[go: up one dir, main page]

DE19722424C5 - Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System - Google Patents

Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System Download PDF

Info

Publication number
DE19722424C5
DE19722424C5 DE19722424A DE19722424A DE19722424C5 DE 19722424 C5 DE19722424 C5 DE 19722424C5 DE 19722424 A DE19722424 A DE 19722424A DE 19722424 A DE19722424 A DE 19722424A DE 19722424 C5 DE19722424 C5 DE 19722424C5
Authority
DE
Germany
Prior art keywords
access
password
access device
communication device
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE19722424A
Other languages
English (en)
Other versions
DE19722424C1 (de
Inventor
Georg Ratayczak
Norbert Dipl.-Ing. Niebert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Priority to DE19722424A priority Critical patent/DE19722424C5/de
Priority to US09/111,868 priority patent/US6259909B1/en
Priority to PCT/EP1998/004249 priority patent/WO2000003316A1/en
Priority to BR9815935-6A priority patent/BR9815935A/pt
Priority to GB0102240A priority patent/GB2361558B/en
Publication of DE19722424C1 publication Critical patent/DE19722424C1/de
Application granted granted Critical
Publication of DE19722424C5 publication Critical patent/DE19722424C5/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Verfahren zum gesicherten Zugreifen durch einen Benutzer auf ein getrenntes System (S) mit in einer Speichervorrichtung gespeicherten Daten, mit den folgenden Schritten:
Aufbauen einer ersten Verbindung über einen ersten Kommunikationsweg zwischen einer ersten Kommunikationseinrichtung (C1) und einer Zugriffsvorrichtung (A) und Übertragen eines ersten Kennwortes von der ersten Kommunikationseinrichtung (C1) zur Zugriffsvorrichtung (A);
Vergleichen des ersten Kennwortes mit in der Zugriffsvorrichtung (A) gespeicherten ersten Authentisierungsdaten;
Aufbauen einer zweiten Verbindung über einen vom ersten unabhängigen zweiten Kommunikationsweg zwischen einer zweiten Kommunikationseinrichtung (C2) und der Zugriffsvorrichtung (A) und Übertragen eines zweiten Kennwortes von der zweiten Kommunikationseinrichtung (C2) zur Zugriffsvorrichtung (A);
Vergleichen des zweiten Kennwortes mit in der Zugriffsvorrichtung (A) gespeicherten zweiten Authentisierungsdaten; und
Freigabe eines Zugriffs auf das System (S) mit einer oder beiden Kommunikationseinrichtungen (C1, C2), bei Vorhandensein einer vorgegebenen Beziehung zwischen dem ersten und zweiten Kennwort mit den in der Zugriffsvorrichtung (A) gespeicherten zweiten Authentisierungsdaten.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren für eine Zugriffssicherung auf ein System. Insbesondere betrifft die Erfindung ein Verfahren zum Sichern eines Zugreifens von einer Kommunikationsvorrichtung auf Daten eines fernab gelegenen Systems.
  • Durch die immer weiter fortschreitend Verbreitung und Nutzung von Datennetzen werden Sicherheitsaspkete bei bestimmten Anwendungen zunehmend wichtiger. Diese Anwendungen können Anwendungen sein, bei denen geheime Information zwischen Datenverarbeitungsvorrichtungen über ein Datennetz übertragen wird, z.B. bei elektronischem Zahlungsverkehr, elektronischem "Shopping" und ähnlichem. Die Sicherheitsanforderungen umfassen neben einer sicheren Übertragung von Daten über das Netz vor allem die Identifikation eines autorisierten Benutzers. Insbesondere, wenn ein autorisierter Benutzer über ein öffentlich zugängliches Datennetz auf ein System bzw. auf dort gespeicherte und ihm zugeordnete Daten zugreifen möchte, muß durch besondere Vorkehrungen sichergestellt werden, daß nur der autorisierte Benutzer auf die ihm zugeordneten Daten zugreifen kann.
  • Das Datennetz kann dabei zum Beispiel ein Internet sein, bei dem eine große Anzahl von Computern zu einem allgemein zugänglichen Verbund zusammengeschlossen ist. Da in einem solchen Netz keine gesicherten Datenleitungen vorhanden sind, müssen andere Wege zur Sicherung der Daten und zur Identifizierung eines autorisieren Benutzers beschritten werden.
  • Allgemein wird für eine Authentisierung eines Benutzers gegenüber einer gesicherten Einheit die Eingabe eines Codeworts verlangt, das den Benutzer eindeutig identifiziert.
  • Bei dem in 8 veranschaulichten allgemein bekannten Verfahren zum Sichern eines Zugreifens von einer Kommunikationseinrichtung auf ein fernab gelegenes System bezeichnet C' die Kommunikationseinrichtung, A' eine Zugriffseinrichtung und S' das System. Ein Zugriff auf das System von der Kommunikationseinrichtung wird wie folgt freigegeben: in einem ersten Schritt wird an der Kommunikationseinrichtung C' ein Kennwort eingegeben, das zur Zugriffseinrichtung A' übertragen wird und dort auf Gültigkeit überprüft wird. Im Falle, daß das Kennwort als gültig befunden wird, gibt die Zugriffseinrichtung einen Zugriff von der Kommunikationseinrichtung C' auf das System frei.
  • Eine große Anzahl von derartigen Verfahren, die mit Hilfe eines Codeworts einen Teilnehmer identifizieren, sind bekannt, haben jedoch wie das oben beschriebene bekannte Beispiel den Nachteil, daß die Kenntnis des Codewortes auch einem nicht-autorisierten Benutzer den Zugriff auf Daten eines bestimmten Benutzers oder sonstige unerlaubte Einflußnahme auf ein System ermöglicht.
  • In dem Artikel "Homebanking mit Chipkarte" von Peter Schäfer, Funkschau 1-1991, Seiten 66-68 wird ein Verfahren beschrieben, bei welchem Homebanking über das Bildschirmtext-Netzwerk mit Hilfe von Chipkarten bequemer gemacht wird. Bei dem Verfahren kommuniziert ein Benutzer an einem Btx-Endgerät mit einem externen Rechner der Bank über das Btx-Netz. An dem Btx-Endgerät ist ein Chipkartenleser angebracht. Der Authentikationsablauf ist folgender: zunächst wählt der Benutzer die Homebanking-Anwendung am Endgerät aus, und weist sich mit Hilfe einer PIN-Nummer als rechtmäßiger Eigentümer der Karte aus. Der PIN wird nicht über eine DFÜ-Leitung geschickt. In anderen Worten, es geschieht nur ein Datenaustausch zwischen dem Endgerät und der Karte. Wird drei mal eine falsche PIN eingegeben, sperrt sich die Karte. Nach erfolgreicher PIN-Prüfung geschieht eine durch kryptologische Verfahren abgesicherte, gegenseitige Authentikation des externen Rechners und der Chipkarte. Diese gegenseitige Authentikation geschieht "end-to-end".
  • Es ist Aufgabe der vorliegenden Erfindung, ein Verfahren für eine Zugriffssicherung auf Daten bereitzustellen, das eine größere Sicherheit bei der Authentisierung eines berechtigten Benutzers, der Zugriff auf bestimmte Daten erwünscht, ermöglicht.
  • Diese Aufgabe der vorliegenden Erfindung wird durch ein Verfahren mit Merkmalen der Ansprüche 1 und 3 gelöst.
  • Das Verfahren mit den Merkmalen von Anspruch 1 erlaubt vorteilhaft, einen Benutzer auf sichere Weise zu identifizieren, indem zwei getrennte Verbindungen zwischen einer ersten und einer zweiten Kommunikationsvorrichtung und einer Überprüfungsvorrichtung verwendet werden, um ein erstes und ein zweites Kennwort zu der Überprüfungsvorrichtung für eine Überprüfung zu übertragen.
  • Die Aufgabe der vorliegenden Erfindung wird weiter durch ein Verfahren mit den Merkmalen des Patentanspruchs 3 gelöst.
  • Das Verfahren nach Anspruch 3 erlaubt eine verbesserte Sicherung eines Zugriffs auf das System dadurch, daß nach Übertragung und Überprüfung eines ersten Kennwortes von der Überprüfungsvorrichtung ein zweites Kennwort zur zweiten Kommunikationsvorrichtung übertragen wird, für eine Eingabe in der ersten Kommunikationsvorrichtung, um wiederum von der ersten Kommunikationsvorrichtung zur Übertragungsvorrichtung übertragen und dort überprüft zu werden.
  • In einer vorteilhaften Ausführung der Erfindung kann bei als eine der beiden Kommunikationseinrichtungen eine Datenverarbeitungsvorrichtung verwendet werden, die über ein Datennetz mit der Überprüfungsvorrichtung verbunden ist, und als zweite Kommunikationsvorrichtung ein Telefon verwendet werden, das über eine Telefonverbindung mit der Überprüfungsvorrichtung verbunden ist.
  • Dabei können die Verbindungen besonders vorteilhaft über ein Internet bzw. über ein Mobilfunknetz aufgebaut werden. Dabei ist es möglich, daß nach einem Verbindungsaufbau von der Datenverarbeitungsvorrichtung zur Überprüfungsvorrichtung und Eingabe des Kennwortes durch Drücken einer oder mehrerer Tasten auf dem Mobiltelefon ein Zugriff auf das System bzw. auf in einem Datenspeicher des Systems gespeicherte Teilnehmerdaten freigegeben wird. Durch Verwenden des einem Teilnehmer zugeordneten Mobiltelefons kann eine sichere Identifikation des Teilnehmers vorgenommen werden.
  • Bei einer weiteren vorteilhaften Ausführung des erfindungsgemäßen Verfahrens kann ein Kennwort von der Übertragungsvorrichtung unter Verwendung eines geheimen Algorithmus erzeugt werden und zu einer der Kommunikationsvorrichtungen übertragen werden, für eine Eingabe in der anderen der zwei Kommunikationsvorrichtungen für eine nachfolgende Rückübertragung zur Zugriffsvorrichtung und für eine dortige Überprüfung. Dies erlaubt eine weitere Erhöhung der Sicherheit.
  • Darüber hinaus kann eines der Kennwörter dazu verwendet werden, eine Datenverschlüsselung von Daten vorzunehmen, die zwischen einer oder beiden Kommunikationsvorrichtungen zur Überprüfungsvorrichtung übertragen werden. Allgemein kann ein Kennwort aus bestimmten Teilnehmerdaten abgeleitet werden sowie dem Datum oder der Uhrzeit und es kann sichergestellt werden, daß das Kennwort nur für einen Zugriffs gültig ist.
  • Für die Durchführung des Verfahrens Zugriffssicherung auf ein System kann vorteilhaft eine Zugriffsvorrichtung verwendet werden, die einerseits mit dem System und andererseits über getrennte Kommunikationspfade mit zwei Kommunikationsvorrichtungen, vorzugsweise einer Datenverarbeitungsvorrichtung und einem Telefon/Mobiltelefon, zur Übertragung von Kennworten und für einen Zugriff auf das System verbunden ist.
  • Weitere vorteilhafte Abwandlungen des Verfahrens ergeben sich aus den Unteransprüchen.
  • Kurze Beschreibung der Figuren:
  • 1 zeigt eine schematische Darstellung eines Ausführungsbeispiels zur Veranschaulichung des erfindungsgemäßen Verfahrens zur Sicherung eines Zugriffs auf ein fernab gelegenes System;
  • 2 zeigt ein Flußdiagramm des Ausführungsbeispiels zur Veranschaulichung des erfindungsgemäßen Verfahrens nach 1;
  • 3 zeigt eine schematische Darstellung eines weiteren Ausführungsbeispiels zur Veranschaulichung des erfindungsgemäßen Verfahrens;
  • 4 zeigt ein Flußdiagramm des Ausführungsbeispiels zur Veranschaulichung des erfindungsgemäßen Verfahrens nach 3;
  • 5 zeigt eine schematische Darstellung eines weiteren Ausführungsbeispiels zur Veranschaulichung des erfindungsgemäßen Verfahrens;
  • 6 zeigt ein Flußdiagramm des Ausführungsbeispiels zur Veranschaulichung des erfindungsgemäßen Verfahrens nach 5;
  • 7 zeigt ein Blockdiagramm einer Vorrichtung zur Ausführung des erfindungsgemäßen Verfahrens; und
  • 8 zeigt eine schematische Darstellung zur Veranschaulichung einer bekannten Verfahrens zur Zugriffsicherung.
  • In der in 1 gezeigten schematischen Darstellung eines ersten Ausführungsbeispiels zur Veranschaulichung des erfindungsgemäßen Verfahrens sind die einzelnen Verfahrensschritte durch Pfeile dargestellt. Gezeigt sind eine erste Kommunikationsvorrichtung C1, eine zweite Kommunikationsvorrichtung C2 sowie eine Zugriffsvorrichtung A und das System S, auf das zugegriffen werden soll. Nicht gezeigt sind andere Vorrichtungen, wie z.B. Kommunikationsleitungen, Datenübertragungsvorrichtungen und ähnliches. Mit den Bezugszeichen S11, S12 und S13 und den Pfeilen sind Verfahrensschritte bezeichnet, die bei einer Durchführung des erfindungsgemäßen Verfahrens aufeinanderfolgend ausgeführt werden.
  • 2 zeigt ein Flußdiagramm des in 1 gezeigten ersten Ausführungsbeispiels zur weiteren Veranschaulichung des erfindungsgemäßen Verfahrens zur Sicherung eines Zugriffs auf ein fernab gelegenes System.
  • Im folgenden werden die Schritte zur Durchführung des Verfahrens nach 1 und 2 gezeigt. Zuerst wird der mit S11 bezeichnete Schritt ausgeführt. Im Schritt S11 wird von der Kommunikationseinrichtung C1 eine erste Verbindung zu einer Zugriffsvorrichtung A hergestellt und neben einer Bentuzeridentifikation wird ein erstes Kennwort von der ersten Kommunikationseinrichtung C1 zur Zugriffsvorrichtung A übertragen. Das erste Kennwort wird von der Zugriffsvorrichtung A empfangen und mit in der Zugriffsvorrichtung A gespeicherten Authentisierungsdaten verglichen. Das Vergleichen kann ein bekannter Verfahrensschritt zum Verifizieren eins übermittelten Kennwortes sein. Beispielsweise könnte in der Zugriffsvorrichtung A eine Kopie des ersten Kennwortes gespeichert sein und durch einen Vergleich könnte festgestellt werden, ob es sich beim Übermittelten Kennwort um das erforderliche Kennwort handelt. Es könnte auch durch eine mathematische Operation die Richtigkeit des ersten Kennwortes durch Überprüfen einer bestimmten Beziehung zu in der Zugriffsvorrichtung A gespeicherten Authentisierungsdaten festgestellt werden. Falls das erste Kennwort als inkorrekt erkannt wird, geht der Verfahrensablauf zum in 2 gezeigten Endpunkt des Flußdiagramms über, falls das erste Kennwort als richtig festgestellt wird, geht der Verfahrensablauf zu einem Schritt S12 über.
  • Im Schritt S12 wird von der zweiten Kommunikationsvorrichtung C2 eine Verbindung zur Zugriffsvorrichtung A aufgebaut und über diese ein zweites Kennwort zur Zugriffsvorrichtung übertragen. Dieses zweite übertragene Kennwort wird an der Zugriffsvorrichtung empfangen und wie schon im Schritt S11 beschrieben, authentisiert. Das Kennwort kann dabei aus einer festen Abfolge von Zeichen sein, die den Benutzer identifiziert und einem Code-Teil, der nur dem Benutzer bekannt ist. Es kann aber auch eine Identifikation des Benutzers auf andere Weise vorgenommen werden. Falls kein dem Benutzer zugeordnetes Kennwort übertragen wurde, geht das Verfahren zum im Flußdiagramm von 2 gezeigten Endpunkt über. Falls zweite Kennwort als richtig festgestellt wird, geht der Verfahrensablauf zum Schritt S13 über.
  • Im Schritt S13 wird durch die Zugriffsvorrichtung A ein Zugriff auf das System S mit einer oder beiden Kommunikationseinrichtungen C1, C2 freigegeben. Dieser Zugriff auf das System S kann dergestalt sein, daß von einer oder beiden Kommunikationseinrichtungen C1, C2 Daten zum System S übertragen werden können bzw. Daten vom System S abgerufen werden können. Weiter ist es möglich, daß vom autorisierten Benutzer durch eine oder beide der Kommunikationseinrichtungen C1, C2 bestimmte Funktionen des Systems S ausgelöst werden können. Die Verfahrensschritte werden des beschriebenen Ausführungsbeispiel werden vorzugsweise in der Reihenfolge S11 – S13 aufeinanderfolgend ausgeführt. Abwandlungen dieser Reihenfolge oder der von Teilschritten sind jedoch möglich.
  • Wie bei einer später mit Bezug auf 7 genauer beschriebenen Vorrichtung zur Durchführung des erfindungsgemäßen Verfahrens kann in einem zweiten Ausführungsbeispiel als erste Kommunikationseinrichtung C1 eine Datenverarbeitungsvorrichtung verwendet werden wobei die Verbindung zwischen dieser Datenverarbeitungsvorrichtung und der Zugriffsvorrichtung A über ein Datenverarbeitungsvorrichtungsnetzwerk hergestellt wird. Dabei kann die Datenverarbeitungsvorrichtung ein im Handel erhältlicher Personalcomputer sein, der mit einem entsprechenden Modem ausgerüstet ist und die Verbindung zwischen dem Personalcomputer und der Zugriffsvorrichtung A kann über ein Datennetz, wie beispielsweise das Internet, hergestellt werden. Das Herstellen von einer Verbindung von einem Computer über ein Internet zur Zugriffsvorrichtung A, die ebenfalls ein Computer oder ein Server, gegebenenfalls mit besonderen Funktionen und Merkmalen, sein kann, ist wohlbekannt und wird an dieser Stelle nicht weiter ausgeführt.
  • Weiter kann im zweiten Ausführungsbeispiel die zweite Kommunikationseinrichtung C2 ein Telefon sein und die Verbindung zwischen dem Telefon und der Zugriffsvorrichtung A kann über ein Fernsprechnetz hergestellt werden. Dabei kann bevorzugterweise das Fernsprechnetz ein Mobilfunknetz sein oder auch ein herkömmliches festes Telefonnetz bzw. PSTN beinhalten.
  • Damit ist es möglich, daß die Verbindungen zwischen der ersten bzw. zweiten Kommunikationseinrichtung C1, C2 und der Zugriffsvorrichtung A über voneinander getrennte und voneinander unabhängige Kommunikationswege aufgebaut werden.
  • Weiter kann im zweiten Ausführungsbeispiel das System S, zu dem der Zugriff ermöglicht werden soll, ein Mobilfunknetz bzw. eine Speichervorrichtung des Mobilfunknetzes, in dem bestimmte teilnehmerbezogene Daten gespeichert sind, insbesondere jedoch ein Telefonnetz nach dem GSM-Standard sein. Im Falle eines GSM-Netzes kann vorteilhaft die Zugriffsvorrichtung eine Erweiterung des HLR (Home Location Register) sein, die mit einem Server des World Wide Webs (WWW) bzw. des Internets eine Einheit bildet. In diesem Ausführungsbeispiel wird vorteilhaft durch die Zugriffsvorrichtung A ein Zugriff auf ein HLR-Register (Home Location Register) geregelt. In diesem HLR-Register werden teilnehmerbezogene Daten gespeichert, beispeilsweise für Dienste wie Anrufweiterleiten oder andere den Teilnehmer betreffende Konfigurationseinstellungen. Das vorhergehend beschriebene Ausführungsbeispiel kann den Zugriff durch einen Teilnehmer des Kommunikationsnetzes auf die ihn betreffenden im HLR-Register gespeicherten Teilnehmerdaten auf sichere Weise ermöglichen.
  • Damit kann der Benutzer auf besonders bequeme Weise beispielsweise Konfigurationseinstellungen ändern, bestimmte Dienste aktivieren und deaktivieren und Informationen und Daten abrufen, ändern oder speichern. Die zur Übertragung der Kennworte notwendige Kommunikation zwischen Benutzer und System kann dabei unter anderem über USSD (unstructured supplementary service data) vorgenommen werden.
  • Ein Zugriff auf die teilnehmnerbezogenen, im HLR-Register gespeicherten Daten in diesem Ausführungsbeispiel kann in Anlehnung an das in den 1 und 2 gezeigte erfindungsgemäße Verfahren wie folgt vor sich gehen.
  • Der Teilnehmer, der einen Zugriff auf die ihn betreffenden Teilnehmerdaten im HLR-Register erwünscht, stellt eine Verbindung von einer Datenverarbeitungsvorrichtung, die ein der Kommunikationsvorrichtungen darstellt und die am Internet angeschlossen ist (WWW-client) zu der Zugriffsvorrichtung A her, im speziellen Ausführungsbeispiel ein Internet-Server, der mit einer Erweiterung des HLR eine Einheit bildet. Eine Authentierung des Benutzers bzw. Teilnehmers wird durch Übermitteln und Überprüfen des ersten Kennwortes im Schritt S11, in den 1 und 2 gezeigt, zur Zugriffsvorrichtung A vorgenommen. Dabei kann die Kommunikation zwischen der Datenverarbeitungsvorrichtung und der Zugriffsvorrichtung A gemäß eines sogenannten TCP/IP-Protokolls ablaufen.
  • Falls die Zugriffsvorrichtung A den Benutzer als autorisierten Benutzer erkennt, wartet die Zugriffsvorrichtung A auf eine Eingabe eines zweiten Kennworts durch eine zweite Kommunikationsvorrichtung, hier das Mobiltelefon oder ein Festnetztelefon (Schritt S12). In einer anderen Ausführungsform kann die Zugriffsvorrichtung A über eine Schnittstelle zum GSM Netz an das Mobiltelefon oder an ein Festnetztelefon eine Aufforderung übermitteln, das zweite Kennwort (Schritt S12) einzugeben. Die Eingabe des Kennwortes kann über die Tastatur des Telefons erfolgen, durch Drücken einer einzelnen Taste, wie z.B. der Gesprächsanforderungstaste oder einer Abfolge von Tasten.
  • Nach einer Autorisierung des zweiten Kennwortes und damit des Teilnehmers an der Zugriffsvorrichtung A stellt (Schritt S13 in 1 und 2) die Zugriffsvorrichtung A einen Zugriff zu dem System S her. Dies kann ein Zugriff auf die in der Speichervorrichtung des HLR-Registers gespeicherten teilnehmerbezogenen Daten sein oder ein Aktivieren oder Deaktivieren von bestimmten Diensten. Nachdem der Zugriff freigegeben wurde, kann von einer der beiden Kommunikationseinrichtungen C1, C2, also von der Datenverarbeitungsvorrichtung oder von dem Telefon oder von beiden der Zugriff erfolgen.
  • Mit Hilfe dieses Verfahrens kann somit beispielsweise ein selektiver Zugriff eines bestimmten Teilnehmers eines Mobilfunknetzes auf die dem Benutzer entsprechenden teilnehmerbezogenen Daten ermöglicht werden. Es wird durch das Verfahren bevorzugterweise ein Zugriff nur auf teilnehmerbezogene Daten und Dienste ermöglicht die dem bestimmten Teilnehmer zugeordnet sind. Bei einem GSM-Netzwerk beispielsweise ist die Identität des speziellen, dem bestimmten Benutzer zugeordneten Mobiltelefons ständig bekannt, daher kann von keiner anderen Kommunikationseinrichtung eine betrügerische Authentisierung eines bestimmten Teilnehmers vorgenommen werden.
  • Durch Eingabe mindestens eines weiteren Kennwortes durch eine der Kommunikationseinrichtungen C1, C2 und Übertragung dieses mindestens einen weiteren Kennwortes zur Zugriffsvorrichtung A kann ein erweiterter Zugriff auf das System oder auch weitere in der Speichervorrichtung des HLR-Registers gespeicherte Teilnehmerdaten freigegeben werden.
  • In 3 wird ein drittes Ausführungsbeispiel zur Durchführung des erfindungsgemäßen Verfahrens zur Sicherung eines Zugriffs auf ein fernab gelegenes System dargestellt. Wie schon bei dem in Bezug auf 1 beschriebenen ersten Ausführungsbeispiel sind hier schematisch eine erste Kommunikationsvorrichtung C1 eine zweite Kommunikationsvorrichtung C2 sowie eine Zugriffsvorrichtung A und ein System S dargestellt. Veranschaulichend sind weiter die einzelnen Verfahrensschritte S31 bis S35 durch Pfeile dargestellt. Die Verfahrensschritte werden vorzugsweise in der Reihenfolge S31 – S35 aufeinanderfolgend ausgeführt. Abwandlungen dieser Reihenfolge oder der von Teilschritten sind jedoch möglich.
  • 4 zeigt ein Flußdiagramm des in 3 gezeigten Ausführungsbeispiels zur Veranschaulichung des erfindungsgemäßen Verfahrens.
  • Im folgenden wird ein Ablauf der Verfahrensschritte der 3 und 4 genauer beschrieben. In einem ersten Schritt S31 wird von der ersten Kommunikationseinrichtung C1 eine Verbindung zur Zugriffsvorrichtung A aufgebaut und neben einer Benutzeridentifikation ein erstes Kennwort wird zur Zugriffsvorrichtung A übertragen. In der Zugriffsvorrichtung wird dieses erste Kennwort mit gespeicherten Authentisierungsdaten verglichen. Dies kann wie schon in Bezug auf Ausführungsbeispiel 1 beschrieben, ein bekanntes Authentisierungsverfahren sein. Falls das Kennwort als nicht korrekt erkannt wird, geht der Verfahrensablauf zum in 4 gezeigten Endpunkt über. Andernfalls geht der Ablauf zu einem Schritt S32 über.
  • In Schritt S32 wird von der Zugriffsvorrichtung A ein zweites Kennwort zur Kommunikationseinrichtung C1 übertragen und kann dort zur Anzeige gebracht werden. Dieses zweite Kennwort kann ein fest vorgegebenes Kennwort sein oder von der Zugriffsvorrichtung A mit einem geheimen Algorithmus erzeugt werden. Das zweite Kennwort kann zum Beispiel von teilnehmerbezogenen Identifikationsdaten und/oder der Zeit und/oder dem Datums abgeleitet werden. Damit ist es möglich, daß dieses zweite Kennwort, oder auch ein anderes von der Zugriffsvorrichtung A erzeugtes Kennwort, nur für einen Zugriff gültig ist. Weiter kann das zweite oder ein anderes Kennwort für eine Datenverschlüsselung für eine Datenübertragung zwischen der ersten oder der zweiten Kommunikationseinrichtung C1, C2 und der Zugriffsvorrichtung A verwendet werden.
  • Dieses zweite Kennwort wird in einem Schritt S33 von der ersten Kommunikationseinrichtung C1 zur zweiten Kommunikationseinrichtung C2 übertragen. Dies kann durch ein Ablesen von der ersten Kommunikationseinrichtung C1 und ein Eingeben an der zweiten Kommunikationseinrichtung C2 oder durch eine andere Form der Datenübertragung vorgenommen werden.
  • Nachdem Eingabe des zweiten Kennwortes an der zweiten Kommunikationseinrichtung C2, wird das zweite Kennwort in einem Schritt S34 zu Zugriffsvorrichtung A übertragen und dort entsprechend der vorher beschriebenen Authentisierungsverfahren authentisiert. Falls das zur Zugriffsvorrichtung übertragenen zweite Kennwort als nicht korrekt erkannt wird, geht der Verfahrensablauf zu dem in 4 gezeigten Endpunkt des Flußdiagramms über.
  • Falls das Kennwort als gültig erkannt wird, wird im Schritt S35 der vorhergehend mit Bezug auf das erste oder zweite Ausführungsbeispiel genauer beschriebene Zugriff von einer der Kommunikationsvorrichtungen C1, C2 auf das System S freigegeben.
  • In einem Abwandlung dieses dritten Ausführungsbeispiels ist es möglich, daß nach Übertragung eines ersten Kennwortes von der Kommunikationseinrichtung C1 und dann eines zweiten Kennwortes von der Kommunikationseinrichtung C2 zur Zugriffsvorrichtung A ein drittes Kennwort von der Zugriffsvorrichtung A zur Kommunikationseinrichtung C1 übertragen wird und von dort zur Kommunikationseinrichtung C2 übertragen und von der Kommunikationseinrichtung C2 für ein Authentisieren wiederum zur Zugriffsvorrichtung A übertragen wird.
  • Wie schon mit Bezug auf das zweite Ausführungsbeispiel beschrieben, das eine spezielle Ausführung, auch mit Bezug auf 7 beschrieben, zur Durchführung des Verfahrens darstellt, kann die Kommunikationseinrichtung C1 eine Datenverarbeitungsvorrichtung sein, die über das Internet mit der Zugriffsvorrichtung A verbunden ist und die Kommunikationseinrichtung C2 ein Telefon bzw. ein Mobiltelefon sein, das über ein festes Telefonnetz bzw. ein Mobilfunknetz mit der Zugriffsvorrichtung A verbunden ist. Wie im zweiten Ausführungsbeispiel beschrieben, können hier Kennworte durch das Telefon durch ein Betätigen einer Abfolge von Telefontasten oder einer gesonderten Telefontaste, wie z.B. der Gesprächsaufbautaste übertragen werden.
  • Es wird darauf hingewiesen, daß in anderen Ausführungsbeispielen die Kommunikationsvorrichtung C1 ein Telefon/Mobiltelefon sein kann bzw. die Kommunikationseinrichtung C2 eine Datenverarbeitungsvorrichtung. Weiter kann das zweite, von der Zugriffsvorrichtung A zur Kommunikationseinrichtung C1 übertragene Kennwort durch die Zugriffsvorrichtung A erzeugt werden, zum Beispiel aus teilnehmerbezogenen Identifikationsdaten und/oder der Zeit und/oder des Datums. Damit ist es möglich, daß dieses zweite Kennwort, oder auch ein anderes von der Zugriffsvorrichtung A erzeugtes Kennwort, nur für eine Zugriffssitzung gültig ist. Weiter kann eines der übertragenen Kennworte dazu verwendet werden, eine Datenverschlüsselung für eine Datenübertragung zwischen der ersten oder der zweiten Kommunikationseinrichtung C1, C2 und der Zugriffsvorrichtung A zu verwenden. Dieses kann eine Sicherheit des Zugriffs auf das System verbessern. Vorzugsweise würde das zweite, von der Zugriffsvorrichtung A erzeugte Kennwort für eine solche Datenverschlüsselung verwendet werden.
  • Durch Eingabe mindestens eines weiteren Kennwortes durch eine der Kommunikationseinrichtungen C1, C2 und Übertragung dieses mindestens einen weiteren Kennwortes zur Zugriffsvorrichtung A kann ein erweiterter Zugriff auf das System oder auch auf weitere in der Speichervorrichtung des Systems gespeicherte Daten freigegeben werden.
  • 5 beschreibt ein viertes Ausführungsbeispiel zur Durchführung des erfindungsgemäßen Verfahrens für einen gesicherten Zugriff auf ein fernab gelegenes System. Wie schon im Hinblick auf die Ausführungsbeispiele 1 und 3 beschrieben, sind in 5 schematisch eine erste Kommunikationseinrichtung C1, eine zweite Kommunikationseinrichtung C2, eine Zugriffseinrichtung A und ein System S dargestellt. Zur Verdeutlichung der Verfahrensschritte des Verfahrens und deren Ort der Durchführung sind mit Hilfe von Pfeilen Verfahrensschritte S51 bis S55 bezeichnet. 6 zeigt ein Flußdiagramm zur Verdeutlichung der in 5 gezeigten Darstellung.
  • Im folgenden wird die Durchführung des erfindungsgemäßen Verfahrens für einen gesicherten Zugriff durch einen Benutzer auf das fernab gelegene System S mit in einer Speichervorrichtung gespeicherten Daten in Hinblick auf die 5 und 6 beschrieben.
  • Im Verfahrensschritt S51 wird wie bei den Schritten S11 und S31 von einer ersten Kommunikationseinrichtung C1, eine erste Verbindung zu der Zugriffsvorrichtung A aufgebaut und neben einer Benuterzidentifikation ein erstes Kennwort von der ersten Kommunikationseinrichtung C1 zur Zugriffseinrichtung A übertragen und authentisiert. Im Falle, daß das übertragene Kennwort für ungültig befunden wird, geht der Verfahrensablauf zum in 6 gezeigten Endpunkt des Flußdiagramms über. Falls das Kennwort für gültig befunden wird, geht der in 6 gezeigte Verfahrensablauf zum Schritt S52 über.
  • Im Schritt S52 wird von der Zugriffsvorrichtung A ein zweites Kennwort erzeugt, beispielsweise mittels eines geheimen Algorithmus, wie schon in Hinblick auf das dritte Ausführungsbeispiel beschrieben, oder ein fester Wert wird als zweites Kennwort zur zweiten Kommunikationseinrichtung C2 übertragen.
  • In einem folgenden Schritt S53 wird das zweite Kennwort von der zweiten Kommunikationseinrichtung C2 im Schritt S53 zur ersten Kommunikationseinrichtung C1 übertragen. Dazu kann die zweite Kommunikationseinrichtung C2 das zweite Kennwort für eine Eingabe in die erste Kommunikationseinrichtung C1 anzeigen, oder es kann auf andere Weise von der zweiten Kommunikationseinrichtung C2 im zur ersten Kommunikationseinrichtung C1 übertragen werden.
  • In einem weiteren Schritt S54 wird dieses zweite Kennwort von der ersten Kommunikationseinrichtung C1 zur Zugriffsvorrichtung A übertragen und dort auf Richtigkeit überprüft, wie vorher beschrieben. Falls das im Schritt S54 übertragene Kennwort für ungültig befunden wird, geht der Verfahrensablauf zum Endpunkt des in 6 gezeigten Flußdiagramms über.
  • Falls das im Schritt S54 übertragene zweite Kennwort für gültig befunden wurde, wird durch die Zugriffsvorrichtung A im Schritt S35 ein Datenzugriff oder ein Zugriff auf Funktionen des Systems freigegeben. Dieser Zugriff auf Daten bzw. Funktionen des Systems kann, wie vorher beschrieben, von einer der Kommunikationseinrichtungen C1, C2 vorgenommen werden.
  • Wie schon bei den vorhergehend beschriebenen Ausführungsbeispielen werden die Kommunikationsverbindungen zwischen der ersten Kommunikationseinrichtung C1 bzw. der zweiten Kommunikationseinrichtung C2 und der Zugriffsvorrichtung A über voneinander unabhängige getrennte Kommunikationswege aufgebaut. Weiter kann, wie schon im Hinblick auf Ausführungsbeispiel 2 beschrieben, die erste Kommunikationseinrichtung C1 eine Datenverarbeitungsvorrichtung sein und die Verbindung zwischen der Zugriffsvorrichtung A und der Datenverarbeitungsvorrichtung kann über ein Datenverarbeitungsvorrichtungsnetzwerk vorgenommen werden. Bevorzugterweise wird als erste Kommunikationseinrichtung C1 eine Datenverarbeitungsvorrichtung gewählt und als zweite Kommunikationseinrichtung ein Mobiltelefon.
  • Auch in diesem vierten Ausführungsbeispiel kann das im Schritt S52 zur Kommunikationseinrichtung C1 übertragene zweite Kennwort aus teilnehmerbezogenen Daten und/oder einem Datum und/oder einer Uhrzeit berechnet werden und gegebenenfalls nur für eine einzige Zugriffssitzung gültig sein. Weiter kann die Kommunikationseinrichtung C2 ein Telefon bzw. ein Mobiltelefon sein, und die Verbindung zwischen der Kommunikationseinrichtung C2 und der Zugriffsvorrichtung A kann über ein festes Telefonnetz bzw. über ein Mobiltelefonnetz aufgebaut werden. Es wird darauf hingewiesen, daß auch die Kommunikationseinrichtung C1 ein Telefon bzw. Mobiltelefon sein kann, und die Kommunikationseinrichtung C2 eine Datenverarbeitungsvorrichtung.
  • Die Übertragung der Kennworte kann vorgenommen werden, wie schon im zweiten Ausführungsbeispiel beschrieben. Die Freigabe des Zugriffs auf das System S kann dergestalt sein, daß ein Teilnehmer auf die dem Teilnehmer zugeordnete Teilnehmerdaten zugreifen kann, diese verändern oder abspeichern kann oder bestimmte Dienste aktivieren oder deaktivieren kann. Die Teilnehmerdaten sind vorzugsweise in einem Home Location Register (HLR) gespeichert. Falls ein Mobiltelefon als Kommunikationseinrichtung verwendet wird, kann vorteilhaft der Zugriff auf Teilnehmerdaten beschränkt werden, die einem Teilnehmer zugeordnet sind, dem ebenfalls das Mobiltelefon zugeordnet ist.
  • Weiter kann eines der übertragenen Kennworte für eine Datenverschlüsselung für eine Datenübertragung zwischen der ersten oder der zweiten Kommunikationseinrichtung C1, C2 und der Zugriffsvorrichtung A verwendet werden. Außerdem kann nach Freigabe eines Datenzugriffs durch die Zugriffsvorrichtung A von einer der Kommunikationseinrichtungen C1, C2 mindestens ein weiteres Kennwort zur Zugriffsvorrichtung A übertragen werden, um einen erweiterten Zugriff auf das System oder auf weitere in der Speichervorrichtung gespeicherte Daten freizugeben.
  • 7 zeigt ein Ausführungsbeispiel einer Vorrichtung zur Durchführung des erfindungsgemäßen Verfahrens. In der Figur ist mit A eine Zugriffsvorrichtung bezeichnet, um den Zugriff durch einen Benutzer auf ein fern abgelegenes System S zu regeln.
  • Der zwischen der Zugriffsvorrichtung A und dem System S gezeigte Doppelpfeil veranschaulicht eine zwischen diesen Einrichtungen bestehende Datenverbindung. Im Falle eines GSM-Systems können die Zugriffsvorrichtung und das System im Rahmen des MAP (mobile application part) Protokoll miteinander kommunizieren.
  • Mit E1 ist ein Mobiltelefon bezeichnet, das, durch einen Pfeil gekennzeichnet, über ein Mobilfunknetz mit der Zugriffsvorrichtung A verbunden ist. Weiter gezeigt ist in 7 eine Datenverarbeitungsvorrichtung E2, die, durch einen Doppelpfeil gezeigt, über eine Datenverbindung mit der Zugriffsvorrichtung A verbunden ist. Diese Datenverbindung kann bei Datenverarbeitungsvorrichtungsnetzwerk, wie zum Beispiel das Internet sein und eine Kommunikation nach dem TCP/IP Protokoll durchgeführt werden.
  • Nach einem in Zusammenhang mit den Ausführungsbeispielen 1 bis 4 gezeigten Verfahren zum Authentisieren eines Benutzers gibt im Falle einer richtigen Eingabe der Kennwörter die Zugriffsvorrichtung den Zugriff auf das System frei. Danach kann entweder von dem Mobiltelefon E1 und/oder der Datenverarbeitungsvorrichtung E2 über die jeweiligen Verbindungen zur Zugriffsvorrichtung auf das System S zugegriffen werden. Im gezeigten Ausführungsbeispiel kann, durch eine graphische Oberfläche der Datenverarbeitungsvorrichtung E2 untestützt, das teilnehmerbezogene Benutzerprofil in einem HLR einer Speichervorrichtung eines Mobilfunknetzes, zum Beispiel eines ESM-Netzes abgerufen, verändert oder gespeichert werden. Es ist weiter denkbar, daß andere Funktionen des Systems S von einer der Datenverarbeitungsvorrichtungen G gesteuert werden können. Weiter können durch Eingabe von weiteren Kennworten nach einem Verbindungsaufbau zwischen der Vorrichtungen E1, E2 einen Zugriff auf weitere Funktionen des Systems S oder auf weitere Teilnehmerbezogene Daten im Teilnehmerregister HLR ermöglicht werden.

Claims (14)

  1. Verfahren zum gesicherten Zugreifen durch einen Benutzer auf ein getrenntes System (S) mit in einer Speichervorrichtung gespeicherten Daten, mit den folgenden Schritten: Aufbauen einer ersten Verbindung über einen ersten Kommunikationsweg zwischen einer ersten Kommunikationseinrichtung (C1) und einer Zugriffsvorrichtung (A) und Übertragen eines ersten Kennwortes von der ersten Kommunikationseinrichtung (C1) zur Zugriffsvorrichtung (A); Vergleichen des ersten Kennwortes mit in der Zugriffsvorrichtung (A) gespeicherten ersten Authentisierungsdaten; Aufbauen einer zweiten Verbindung über einen vom ersten unabhängigen zweiten Kommunikationsweg zwischen einer zweiten Kommunikationseinrichtung (C2) und der Zugriffsvorrichtung (A) und Übertragen eines zweiten Kennwortes von der zweiten Kommunikationseinrichtung (C2) zur Zugriffsvorrichtung (A); Vergleichen des zweiten Kennwortes mit in der Zugriffsvorrichtung (A) gespeicherten zweiten Authentisierungsdaten; und Freigabe eines Zugriffs auf das System (S) mit einer oder beiden Kommunikationseinrichtungen (C1, C2), bei Vorhandensein einer vorgegebenen Beziehung zwischen dem ersten und zweiten Kennwort mit den in der Zugriffsvorrichtung (A) gespeicherten zweiten Authentisierungsdaten.
  2. Verfahren nach Anspruch 1, gekennzeichnet durch die Schritte: Übertragen des zweiten oder eines dritten Kennwortes von der Zugriffsvorrichtung (A) zu der ersten Kommunikationseinrichtung (C1); Übertragen des zweiten oder dritten Kennwortes von der ersten Kommunikationseinrichtung (C1) zur zweiten Kommunikationseinrichtung (C2); und Übertragen des zweiten oder dritten Kennwortes von der zweiten Kommunikationseinrichtung (C2) zur Zugriffsvorrichtung (A), die eine entsprechende Überprüfung des Kennwortes durchführt, bevor der Zugriff auf die Daten freigegeben wird.
  3. Verfahren zum gesicherten Zugreifen durch einen Benutzer auf ein getrenntes System (S) mit in einer Speichervorrichtung gespeicherten Daten, mit den folgenden Schritten: Aufbauen einer ersten Verbindung über einen ersten Kommunikationsweg zwischen einer ersten Kommunikationseinrichtung (C1) und einer Zugriffsvorrichtung (A) und Übertragen eines ersten Kennwortes von der ersten Kommunikationseinrichtung (C1) zur Zugriffsvorrichtung (A); Vergleichen des ersten Kennwortes mit in der Zugriffsvorrichtung (A) gespeicherten ersten Authentisierungsdaten; bei Vorhandensein einer vorgegebenen Beziehung zwischen dem ersten Kennwort mit den in der Zugriffsvorrichtung (A) gespeicherten Authentisierungsdaten, Aufbauen einer zweiten Verbindung über einen vom ersten unabhängigen zweiten Kommunikationsweg zwischen der Zugriffsvorrichtung (A) und einer zweiten Kommunikationseinrichtung (C2) und Übertragen eines zweiten Kennwortes von der Zugriffsvorrichtung (A) zur zweiten Kommunikationseinrichtung (C2); Übertragen des zweiten Kennwortes von der zweiten Kommunikationseinrichtung (C2) zur ersten Kommunikationseinrichtung (C1); Übertragen des zweiten Kennwortes von der ersten Kommunikationseinrichtung (C1) zur Zugriffsvorrichtung (A); Vergleichen des zweiten Kennwortes mit in der Zugriffsvorrichtung (A) gespeicherten zweiten Authentisierungsdaten; und Freigabe eines Zugriffs auf das System (S) mit einer oder beiden Kommunikationseinrichtungen (C1, C2), bei Vorhandensein einer vorgegebenen Beziehung zwischen dem zweiten Kennwort mit den in der Zugriffsvorrichtung (A) gespeicherten zweiten Authentisierungsdaten.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß als erste oder zweite Kommunikationseinrichtung (C1, C2) eine Datenverarbeitungsvorrichtung verwendet wird und die Verbindung zwischen der Datenverarbeitungsvorrichtung und der Zugriffsvorrichtung (A) über ein Datenverarbeitungsvorrichtungsnetzwerk aufgebaut wird.
  5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, daß für die Verbindung zwischen der Zugriffsvorrichtung (A) und der Datenverarbeitungsvorrichtung ein Internet verwendet wird.
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß als erste oder zweite Kommunikationseinrichtung (C1, C2) ein Telefon verwendet wird und die Verbindung zwischen Telefon und Zugriffsvorrichtung (A) über ein Fernsprechnetz aufgebaut wird.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, daß als Kommunikationsvorrichtung (C1, C2) ein Mobiltelefon verwendet wird.
  8. Verfahren nach Anspruch 6 oder 7, dadurch gekennzeichnet, daß das erste oder zweite Kennwort durch Drücken einer Gesprächsanforderungs-Taste oder mindestens einer anderen Taste des Telefons übermittelt wird.
  9. Verfahren nach einem der Ansprüche 6 bis 8, dadurch gekennzeichnet, daß das System (S) ein GSM-Netz ist und die Speichervorrichtung ein Home Location Register ist, in dem teilnehmerbezogene Daten gespeichert sind.
  10. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß mindestens eines der Kennworte in der Zugriffsvorrichtung (A) oder an anderer Stelle erzeugt wird und nur für eine Zugriffssitzung gültig ist.
  11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, daß das mindestens eine der Kennworte unter Verwendung einer Teilnehmeridentifikation und der gegenwärtigen Uhrzeit oder des Datums erzeugt wird.
  12. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß eines der Kennworte für eine Datenverschlüsselung für eine Datenübertragung zwischen der ersten oder der zweiten Kommunikationseinrichtung (C1, C2) und der Zugriffsvorrichtung (A) verwendet wird.
  13. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß nach Freigabe eines Datenzugriffs von einer der Kommunikationseinrichtungen (C1, C2) mindestens ein weiteres Kennwort zur Zugriffsvorrichtung (A) übertragen wird, um einen erweiterten Zugriff auf das System oder auf weitere in der Speichervorrichtung gespeicherte Daten freizugeben.
  14. Vorrichtung zur Durchführung des Verfahrens nach einem der vorhergehenden Ansprüche, mit einer mit dem System (S) verbundenen Zugriffsvorrichtung (A); einer Datenverarbeitungsvorrichtung (E2), über ein Datenverarbeitungsvorrichtungsnetzwerk an die Zugriffsvorrichtung (A) anschließbar; einem fest angeschlossenes Telefon oder einem Mobiltelefon (E1), über ein festes Netz bzw. ein Mobilfunknetz an die Zugriffsvorrichtung (A) anschließbar.
DE19722424A 1997-05-28 1997-05-28 Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System Expired - Lifetime DE19722424C5 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE19722424A DE19722424C5 (de) 1997-05-28 1997-05-28 Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System
US09/111,868 US6259909B1 (en) 1997-05-28 1998-07-08 Method for securing access to a remote system
PCT/EP1998/004249 WO2000003316A1 (en) 1997-05-28 1998-07-08 A method for securing access to a remote system
BR9815935-6A BR9815935A (pt) 1997-05-28 1998-07-08 Processo para proteger acesso de usuário a um sistema separado, e, dispositivo para executar o mesmo
GB0102240A GB2361558B (en) 1997-05-28 1998-07-08 A method for securing access to a remote system

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE19722424A DE19722424C5 (de) 1997-05-28 1997-05-28 Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System
US09/111,868 US6259909B1 (en) 1997-05-28 1998-07-08 Method for securing access to a remote system
PCT/EP1998/004249 WO2000003316A1 (en) 1997-05-28 1998-07-08 A method for securing access to a remote system

Publications (2)

Publication Number Publication Date
DE19722424C1 DE19722424C1 (de) 1998-08-06
DE19722424C5 true DE19722424C5 (de) 2006-09-14

Family

ID=27217419

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19722424A Expired - Lifetime DE19722424C5 (de) 1997-05-28 1997-05-28 Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System

Country Status (3)

Country Link
US (1) US6259909B1 (de)
DE (1) DE19722424C5 (de)
WO (1) WO2000003316A1 (de)

Families Citing this family (81)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19722424C5 (de) * 1997-05-28 2006-09-14 Telefonaktiebolaget Lm Ericsson (Publ) Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System
DE19922288A1 (de) * 1999-05-14 2000-11-23 Siemens Ag Anordnung zur mobilen Kommunikation
GB2355885A (en) * 1999-07-30 2001-05-02 Nokia Telecommunications Oy Network access control
US7249110B1 (en) * 1999-08-03 2007-07-24 Matsushita Electric Industrial Co, Ltd. Individual authentication method, individual authentication apparatus, accounting method, accounting apparatus
DE19936226A1 (de) * 1999-08-05 2001-02-08 Alcatel Sa Verfahren und Vorrichtungen zur Zugangskontrolle eines Benutzers eines Benutzerrechners zu einem Zugangsrechner
DE69937954T2 (de) * 1999-11-22 2009-01-02 Telefonaktiebolaget Lm Ericsson (Publ) Methode und Verfahren zum sicheren Anmelden in einem Telekommunikationssystem
DE19957467A1 (de) * 1999-11-24 2001-05-31 Deutsche Telekom Ag Verfahren zur Anwendung verschlüsselter Daten
FI112418B (fi) 2000-02-01 2003-11-28 Nokia Corp Menetelmä datan eheyden tarkastamiseksi, järjestelmä ja matkaviestin
CA2377406A1 (en) 2000-02-21 2001-08-23 Trek Technology (Singapore) Pte Ltd A portable data storage device
EP1264490B1 (de) 2000-02-21 2007-07-11 E-Plus Mobilfunk GmbH & Co. KG Verfahren zum festellen der authentizität der identität eines dienste-nutzers und vorrichtung zum durchführen des verfahrens
FI115355B (fi) * 2000-06-22 2005-04-15 Icl Invia Oyj Järjestely suojatun järjestelmän käyttäjän tunnistamiseen ja todentamiseen
DE10040644A1 (de) * 2000-08-14 2002-02-28 Arndt Jablonowski Verfahren zur Übertragung von Datensätzen an Datenverarbeitungsanlagen
US6697858B1 (en) * 2000-08-14 2004-02-24 Telephony@Work Call center
JP3864300B2 (ja) * 2000-09-26 2006-12-27 株式会社ケンウッド 開錠方法
JP2002108827A (ja) 2000-10-03 2002-04-12 Ntt Docomo Inc コンテンツの提供方法、提供側設備、及び使用側設備
AU2002210969A1 (en) * 2000-10-31 2002-05-15 Arkray, Inc. User authentication method in network
DE10058249A1 (de) * 2000-11-23 2002-06-13 Anthros Gmbh & Co Kg Verfahren zur gesicherten elektronischen Übermittlung von Transaktionsdaten
JP2002198956A (ja) * 2000-12-27 2002-07-12 Toshiba Corp 通信装置、及びその認証方法
ITRM20010002A1 (it) * 2001-01-04 2002-07-04 Gm & P S R L Supporto di memoria per programma di gestione di un procedimento per eseguire in sicurezza operazioni commerciali bancarie in una rete telem
GB2370888B (en) * 2001-01-09 2003-03-19 Searchspace Ltd A method and system for combating robots and rogues
DE10102779A1 (de) * 2001-01-22 2002-08-29 Utimaco Safeware Ag Verfahren zur Autorisierung in Datenübertragungssystemen
WO2003003295A1 (en) 2001-06-28 2003-01-09 Trek 2000 International Ltd. A portable device having biometrics-based authentication capabilities
DE60122019T2 (de) 2001-06-28 2007-02-22 Trek 2000 International Ltd. Verfahren und einrichtungen zum datentransfer
DE10138381B4 (de) * 2001-08-13 2005-04-07 Orga Systems Enabling Services Gmbh Computersystem und Verfahren zur Datenzugriffskontrolle
GB2379040A (en) * 2001-08-22 2003-02-26 Int Computers Ltd Controlling user access to a remote service by sending a one-time password to a portable device after normal login
US7716330B2 (en) * 2001-10-19 2010-05-11 Global Velocity, Inc. System and method for controlling transmission of data packets over an information network
CA2464622C (en) 2001-10-24 2014-08-12 Siemens Aktiengesellschaft Method and device for authenticated access of a station to local data networks, in particular radio data networks
GB2382281B (en) * 2001-11-06 2005-03-30 British Telecomm Authentication of network users
US7962644B1 (en) 2002-03-18 2011-06-14 Oracle International Corporation Systems and methods for handling a plurality of communications
US6880079B2 (en) 2002-04-25 2005-04-12 Vasco Data Security, Inc. Methods and systems for secure transmission of information using a mobile device
KR100626895B1 (ko) 2002-05-13 2006-09-21 트렉 2000 인터네셔널 엘티디. 휴대용 데이타 저장 장치에 저장되는 데이타를 압축 및압축 해제하기 위한 시스템 및 장치
TW588243B (en) 2002-07-31 2004-05-21 Trek 2000 Int Ltd System and method for authentication
US7711844B2 (en) 2002-08-15 2010-05-04 Washington University Of St. Louis TCP-splitter: reliable packet monitoring methods and apparatus for high speed networks
EP1408391A1 (de) * 2002-10-11 2004-04-14 Telefonaktiebolaget LM Ericsson (publ) Verfahren zum Zuordnen von Authentifizierungsinformation eines vertrauten Gerätes zur Identifizierung eines unvertrauten Gerätes
CA2422334C (en) * 2003-03-17 2009-06-09 British Telecommunications Public Limited Company Authentication of network users
GB2400193A (en) * 2003-03-29 2004-10-06 Hewlett Packard Development Co Method of authenticating a log-on request
US7602785B2 (en) 2004-02-09 2009-10-13 Washington University Method and system for performing longest prefix matching for network address lookup using bloom filters
US7603700B2 (en) 2004-08-31 2009-10-13 Aol Llc Authenticating a client using linked authentication credentials
DE102004051403B4 (de) * 2004-10-21 2007-03-08 Siemens Ag Mobiles Kommunikationsendgerät mit Authentifizierungseinrichtung, ein solches Gerät enthaltende Netzwerkanordnung und Authentifizierungsverfahren
US20060153346A1 (en) 2005-01-11 2006-07-13 Metro Enterprises, Inc. On-line authentication registration system
US8885812B2 (en) 2005-05-17 2014-11-11 Oracle International Corporation Dynamic customer satisfaction routing
DE102005030325A1 (de) * 2005-06-29 2007-01-25 Wurm Gmbh & Co. Kg Legitimierungsverfahren
US8583466B2 (en) * 2005-08-09 2013-11-12 Oracle International Corporation System and method for routing workflow items based on workflow templates in a call center
EP1802155A1 (de) * 2005-12-21 2007-06-27 Cronto Limited System und Verfahren zur dynamischen mehrfaktorfähigen Authentifizierung
US8165137B2 (en) * 2006-02-27 2012-04-24 Alcatel Lucent Fast database migration
US7920851B2 (en) * 2006-05-25 2011-04-05 Celltrust Corporation Secure mobile information management system and method
US8965416B2 (en) * 2006-05-25 2015-02-24 Celltrust Corporation Distribution of lottery tickets through mobile devices
US9572033B2 (en) 2006-05-25 2017-02-14 Celltrust Corporation Systems and methods for encrypted mobile voice communications
US8280359B2 (en) * 2006-05-25 2012-10-02 Celltrust Corporation Methods of authorizing actions
US8260274B2 (en) * 2006-05-25 2012-09-04 Celltrust Corporation Extraction of information from e-mails and delivery to mobile phones, system and method
US8225380B2 (en) * 2006-05-25 2012-07-17 Celltrust Corporation Methods to authenticate access and alarm as to proximity to location
US9848081B2 (en) 2006-05-25 2017-12-19 Celltrust Corporation Dissemination of real estate information through text messaging
DE102006025763A1 (de) * 2006-05-31 2007-12-06 Siemens Ag Verfahren zur Identifikation eines Patienten zum späteren Zugriff auf eine elektronische Patientenakte des Patienten mittels einer Kommunikationseinrichtung einer anfragenden Person
US8099077B2 (en) * 2006-07-11 2012-01-17 Ultra Proizvodnja Elektronskih Naprav D.O.O. Customer identification and authentication procedure for online internet payments using mobile phone
US7962748B2 (en) * 2006-10-04 2011-06-14 The Boeing Company Methods and systems for securing a computer network
US20080214111A1 (en) * 2007-03-02 2008-09-04 Celltrust Corporation Lost phone alarm system and method
EP2056565A1 (de) * 2007-10-29 2009-05-06 Axalto Authentifizierungsverfahren eines Benutzers, der von einem Computer auf einen Fernserver zugreift
TR200800255A1 (tr) * 2008-01-15 2009-08-21 Vodafone Teknoloji̇ Hi̇zmetleri̇ Anoni̇m Şi̇rketi̇ Mobil onay sistem ve yöntemi.
SG189710A1 (en) * 2008-03-28 2013-05-31 Celltrust Corp Systems and methods for secure short messaging service and multimedia messaging service
AU2010335972B2 (en) * 2009-12-21 2013-10-03 13079023 Canada Association Systems and methods for accessing and controlling media stored remotely
WO2011106716A1 (en) 2010-02-25 2011-09-01 Secureauth Corporation Security device provisioning
DE102010041286A1 (de) * 2010-09-23 2012-03-29 Bundesdruckerei Gmbh Verfahren und Server zum Bereitstellen von Nutzerinformationen
WO2012041781A1 (en) * 2010-09-30 2012-04-05 Moqom Limited Fraud prevention system and method using unstructured supplementary service data (ussd)
KR101314514B1 (ko) * 2011-09-29 2013-11-21 이청종 보안이 강화된 클라우드 시스템 및 그에 의한 보안 관리 방법
US8635684B2 (en) 2011-10-06 2014-01-21 Sap Ag Computer-implemented method for mobile authentication and corresponding computer system
KR101304617B1 (ko) * 2011-10-07 2013-09-05 엘에스산전 주식회사 댁내 에너지 표시장치의 사용자 인증방법
US8973109B2 (en) 2011-11-29 2015-03-03 Telesign Corporation Dual code authentication system
US9680763B2 (en) 2012-02-14 2017-06-13 Airwatch, Llc Controlling distribution of resources in a network
US10404615B2 (en) 2012-02-14 2019-09-03 Airwatch, Llc Controlling distribution of resources on a network
US9166967B2 (en) 2012-09-26 2015-10-20 Telesign Corporation Comprehensive authentication and identity system and method
DE102013001733A1 (de) * 2013-01-31 2014-07-31 Giesecke & Devrient Gmbh Verfahren zum Zugriff auf einen Dienst eines Servers über eine Applikation eines Endgeräts
US10789594B2 (en) 2013-01-31 2020-09-29 Moshir Vantures, Limited, LLC Method and system to intelligently assess and mitigate security risks on a mobile device
US20140280955A1 (en) 2013-03-14 2014-09-18 Sky Socket, Llc Controlling Electronically Communicated Resources
US9275211B2 (en) 2013-03-15 2016-03-01 Telesign Corporation System and method for utilizing behavioral characteristics in authentication and fraud prevention
US9219741B2 (en) 2013-05-02 2015-12-22 Airwatch, Llc Time-based configuration policy toggling
US9100392B2 (en) * 2013-09-20 2015-08-04 Verizon Patent And Licensing Inc. Method and apparatus for providing user authentication and identification based on a one-time password
US9584964B2 (en) 2014-12-22 2017-02-28 Airwatch Llc Enforcement of proximity based policies
US9413754B2 (en) 2014-12-23 2016-08-09 Airwatch Llc Authenticator device facilitating file security
JP5944551B1 (ja) * 2015-04-03 2016-07-05 株式会社三菱東京Ufj銀行 サーバ
CN106130978A (zh) * 2016-06-27 2016-11-16 吕梁学院 一种保护计算机网络安全的方法
US11290445B2 (en) * 2019-08-12 2022-03-29 Axos Bank Online authentication systems and methods

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1992004671A1 (en) * 1990-08-29 1992-03-19 Hughes Aircraft Company Distributed user authentication protocol
EP0602319A1 (de) * 1992-12-14 1994-06-22 DeTeMobil Deutsche Telekom MobilNet GmbH Verfahren zur Sicherung eines Mobilfunkgerätes gegen unerlaubte Benutzung

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1995019593A1 (en) * 1994-01-14 1995-07-20 Michael Jeremy Kew A computer security system
US5668876A (en) * 1994-06-24 1997-09-16 Telefonaktiebolaget Lm Ericsson User authentication method and apparatus
US5537474A (en) * 1994-07-29 1996-07-16 Motorola, Inc. Method and apparatus for authentication in a communication system
US5907597A (en) * 1994-08-05 1999-05-25 Smart Tone Authentication, Inc. Method and system for the secure communication of data
US5774525A (en) * 1995-01-23 1998-06-30 International Business Machines Corporation Method and apparatus utilizing dynamic questioning to provide secure access control
FI101031B (fi) * 1995-05-12 1998-03-31 Nokia Telecommunications Oy Tilaajalaitteen käyttöoikeuden tarkistus
FI112895B (fi) * 1996-02-23 2004-01-30 Nokia Corp Menetelmä ainakin yhden käyttäjäkohtaisen tunnistetiedon hankkimiseksi
US5991617A (en) * 1996-03-29 1999-11-23 Authentix Network, Inc. Method for preventing cellular telephone fraud
JPH09271066A (ja) * 1996-03-29 1997-10-14 Sony Corp 通信方法,通信システム,通信端末及び通信管理装置
US5745559A (en) * 1996-07-24 1998-04-28 Weir; Earline Madsen Restricted access telephones for logical telephone networks
DE19722424C5 (de) * 1997-05-28 2006-09-14 Telefonaktiebolaget Lm Ericsson (Publ) Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System
NL1007409C1 (nl) * 1997-10-31 1997-11-18 Nederland Ptt Authenticatiesysteem.

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1992004671A1 (en) * 1990-08-29 1992-03-19 Hughes Aircraft Company Distributed user authentication protocol
EP0602319A1 (de) * 1992-12-14 1994-06-22 DeTeMobil Deutsche Telekom MobilNet GmbH Verfahren zur Sicherung eines Mobilfunkgerätes gegen unerlaubte Benutzung

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Bildschirmtext-Beschreibung und Anwendungsmöglich- keiten, Deutsche Bundespost, 1977
Bildschirmtext-Beschreibung und Anwendungsmöglich-keiten, Deutsche Bundespost, 1977 *
SCHÄFER, Peter: "Homebanking mit Chipkarte", in: Funkschau 1/1991, S. 66-68 *

Also Published As

Publication number Publication date
DE19722424C1 (de) 1998-08-06
US6259909B1 (en) 2001-07-10
WO2000003316A1 (en) 2000-01-20

Similar Documents

Publication Publication Date Title
DE19722424C5 (de) Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System
DE60027971T2 (de) Einmalige Anmeldung in einem Netzwerksystem, das mehrere gesondert steuerbare Ressourcen mit begrenztem Zugang enthält
DE69904570T3 (de) Verfahren, anordnung und einrichtung zur authentifizierung durch ein kommunikationsnetz
DE69829642T2 (de) Authentifizierungssystem mit chipkarte
DE69127965T2 (de) Verteiltes benutzerauthentisierungsprotokoll
DE60114986T2 (de) Verfahren zur herausgabe einer elektronischen identität
DE68918855T2 (de) Hierarchisches Schlüsselverteilungssystem.
EP2443853B1 (de) Verfahren zum einbuchen eines mobilfunkgeräts in ein mobilfunknetz
EP2338255B1 (de) Verfahren, computerprogrammprodukt und system zur authentifizierung eines benutzers eines telekommunikationsnetzwerkes
EP1264490B1 (de) Verfahren zum festellen der authentizität der identität eines dienste-nutzers und vorrichtung zum durchführen des verfahrens
EP2174281A2 (de) Virtuelle prepaid- oder kreditkarte und verfahren und system zur bereitstellung einer solchen und zum elektronischen zahlungsverkehr
DE60034054T2 (de) Authentifizierung einer teilnehmerstation
DE69723882T2 (de) Verfahren und einrichtung zur sicherung der dienstleistungen welche über ein computernetz vom internet-typ angeboten werden
EP1792248A1 (de) Tragbares gerät zur freischaltung eines zugangs
DE102008042582A1 (de) Telekommunikationsverfahren, Computerprogrammprodukt und Computersystem
EP1525731B1 (de) Identifikation eines benutzers eines mobilterminals und generierung einer aktionsberechtigung
EP3319003A1 (de) Verfahren und system zur authentifizierung eines mobilen telekommunikationsendgeräts an einem dienst-computersystem und mobiles telekommunikationsendgerät
DE60115672T2 (de) Sicherheitsarchitektur der internet-protokoll telefonie
DE10296574T5 (de) Kryptographisches Signieren in kleinen Einrichtungen
DE10138381B4 (de) Computersystem und Verfahren zur Datenzugriffskontrolle
EP1163559B1 (de) Verfahren zur sicherung des zugangs zu einer datenverarbeitungseinrichtung und entsprechende vorrichtung
DE19818998B4 (de) Verfahren zum Schutz vor Angriffen auf den Authentifizierungsalgorithmus bzw. den Geheimschlüssel einer Chipkarte
DE102005003208B4 (de) Authentisierung eines Benutzers
EP1935202B1 (de) Entsperren von mobilfunkkarten
WO1998002991A1 (de) Verfahren zur schlüsselverteilung zwischen zwei einheiten in einer isdn/internet verbindung

Legal Events

Date Code Title Description
8100 Publication of the examined application without publication of unexamined application
D1 Grant (no unexamined application published) patent law 81
8363 Opposition against the patent
8366 Restricted maintained after opposition proceedings
8392 Publication of changed patent specification
R071 Expiry of right