerkmale auf Betätigung der Authentifizierungsvorrichtung 3 durch den Nutzer versendet. Da die Sicherheitsmerkmale ausschließlich basierend auf der in der Speichereinheit 32 zugeordneten Adresse übertragen werden, ist sowohl bei der Registrierung als auch bei einer späteren Authentifizierung eine Übertragung derselben an Dritte Netzwerkteilnehmer ausgeschlossen. Der Applikations-Server 2 legt die empfangenen Sicherheitsmerkmale in eine Registrierungsspeichereinheit 21 zusammen mit weiteren erforderlichen persönlichen Daten des Nutzers, der Netzwerkadresse der Authentifizierungsvorrichtung 3 und/oder der Geräteidentifikation der Authentifizierungsvorrichtung 3 ab. Die Anzahl der Sicherheitsmerkmale sowie die Länge und gültigen Elemente ihrer Zeichenkette können z. B. je nach Sicherheitserfordernis der Netzwerkapplikation variieren. Nach der Registrierung der Sicherheitsmerkmale sowie weiteren für die Netzwerkapplikation erforderlichen persönlichen Daten, ist die Initialisierung der Authentifizierungsvorrichtung 3 an dem Applikations-Server 2 abgeschlossen.
  • In Bezug auf 4 kann die erfindungsgemäße Authentifizierung unter Verwendung der Authentifizierungsvorrichtung wie folgt ablaufen:
    Gemäß einer Ausführungsform des Authentifizierungsverfahrens in einem eigenen lokalen Netzwerk 5 besucht ein registrierter Nutzer beispielsweise mit seinem privaten Computer als Applikations-Client 1, der über einen Router mit einem Internetzugang ausgestattet ist, eine Homepage des Dienstleisters der Netzwerkapplikation (z. B. Einkauf bei einem Online-Shop). Dabei identifiziert sich der Nutzer gegenüber dem Applikations-Server 2 beispielsweise durch eine Cookie-Information, die in Form eines HTTP-Cookies bei einem ersten Besuch in seinem installierten Web-Browser eingeschrieben wurde, oder durch Eingabe eines zuvor registrierten Benutzernamens oder dergleichen. Die Identifizierung kann in unbestimmter Reihenfolge mit begleitenden Vorgängen der Netzwerkapplikation (z. B. vor oder nach einem Zusammenstellen eines Warenkorbs) erfolgen.
  • Nach einer Identifizierung durch den Applikations-Server 2 schickt dieser (z. B. zum Abschluss eines Einkaufs) eine Aufforderung an den Applikations-Client 1, dass sich der Nutzer als berechtigte Person authentifizieren muss. Diese Aufforderung wird beispielsweise auf einem Display des PCs angezeigt und kann gegebenenfalls eine Anforderung von bestimmten Sicherheitsmerkmalen aus einer zuvor registrierten Auswahl an Sicherheitsmerkmalen beinhalten. Beispielsweise können bei der Registrierung 10 verschiedene Sicherheitsmerkmale zur Authentifizierung vorgesehen worden sein, aus denen der Applikations-Server 2 eine zufällige Kombination von Anzahl und Reihenfolge für jede Authentifizierung neu auswählt.
  • Der Nutzer aktiviert seine Authentifizierungsvorrichtung 3 und richtet eine Netzwerkverbindung zu dem lokalen Netzwerkknoten 4 ein. Dabei kann ein gegebenenfalls zur Einrichtung der Netzwerkverbindung erforderliches Passwort in der erfindungsgemäßen Authentifizierungsvorrichtung 3 zur Erleichterung der Bedienung hinterlegt werden, sodass der Verbindungsaufbau bei wiederholter Verbindung mit demselben lokalen Netzwerkknoten 4 selbständig abläuft. Die Betätigung der Authentifizierungsvorrichtung stellt hierbei implizit eine Einwilligung des Nutzers zur Authentifizierung bzw. zur Durchführung eines damit verbundenen Anwendungsteils der Netzwerkapplikation dar.
  • Bei einer Ausführungsform der Authentifizierungsvorrichtung 3 kann der Nutzer an der Authentifizierungsvorrichtung 3 die Kombination der angeforderten Sicherheitsmerkmale wählen, nachdem die Verbindung zwischen der Authentifizierungsvorrichtung 3 und dem Netzwerk 6 aufgebaut ist. Die angeforderte Kombination von Sicherheitsmerkmalen durch den Applikations-Server kann beispielsweise als Reihenfolge einer Nummerierung (z. B. Sicherheitsmerkmale Nr. 8, 3, 5 und 2 aus den registrierten Sicherheitsmerkmalen 1 bis 10) über eine Anzeigevorrichtung des Applikations-Clients ersichtlich sein.
  • Gegebenenfalls wählt der Nutzer zunächst in einem Menü der Authentifizierungsvorrichtung 3 unter mehreren Netzwerkapplikationen, für welche die Authentifizierungsvorrichtung 3 initialisiert wurde, die gewünschte aus. Danach können beispielsweise nummerierte Tasten der Eingabeeinheit 36 jeweils mit einem der Nummer entsprechenden Sicherheitsmerkmal belegt sein. Durch Betätigung der betreffenden Tasten in entsprechender Reihenfolge und Anzahl kann der Nutzer die angeforderten Sicherheitsmerkmale zur Übertragung abrufen. Die Authentifizierungsvorrichtung 3 verschlüsselt gegebenenfalls anschließend die aufgerufenen Sicherheitsmerkmale und überträgt sie an die zugehörig abgespeicherte Netzwerkadresse des Applikations-Servers 2.
  • Bei einer alternativen Ausführungsform der Authentifizierungsvorrichtung 3 kann eine bidirektionale Verbindung über den lokalen Netzwerkknoten 4 zu dem Applikations-Server 2 aufgebaut werden. Der Applikations-Server 2 kennt die Netzwerkadresse der Authentifizierungsvorrichtung 3 bzw. die MAC-Adresse durch die Registrierung sowie gegebenenfalls die IP-Adresse des lokalen Netzwerkknotens 4 anhand der Netzwerkverbindung mit dem Applikations-Client 1 und sendet eine Anforderung von Sicherheitsmerkmalen direkt an die Authentifizierungsvorrichtung 3 nachdem diese aktiviert wurde und eine Verbindung aufgebaut ist. Die Authentifizierungsvorrichtung 3 kann daraufhin selbständig, oder nach Betätigung einer Taste zur Bestätigung des Nutzers, die Übertragung der betreffenden Sicherheitsmerkmale durchführen und sie gegebenenfalls zuvor verschlüsseln. Weiterhin ist es möglich, dass der Aufbau der bidirektionalen Verbindung über einen speziellen Port (ein Port im Bereich 0 bis 65535) erfolgt. Gegebenfalls bestätigt der Nutzer gegenüber dem Applikations-Server 2 mit seinem Browser auf der Homepage anschließend die Absendung der Sicherheitsmerkmale.
  • Der Applikations-Server 2 kann bei Eingang der Daten der übertragenen Sicherheitsmerkmale beispielsweise durch die Netzwerk- bzw. MAC-Adresse der Authentifizierungsvorrichtung 3, durch die übermittelte Geräteidentifikation oder einem zeitlichen Zusammenhang der vorstehenden Schritte erkennen, um welche Authentifizierungsdaten es sich handelt und gegebenenfalls einen erforderlichen Schlüssel zur Verschlüsselung der übertragenen Daten aufrufen. Weiterhin kann die Authentifizierungsvorrichtung 3 zu diesem Zweck eine hardwareimmanente Geräteidentifikation mit übertragen, die in dem Applikations-Server 2 registriert und mit dem Nutzer assoziiert ist.
  • Anschließend kann der Applikations-Server 2 verifizieren, ob die Netzwerkverbindungen mit dem Applikations-Client 1 und der Authentifizierungsvorrichtung 3 über die IP-Adresse desselben lokalen Netzwerkknotens 4 bestehen. Weiterhin ruft der Applikations-Server 2 die zuvor zufällig ausgewählte Kombination der registrierten Sicherheitsmerkmale auf und vergleicht sie mit den übertragenen Sicherheitsmerkmalen der Authentifizierungsvorrichtung 3. Zudem kann die Authentifizierungsvorrichtung 3 der Datenübertragung einen Zeitstempel hinzufügen, der bei einer Auswertung durch den Applikations-Server 2 auf Übereinstimmung innerhalb eines bestimmten Zeitrahmens geprüft wird.
  • Nach einem positiven Vergleich durch den Applikations-Server 2 gibt dieser die Netzwerkapplikation frei, indem dieser beispielsweise die Cookie-Information im Browser aktualisiert, wodurch dem Applikations-Client 1 der Zugang zur Netzwerkapplikation bzw. eine Fortführung derselben (z. B. Bezahlung des Einkaufs per Lastschrift) ermöglicht wird.
  • In weiteren Ausführungsformen kann das Authentifizierungsverfahren je nach Ausgestaltung der Netzwerkapplikation mehrmals innerhalb derselben Netzerkapplikation wiederholt werden, um sogenannte Session-IDs bzw. Cookies für den Verbleib in einem geschützten Bereichen zu aktualisieren. Beispielsweise kann während der Bereitstellung von Datenbankinhalten auf dem Applikations-Client 1 in zeitlichen Abständen eine erneute Anforderung von Sicherheitsmerkmalen von dem Applikations-Server 2 bedingt werden, um die Datenkommunikation zu dem Applikations-Client 1 aufrecht zu erhalten. Weiterhin kann zum Zugang zu Datenbankinhalten für einzelne Dateien eine gesonderte Authentifizierung erfolgen.
  • Nachstehend wird die Ausführungsform des Authentifizierungsverfahrens in einem lokalen Netzwerk 5 eines Dritten erläutert.
  • In einer weiteren Ausführungsform kann die Authentifizierungsvorrichtung 3 als tragbares Gerät zur mobilen Verwendung der Authentifizierungsvorrichtung 3 vorgesehen sein, die mit einer Batterie, einem Anschluss für eine Dockingsstation oder dergleichen ausgestattet ist. Diese Ausführungsform kann beispielsweise zur elektronischen Bezahlung in einem Geschäft genutzt werden. Dabei kann der Applikations-Client 1 z. B. ein Kassensystem sein, das über einen lokalen Netzwerkknoten 4 in einem lokalen Netzwerk 5, d. h. einem Firmennetz, mit dem Internet oder einem Netzwerk eines Bankservers 6 verbunden ist. Der lokale Netzwerkknoten 4 kann in Form eines W-LAN Routers oder eines LAN-Routers mit einem entsprechenden Anschluss für die Authentifizierungsvorrichtung 3 in dem Geschäftsraum bereitgestellt sein.
  • Die Identifizierung des Nutzers an der Kasse kann beispielsweise durch die Erfassung einer Kundenkarte erfolgen, mit der er gegenüber dem Geschäft oder der betreffenden Bank assoziiert ist. Alternativ kann die Geräteidentifikation zudem mittels eines verschlüsselten Barcodes auf der auf der Authentifizierungsvorrichtung 3 vorgesehen sein. Der Barcode kann über einen entsprechende Scannereinrichtung an dem Kassensystem (dem Applikations-Client 1) erfasst und an den Applikations-Server 2 übermittelt werden. Eine weitere Möglichkeit besteht darin, dass eine hardwareimmanente Geräteidentifikation der Authentifizierungsvorrichtung 3 nach dem Verbindungsaufbau an den Applikations-Server 2 gesendet wird.
  • Basierend auf der Identifizierung wählt der Applikations-Server 2 eine zufällige Kombination an Sicherheitsmerkmalen aus der Auswahl, die für den identifizierten Nutzer registriert ist, und gibt eine entsprechende Anforderung der ausgewählten Sicherheitsmerkmale aus.
  • Der Applikations-Server 2 kann die Anforderung an das Kassensystem (d. h. den Applikations-Client 1) senden, bei dem sie auf einer Anzeige des Kassensystems als Zahlenfolge der nummerierten Sicherheitsmerkmale erscheint. Anschließend ruft der Nutzer die Kombination von Sicherheitsmerkmalen durch Betätigung von entsprechend belegten Tasten auf und überträgt diese durch eine unidirektionale Verbindung zu dem Applikations-Server 2, wie obenstehend bereits beschrieben.
  • Alternativ kann der Applikations-Server 2 die Anforderung der Kombination von Sicherheitsmerkmalen über eine bidirektional aufgebaute Verbindung, die ihm über die IP-Adresse des lokalen Netzwerkknotens und die registrierte MAC-Adresse oder eine Eingabe der Netzwerkadresse oder ein eingehendes Signal der Authentifizierungsvorrichtung 3 bekannt ist, der direkt an die Authentifizierungsvorrichtung 3 senden. Die Authentifizierungsvorrichtung 3 kann basierend auf der Anforderung selbständig die betreffenden Sicherheitsmerkmale an den Applikations-Server 2 übertragen, wie bereits obenstehend beschrieben.
  • Im Zusammenhang mit einer mobilen Anwendungen kann der Applikations-Server 2 nach erfolgter Identifizierung vorteilhafterweise ein für den identifizierten Nutzer registriertes persönliches Merkmal, insbesondere ein Lichtbild, an das Kassensystem versenden. Hierdurch kann das kassierende Personal nebenbei eine augenscheinliche Übereinstimmung des tatsächlichen Nutzers der Authentifizierungsvorrichtung 3 mit dem Lichtbild des registrierten Nutzers der Authentifizierungsvorrichtung 3 überprüfen. Alternativ wäre die Erfassung anderer (z. B. biometrischer) Merkmale durch geeignete Einrichtungen an dem Kassensystem (d. h. dem Applikations-Client 1) möglich, um Aufschluss über einen berechtigten Besitz der Authentifizierungsvorrichtung 3 zu erhalten.
  • Der Applikations-Server 2 verifiziert wiederum beim Eingang der Datenübertragung die übermittelte Geräteidentifikation und gegebenenfalls eine Übereinstimmung einer IP-Adresse im Falle eines gleichen lokalen Netzwerkknotens 4 zwischen der Netzwerkverbindung mit dem Applikations-Client 1 und derjenigen mit der Authentifizierungsvorrichtung 3. Des Weiteren entschlüsselt der Applikations-Server 2 gegebenenfalls mit einem registrierten Schlüssel die übertragenen Daten und verifiziert sie anhand der ausgewählten Kombination der registrierten Sicherheitsmerkmale. Nach positiver Verifizierung schließt der Applikations-Server 2 einen Applikationsvorgang ab (z. B. Abrechnung eines Warenkorbs) und leitet gegebenenfalls einen fortführenden Vorgang ein (beispielsweise eine Verbindung zu einem Bankserver, der eine Anwendung zur Buchung auf einem elektronischen Bankkonto vornimmt, unter Generierung eines Verwendungszwecks und Übermittlung der Geräteidentifikation).
  • In einer weiteren Ausführungsform kann die Netzwerkapplikation eine Bargeldausgabe betreffen. Hierbei stellt ein EC-Bankautomat den Applikations-Client 1 dar, wobei zur Identifikation die Geräteidentifikation oder eine entsprechende Kontonummer, die mit dem Nutzer assoziiert ist, beispielsweise über Barcodeleser eingelesen werden kann. Eine Verbindung zwischen der Authentifizierungsvorrichtung 3 und einem Netzwerk des Bank-Servers kann über einen im Geschäftsraum der Bank bereitgestellten W-LAN Router, eine Bluetooth Verbindung mit einer vorzugsweise kurzen Übertragungsreichweite von beispielsweise 1 Meter, eine Dockingstation, einen USB-Schnittstelle, oder dergleichen hergestellt werden. Diese Ausführungsform bietet eine wesentlich sichereren Zugang zu einem Bankkonto gegenüber einer EC-Karte mit PIN, da die Authentifizierungseinrichtung 3 nicht mit frei einsehbaren Identifikationen beschriftet ist und an sich nicht wie eine herkömmliche EC-Karte kopiert und gefälscht werden kann.
  • Eine weitere Netzwerkapplikation kann in dem Versenden von ePost oder in einer digitalen Unterschrift oder dergleichen bestehen, die jeglicher Identifizierungsart zum Datenschutz dient. Hierbei kann z. B. vor dem Absenden einer Mail eine Authentifizierung durch den Mailprovider verlangt werden, um die sichere Identität des Absenders zu gewährleisten.
  • Ferner kann das Authentifizierungsverfahren auf zahlreiche weitere Typen von Netzwerkapplikationen aus dem e-Commerce, sowie E-Mail Konten, Portalen und Foren oder dergleichen auf einem eigenen Applikations-Client 1 des Nutzers oder demjenigen eines Dritten über ein eigenes lokales Netzwerk des Nutzers oder dasjenige eines Dritten angewendet werden.
  • Darüber hinaus können die Verfahrensschritte zum Verbinden der Authentifizierungsvorrichtung 3 mit dem Netzwerk 6 und zum Übertragen der Sicherheitsmerkmale an den Applikations-Server 2 zeitlich und örtlich unabhängig von übrigen Schritten der Authentifizierung zu der Netzwerkapplikation erfolgen. Eine solche Ausführungsform des Authentifizierungsverfahrens ist z. B. mit dem Netzwerk-System in 1 möglich, bei dem die Authentifizierungsvorrichtung 3 nicht über einen gemeinsamen lokalen Netzwerkknoten 4 verbunden wird. In dem beispielhaften Fall eines Einkaufs in einem Online Shop kann die Übertragung der Sicherheitsmerkmale ebenso einige Tage später von einem entfernten Ort gegenüber einem PC, an dem der Einkauf durchgeführt wurde, über einen beliebigen Netzwerkanschluss oder einen beliebigen lokalen Netzwerkknoten 4 vorgenommen werden. In diesem Fall verzögert sich lediglich ein Abschluss des Authentifizierungsabschnitts der Applikation (z. B. eine Zuteilung eines Warenkorbs zum Versand) entsprechend. Der Applikations-Server 2 kann hierbei die eingehenden Sicherheitsmerkmal zumindest anhand der mit übertragener Geräteidentifikation zuordnen und gegebenenfalls einen registrierten Schlüssel zum Entschlüsseln der Sicherheitsmerkmale abrufen, bevor eine Vergleich der Sicherheitsmerkmale anhand der registrierten Sicherheitsmerkmale erfolgt.
  • Weiterhin ist es für eine stationäre Anwendung insbesondere in einem eigenen lokalen Netzwerk des Nutzers möglich, dass die Authentifizierungsvorrichtung 3 mit dem lokalen Netzwerkknoten 4 in einem Kombigerät integriert ist. Wenn die Schnittstelle zwischen den beiden Komponenten durch die bauliche Integration nicht mehr zugänglich ist, kann der Verbindungsstatus durch ein Betätigungsmittel veränderbar und überwachbar sein. Zudem kann die Authentifizierungsvorrichtung 3 als autonome Einheit in einem PC, Notebook, Netbook, Tablet PC, PDA, sonstigen Hand Helds oder dergleichen baulich integriert sein. Dabei sind die Schaltkreise der aufgenommenen Authentifizierungsvorrichtung 3 und des aufnehmenden Geräts getrennt und weisen lediglich Berührungspunkte hinsichtlich einer Leistungsquelle und einer Anzeigeeinrichtung auf.
  • Zudem kann die Authentifizierungseinrichtung eine PIN zur Inbetriebnahme derselben von dem Nutzer abfragen. Eine z. B. dreimalige falsche Eingabe kann zu einer Löschung der Daten in dem Speicher führen, die ggf. durch ein beim Nutzer verwahrtes Backup wiederherstellbar sind.
  • Weiterhin werden persönliche Daten, die gegebenenfalls im Rahmen einer Registrierung an einem Applikations-Server 2 eingegeben wurden und insbesondere die Sicherheitsmerkmale während des Authentifizierungsvorgangs nicht lesbar angezeigt.

Claims (14)

  1. Verfahren zur Authentifizierung eines Nutzers in einer Client-Server-Netzwerkapplikation mit den Schritten: Starten der Netzwerkapplikation auf einem Applikations-Client (1), der in einem lokalen Netzwerk (5) über einen lokalen Netzwerkknoten (4) mit einem Netzwerk (6) verbunden ist; Aufbau einer ersten Netzwerkverbindung des Applikations-Clients (1) mit einem externen Applikations-Server (2), der mit dem Netzwerk (6) verbunden ist; Übermitteln wenigstens eines Identifikationsmerkmals zu dem Applikations-Server (2), durch das der Applikations-Server (2) den Nutzer identifizieren kann, Aufbau einer zweiten Netzwerkverbindung zur Übertragung von Daten gemäß einem Netzwerkprotokoll von einer autonomen, mit dem Nutzer assoziierten Authentifizierungsvorrichtung (3) über denselben lokalen Netzwerkknoten (4) in das Netzwerk (6) zu dem externen Applikations-Server (2) durch eine Betätigung des Nutzers; Übertragen von wenigstens einem Sicherheitsmerkmal, das in der autonomen Authentifizierungsvorrichtung (3) gespeichert ist, zu dem Applikations-Server (2), dadurch gekennzeichnet, dass der Aufbau der zweiten Netzwerkverbindung und die Übertragung des Sicherheitsmerkmals über denselben Netzwerkknoten (4) erfolgt, über den die erste Netzwerkverbindung zwischen dem Applikations-Client (1) und dem Applikations-Server (2) besteht, wobei die Netzwerkadresse des lokalen Netzwerkknotens (4) im externen Applikations-Server (2) registriert ist, das Übertragen des Sicherheitsmerkmals weiterhin eine hardwareimmanente Identifikation der Authentifizierungsvorrichtung (3) umfasst, und wobei der Applikations-Server (2) ein Verifizieren, ob die erste und zweite Netzwerkverbindung über den registrierten lokalen Netzwerkknoten (4) erfolgt, ein Vergleichen des wenigstens einen übertragenen Sicherheitsmerkmals und der hardwareimmanenten Identifikation der Authentifizierungsvorrichtung (3) mit wenigstens einem registrierten Sicherheitsmerkmal und einer registrierten Identifikation, und ein Abschließen eines Applikationsvorgangs in Reaktion auf ein positives Vergleichsergebnis, durchführt.
  2. Verfahren nach Anspruch 1, wobei vor dem ersten Starten der Netzwerkapplikation eine Initialisierung der mit dem Nutzer assoziierten Authentifizierungsvorrichtung (3) an dem Applikations-Server (2) durch den Nutzer erfolgt, die zumindest eine Registrierung von wenigstens einem lokalen Netzwerk (5) mittels der Netzwerkadresse des lokalen Netzwerkknotens (4), wenigstens einem Sicherheitsmerkmal und einer hardwareimmanenten Identifikation an dem Applikations-Server (2) umfasst.
  3. Verfahren nach Anspruch 2, wobei mehrere Sicherheitsmerkmale durch den Applikations-Server (2) bei der Initialisierung registriert werden, und der Applikations-Server (2) eine zufällige Auswahl aus den registrierten Sicherheitsmerkmalen treffen kann, die von der Authentifizierungsvorrichtung (3) zu übertragen sind.
  4. Verfahren nach einem der Ansprüche 1 bis 3, wobei das Übermitteln des wenigstens einen Sicherheitsmerkmals in Reaktion auf eine Betätigung der Authentifizierungsvorrichtung (3) durch den Nutzer erfolgt.
  5. Verfahren nach einem der Ansprüche 1 bis 4, wobei das Übermitteln des wenigstens einen Sicherheitsmerkmals in Reaktion auf eine Anforderung des Applikations-Servers (2) an die Authentifizierungsvorrichtung (3) erfolgt.
  6. Verfahren nach einem der Ansprüche 2 bis 5, wobei die Initialisierung weiterhin die Schritte umfasst: Generieren von wenigstens einem Sicherheitsmerkmal durch die Authentifizierungsvorrichtung (3), und Abspeichern eines generierten Sicherheitsmerkmals in der Authentifizierungsvorrichtung (3) unter Zuordnung der Netzwerkadresse des Applikations-Servers (2).
  7. Verfahren nach Anspruch 6, wobei das Generieren des Sicherheitsmerkmals auf der hardwareimmanenten Identifikation der Authentifizierungsvorrichtung (3), einer Netzwerkadresse/oder einer Eingabe des Nutzers basiert.
  8. Verfahren nach einem der Ansprüche 1 bis 7, wobei die Übertragung des wenigstens einen Sicherheitsmerkmals verschlüsselt wird, mittels eines Schlüssels zum Verschlüsseln, der in der Authentifizierungsvorrichtung (3) gespeichert ist, und eines Schlüssels zum Entschlüsseln, der in dem Applikations-Server (2) registriert ist.
  9. Verfahren nach einem der Ansprüche 1 bis 8, wobei das wenigstens eine Sicherheitsmerkmal mittels einer Verschlüsselung in der Authentifizierungsvorrichtung (3) verschlüsselt abgespeichert wird.
  10. Netzwerk-System zur Authentifizierung eines Nutzers in einer Client-Server-Netzwerkapplikation, aufweisend: einen Applikations-Client (1), der in einem lokalen Netzwerk (5) über einen lokalen Netzwerkknoten (4) mit einem Netzwerk (6) verbunden ist, und auf dem die Netzwerkapplikation in einer ersten Netzwerkverbindung zwischen dem Applikations-Client (1) und einem Applikations-Server (2) gestartet werden kann; einen externen Applikations-Server (2), der mit dem Netzwerk (6) verbunden ist, zur Bereitstellung der Netzwerkapplikation; dadurch gekennzeichnet, dass eine autonome, mit dem Nutzer assoziierte Authentifizierungsvorrichtung (3), die über einen lokalen Netzwerkknoten (4) mit dem Netzwerk (6) verbindbar ist, um wenigstens ein Sicherheitsmerkmal, das in derselben gespeichert ist, gemäß einem Netzwerkprotokoll in einer zweiten Netzwerkverbindung an den externen Applikations-Server (2) zu übertragen; wobei die Netzwerkadresse des lokalen Netzwerkknotens (4) im externen Applikations-Server (2) registriert ist, und die Übertragung des wenigstens einen Sicherheitsmerkmals eine hardwareimmanente Identifikation der Authentifizierungsvorrichtung (3) umfasst, und unter Herstellung der zweiten Netzwerkverbindung von der Authentifizierungsvorrichtung (3) zu dem Applikations-Server (2) über denselben Netzwerkknoten (4) erfolgt, über den die erste logische Verbindung zwischen dem Applikations-Client (1) und dem externen Applikations-Server (2) besteht.
  11. Netzwerk-System nach Anspruch 10, wobei die Authentifizierungsvorrichtung (3) eine unidirektionale Netzwerkschnittstelle (31) aufweist, sodass sie über den lokalen Netzwerkknoten (4) lediglich Daten versenden und nicht empfangen kann.
  12. Netzwerk-System nach Anspruch 10, wobei die Authentifizierungsvorrichtung (3) eine bidirektionale Netzwerkschnittstelle (31) aufweist, sodass sie über den lokalen Netzwerkknoten (4) sowohl Daten senden als auch empfangen kann.
  13. Netzwerk-System nach einem der Ansprüche 10 bis 12, wobei eine drahtlose Verbindung zwischen der Authentifizierungsvorrichtung (3) und dem Netzwerkknoten (4) aufgebaut wird.
  14. Netzwerk-System nach einem der Ansprüche 10 bis 12, wobei die Authentifizierungsvorrichtung (3) als autonome Einheit in einer Einrichtung eines Netzwerkknotens (4), einer Kommunikationseinrichtung oder einer Datenverarbeitungseinrichtung aufgenommen werden kann oder integriert ist, wobei eine Verbindung der Authentifizierungsvorrichtung zu dem Netzwerk manuell betätigbar ist.
DE201110055297 2011-11-11 2011-11-11 Verfahren sowie Netzwerk-System und Authentifizierungsvorrichtung zur Authentifizierung in einer Netzwerkapplikation Active DE102011055297B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201110055297 DE102011055297B4 (de) 2011-11-11 2011-11-11 Verfahren sowie Netzwerk-System und Authentifizierungsvorrichtung zur Authentifizierung in einer Netzwerkapplikation

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201110055297 DE102011055297B4 (de) 2011-11-11 2011-11-11 Verfahren sowie Netzwerk-System und Authentifizierungsvorrichtung zur Authentifizierung in einer Netzwerkapplikation

Publications (2)

Publication Number Publication Date
DE102011055297A1 DE102011055297A1 (de) 2013-05-16
DE102011055297B4 true DE102011055297B4 (de) 2013-08-14

Family

ID=48144782

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201110055297 Active DE102011055297B4 (de) 2011-11-11 2011-11-11 Verfahren sowie Netzwerk-System und Authentifizierungsvorrichtung zur Authentifizierung in einer Netzwerkapplikation

Country Status (1)

Country Link
DE (1) DE102011055297B4 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014004349A1 (de) 2014-03-27 2015-10-15 Friedrich Kisters Authentifikationssystem
DE102014004348A1 (de) 2014-03-27 2015-10-15 Friedrich Kisters Sicherheitsverfahren
DE102014004347A1 (de) 2014-03-27 2015-10-15 Friedrich Kisters Authentifikationsverfahren und Authentifikationssystem

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3013475B1 (fr) 2013-11-19 2017-05-19 Oberthur Technologies Procede et dispositifs d'authentification pour acceder a un compte utilisateur d'un service sur un reseau de donnees
DE102014007976A1 (de) 2014-06-04 2015-12-31 Friedrich Kisters Sicherheitsvorrichtung und Authentifizierungsverfahren mit dynamischen Sicherheitsmerkmalen

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008063864A1 (de) * 2008-12-19 2010-06-24 Charismathics Gmbh Verfahren zur Authentifizierung einer Person gegenüber einer elektronischen Datenverarbeitungsanlage mittels eines elektronischen Schlüssels

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008063864A1 (de) * 2008-12-19 2010-06-24 Charismathics Gmbh Verfahren zur Authentifizierung einer Person gegenüber einer elektronischen Datenverarbeitungsanlage mittels eines elektronischen Schlüssels

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
WIKIPEDIA: Authentifizierung. [recherchiert am 31.05.2012] 03.10.2011. Im Internet: *
WIKIPEDIA: Authentifizierung. [recherchiert am 31.05.2012] 03.10.2011. Im Internet: <URL:http://de.wikipedia.org/w/index.php?title=Authentifizierung&oldid=94349341>

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014004349A1 (de) 2014-03-27 2015-10-15 Friedrich Kisters Authentifikationssystem
DE102014004348A1 (de) 2014-03-27 2015-10-15 Friedrich Kisters Sicherheitsverfahren
DE102014004347A1 (de) 2014-03-27 2015-10-15 Friedrich Kisters Authentifikationsverfahren und Authentifikationssystem
US10055912B2 (en) 2014-03-27 2018-08-21 Friedrich Kisters Security method
US10255497B2 (en) 2014-03-27 2019-04-09 Friedrich Kisters Authentication method and authentication system
US10305896B2 (en) 2014-03-27 2019-05-28 Friedrich Kisters Authentication system

Also Published As

Publication number Publication date
DE102011055297A1 (de) 2013-05-16

Similar Documents

Publication Publication Date Title
EP2533172B2 (de) Gesicherter Zugriff auf Daten in einem Gerät
EP1358533B1 (de) Verfahren, anordnung und sicherheitsmedium zur authentifizierung eines benutzers
DE60200093T2 (de) Sichere Benutzerauthenifizierung über ein Kommunikationsnetzwerk
EP2859705B1 (de) Autorisierung eines nutzers durch ein tragbares kommunikationsgerät
EP2289016B1 (de) Verwendung eines mobilen telekommunikationsgeräts als elektronische gesundheitskarte
WO2018137888A1 (de) Verfahren zum durchführen einer authentifizierung
DE102015215120A1 (de) Verfahren zur verwendung einer vorrichtung zum entriegeln einer weiteren vorrichtung
DE202009019188U1 (de) Authentifizierung von sicheren Transaktionen
DE102007044905A1 (de) Verfahren und Vorrichtung zur Ermöglichung einer Dienstnutzung und Feststellung der Teilnehmeridentität in Kommunikationsnetzen mittels softwarebasierten Zugangsberechtigungsausweisen (vSIM)
DE10212620A1 (de) Sichere Benutzer- und Datenauthentisierung über ein Kommunikationsnetzwerk
EP3078177B1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems mit hilfe eines modifizierten domain name systems (dns)
DE102011055297B4 (de) Verfahren sowie Netzwerk-System und Authentifizierungsvorrichtung zur Authentifizierung in einer Netzwerkapplikation
WO2015082123A1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems
DE102017209961A1 (de) Verfahren und Vorrichtung zum Authentisieren eines Nutzers an einem Fahrzeug
DE102017122799A1 (de) Verfahren und Anordnung zur Übermittlung von Transaktionsdaten unter Nutzung eines öffentlichen Datennetzes
EP3908946B1 (de) Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät
DE102017121648B3 (de) Verfahren zum anmelden eines benutzers an einem endgerät
EP3319003B1 (de) Verfahren und system zur authentifizierung eines mobilen telekommunikationsendgeräts an einem dienst-computersystem und mobiles telekommunikationsendgerät
DE102017006200A1 (de) Verfahren, Hardware und System zur dynamischen Datenübertragung an ein Blockchain Rechner Netzwerk zur Abspeicherung Persönlicher Daten um diese Teils wieder Blockweise als Grundlage zur End zu Endverschlüsselung verwendet werden um den Prozess der Datensammlung über das Datenübertragungsmodul weitere Daten in Echtzeit von Sensoreinheiten dynamisch aktualisiert werden. Die Blockmodule auf dem Blockchaindatenbanksystem sind unbegrenzt erweiterbar.
EP3005651B1 (de) Verfahren zur adressierung, authentifizierung und sicheren datenspeicherung in rechnersystemen
WO2014135153A1 (de) Verfahren und vorrichtung zum authentifizieren von personen
DE102011119103A1 (de) Verfahren zum Authentisieren einer Person an einer Serverinstanz
DE102008037793A1 (de) Phototoken
DE102012220774B4 (de) Verfahren zur Durchführung von Transaktionen
EP2880810B1 (de) Authentifizierung eines dokuments gegenüber einem lesegerät

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R082 Change of representative

Representative=s name: KUHNEN & WACKER PATENT- UND RECHTSANWALTSBUERO, DE

R082 Change of representative

Representative=s name: KUHNEN & WACKER PATENT- UND RECHTSANWALTSBUERO, DE

R081 Change of applicant/patentee

Owner name: EBEL & DAHLMANN UG (HAFTUNGSBESCHRAENKT), DE

Free format text: FORMER OWNERS: DAHLMANN, RAINER, 12209 BERLIN, DE; EBEL, MARC, 48149 MUENSTER, DE

Effective date: 20130911

Owner name: EBEL & DAHLMANN UG (HAFTUNGSBESCHRAENKT), DE

Free format text: FORMER OWNERS: DAHLMANN, RAINER, 12209 BERLIN, DE; EBEL, MARC, 48149 MUENSTER, DE

Effective date: 20131203

Owner name: DAHLMANN, RAINER, DE

Free format text: FORMER OWNERS: DAHLMANN, RAINER, 12209 BERLIN, DE; EBEL, MARC, 48149 MUENSTER, DE

Effective date: 20131203

Owner name: DAHLMANN, RAINER, DE

Free format text: FORMER OWNERS: DAHLMANN, RAINER, 12209 BERLIN, DE; EBEL, MARC, 48149 MUENSTER, DE

Effective date: 20130911

Owner name: EBEL, MARC, DE

Free format text: FORMER OWNERS: DAHLMANN, RAINER, 12209 BERLIN, DE; EBEL, MARC, 48149 MUENSTER, DE

Effective date: 20130911

Owner name: EBEL, MARC, DE

Free format text: FORMER OWNERS: DAHLMANN, RAINER, 12209 BERLIN, DE; EBEL, MARC, 48149 MUENSTER, DE

Effective date: 20131203

Owner name: EBEL & DAHLMANN UG (HAFTUNGSBESCHRAENKT), DE

Free format text: FORMER OWNER: RAINER DAHLMANN,MARC EBEL, , DE

Effective date: 20131203

Owner name: EBEL & DAHLMANN UG (HAFTUNGSBESCHRAENKT), DE

Free format text: FORMER OWNER: RAINER DAHLMANN,MARC EBEL, , DE

Effective date: 20130911

R082 Change of representative

Representative=s name: KUHNEN & WACKER PATENT- UND RECHTSANWALTSBUERO, DE

Effective date: 20130911

Representative=s name: KUHNEN & WACKER PATENT- UND RECHTSANWALTSBUERO, DE

Effective date: 20131203

R020 Patent grant now final

Effective date: 20131115

R081 Change of applicant/patentee

Owner name: EBEL, MARC, DE

Free format text: FORMER OWNER: EBEL & DAHLMANN UG (HAFTUNGSBESCHRAENKT), 48149 MUENSTER, DE

Owner name: DAHLMANN, RAINER, DE

Free format text: FORMER OWNER: EBEL & DAHLMANN UG (HAFTUNGSBESCHRAENKT), 48149 MUENSTER, DE

R082 Change of representative

Representative=s name: KUHNEN & WACKER PATENT- UND RECHTSANWALTSBUERO, DE

R084 Declaration of willingness to licence