PatentDe  


Dokumentenidentifikation DE602004005461T2 13.12.2007
EP-Veröffentlichungsnummer 0001650924
Titel Mobile Authentifizierung für den Netzwerkzugang
Anmelder Alcatel Lucent, Paris, FR
Erfinder Rupp, Stephan Dr., 74354 Besigheim, DE;
Jenisch, (BA), Markus Dipl.-Ing., 71336 Waiblingen, DE
Vertreter Rausch, Knecht, Brose, Müller, Villinger, Schmidt Patentassessoren, 70435 Stuttgart
DE-Aktenzeichen 602004005461
Vertragsstaaten AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HU, IE, IT, LI, LU, MC, NL, PL, PT, RO, SE, SI, SK, TR
Sprache des Dokument EN
EP-Anmeldetag 30.09.2004
EP-Aktenzeichen 042923409
EP-Offenlegungsdatum 26.04.2006
EP date of grant 21.03.2007
Veröffentlichungstag im Patentblatt 13.12.2007
IPC-Hauptklasse H04L 29/06(2006.01)A, F, I, 20060323, B, H, EP
IPC-Nebenklasse H04L 12/56(2006.01)A, L, I, 20060323, B, H, EP   

Beschreibung[de]
Gebiet der Erfindung

Die vorliegende Erfindung betrifft das Gebiet der Authentifizierung gegenüber Netzen, insbesondere ohne Beschränkung auf Netze, die auf dem Internet-Protokoll (IP) basieren.

Hintergrund und Stand der Technik

Die Arbeitsumgebung für Firmen, bei denen große Datenmengen anfallen, wird heutzutage von Computern, insbesondere von vernetzten Computern beherrscht. Diese Firmennetze bieten eine effiziente Kommunikationsplattform für die Mitarbeiter einer Firma oder anderer Institutionen, wie z.B. Universitäten. Sie ermöglichen es auf effektive Weise, IT-Dienste für eine definierte Gruppe von Personen, wie z.B. Angestellte einer Firma, bereitzustellen. Firmennetze bieten außerdem eine Basis für die Einrichtung eines Intranets, welches firmenspezifische Daten nur an die Computer liefert, die mit dem Firmennetz physikalisch verbunden sind. Damit verhindert ein Firmennetz auf wirksame Weise einen externen Zugriff auf vertrauliche firmenspezifische Daten oder firmenspezifische IT-Dienste, wie z.B. firmenspezifische Software. Folglich kann ein Angestellter einer Firma auf firmenspezifische Daten und IT-Dienste nur dann zugreifen, wenn er einen Computer benutzt, der in das Firmennetz physikalisch integriert ist.

Aufgrund der großen Ausdehnung des Internets sind Daten und IT-Dienste im Prinzip weltweit zugänglich. Darüber hinaus ist es aufgrund der zunehmenden Mobilität von Mitarbeitern sehr wünschenswert, Zugriff auf Firmennetze auch von solchen Computern aus zu ermöglichen, die sich an entfernten Orten befinden und ein Firmennetz über das Internet kontaktieren können. Auf diese Weise könnte ein Angestellter auf das Firmennetz oder Intranet von zu Hause aus oder während einer Geschäftsreise von einem Hotel aus zugreifen. Weltweiter Zugriff auf Firmennetze über das Internet ist im Prinzip realisierbar. Allerdings ist internetbasierte Kommunikation ziemlich unsicher und erfüllt insbesondere die strengen Sicherheitsanforderungen eines Firmennetzes nicht.

Hier bietet das Konzept eines virtuellen privaten Netzes (virtual private network – VPN) eine allgemeine Lösung. Ein VPN ist ein privates Kommunikationsnetz, das typischerweise innerhalb einer Firma oder von mehreren verschiedenen Firmen oder Organisationen verwendet wird, die über ein öffentliches Netz kommunizieren. VPN-Nachrichtenverkehr wird typischerweise über eine öffentliche Netzwerk-Infrastruktur, z.B. das Internet, unter Verwendung von genormten und somit möglicherweise nicht sicheren Kommunikationsprotokollen, wie z.B. IPv4, übertragen. Virtuelle private Netze verwenden kryptografische Tunnelling-Protokolle, um die erforderliche Vertraulichkeit, Absender-Authentifizierung und Nachrichtenintegrität zu gewährleisten, sodass die beabsichtigte Geheimhaltung erreicht wird. Werden solche Techniken richtig ausgewählt, implementiert und angewendet, dann können sie in der Tat eine sichere Kommunikation über nicht sichere Netze ermöglichen.

Heutzutage gibt es eine Vielzahl von Implementierungssystemen zum Einrichten von VPNs. Es gibt eine Vielzahl von unterschiedlichen VPN-Protokollen, z.B. IP Security (IPSEC) – ein zwingend vorgeschriebener Teil von IPv6-, das Point-to-Point Tunnelling Protocol (PPTP), Layer 2 Forwarding (L2F) und das Layer 2 Tunnelling Protocol (L2TP).

Für fast jedes VPN wird eine sichere Authentifizierung gefordert. Will zum Beispiel ein Angestellter einer Firma entweder von zu Hause oder während einer Geschäftsreise auf das Firmennetz zugreifen, dann kann er typischerweise einen tragbaren Computer und eine dedizierte Authentifizierungseinrichtung, z.B. ein Token, verwenden. Der mobile Computer ist typischerweise mit einer dedizierten Authentifizierungssoftware, wie z.B. einem VPN-Client, versehen. Um den mobilen Computer gegenüber einem Gateway des Firmennetzes zu authentifizieren, muss der Benutzer ein einmaliges Passwort in den mobilen Computer eingeben. Ein solches einmaliges oder vorübergehendes Passwort wird von dem Token erzeugt, das als Hardware realisiert ist und vom Benutzer mitgeführt wird. Bei Übergabe des Tokens an den Angestellten wird dieses typischerweise mit dem VPN-Gateway des Firmennetzes synchronisiert, um dem Angestellten das einmalige Passwort zur Verfügung zu stellen.

Dieses vorübergehende und/oder einmalige Passwort kann nach Ablauf einer vorgegebenen Zeitspanne einer Modifizierung unterliegen. Zum Beispiel ändert sich das von dem Token erzeugte Passwort einmal pro Minute und wird über eine kryptografische Funktion bestimmt. Typischerweise wird das einmalige Passwort auf dem Token grafisch angezeigt. Der Angestellte kann dann das einmalige Passwort mit seinem Benutzernamen eingeben, um sich gegenüber dem Firmennetz zu authentifizieren. Da die Kombination von Benutzername und einmaliges Passwort maximal eine Minute lang gültig ist, bietet das Authentifizierungssystem mit dem einmaligen Passwort einen hohen Grad an Sicherheit.

Token, die als Hardwareeinrichtungen für eine sichere Authentifizierung gegenüber Firmennetzen realisiert sind, sind zum Beispiel als RSA SecureID, die von SecurIntegration GmbH, 51107 Köln, Deutschland, vertrieben werden, s.a. www.securintegration.de, im Handel erhältlich.

Das vorstehend beschriebene Authentifizierungssystem, bei dem einmalige vorübergehende, auf Hardware-Token basierende Passwörter verwendet werden, bietet zwar einen hohen Grad an Sicherheit für den Aufbau von IP-basierten VPN-Verbindungen, doch es ist für den Angestellten oder Benutzer recht unvorteilhaft, ein solches mittels Hardware realisiertes Token mitzuführen. Insbesondere wenn ein Angestellter oder eine Privatperson Fernzugriff auf eine Vielzahl von verschiedenen Firmennetzen benötigt, ist für jedes dieser Netze ein dediziertes Hardware-Token erforderlich. Auch wenn z.B. eine Vielzahl von Angestellten denselben mobilen Computer für Geschäftsreisezwecke gemeinsam benutzt, kann das oben beschriebene Zugriffssystem recht unpraktisch sein, da für jeden Benutzer des mobilen Computers eine manuelle Konfiguration der in dem mobilen Computer installierten VPN-Client-Software erforderlich ist.

Dieser Nachteil wird noch deutlicher, wenn ein Benutzer mehrere mobile Recheneinrichtungen benutzt, wie z.B. einen Laptop-Computer und einen Personal Digital Assistant (PDA), die jeweils einen VPN-Client für einen individuellen Zugriff auf das Firmennetz aufweisen. Dann kann für jede mobile Recheneinrichtung ein einrichtungsspezifisches Hardware-Token erforderlich sein. Wenn eine Aktualisierung der VPN-Client-Software zur Verfügung steht, muss die entsprechende Aktualisierungsprozedur für jede der Recheneinrichtungen durchgeführt werden, die eine VPN-Client-Software aufweisen. Eine solche Aktualisierungsprozedur für eine Vielzahl von mobilen Recheneinrichtungen ist typischerweise recht umständlich und zeitintensiv.

Generell beschränken diese Aspekte sicherlich die vielfältige und universelle Verwendbarkeit des oben beschriebenen VPN-basierten sicheren Authentifizierungssystems.

Die Druckschrift US 2004/078571 A1 beschreibt ein Verfahren und ein System zur Authentifizierung bei einer Datenübertragung. Das System umfasst einen Client, der als Mobilgerät ausgelegt sein kann und eine Computereinheit enthält. Der Client sendet an einen mit dem Internet verbundenen Dienstserver eine Anforderung gemäß einem Benutzerbefehl. Im Zusammenhang mit einer ersten Authentifizierung wird eine weitere Anforderung an einen so genannten Ticket-granting Server TGS gesandt, der ebenfalls mit dem Internet verbunden ist und der den Client mittels eines Authentifizierungs-Datenelements erkennt und so eine Zugriffsberechtigung mit begrenzter Lebensdauer erzeugt. Der Client benutzt dann diese Zugriffsberechtigung, um auf den gewünschten Dienst zuzugreifen.

Aus der Druckschrift US 2003/061512 A1 ist ein Verfahren und ein System zur Authentifizierung eines Benutzers während eines Zugriffs auf den Computer eines internetbasierten Dienstanbieters bekannt. Eine Anzahl von Clients, z.B. Mobilgeräte und/oder stationäre Computer, kann mit einem Netz verbunden werden. Ein Benutzer, der mittels seiner Teilnehmereinrichtung, d.h. eines bestimmten Clients, einen Dienst anfordert, wird zunächst aufgefordert, Identifizierungsdaten anzugeben, die zur Erzeugung eines Token verwendet werden. Das Token wird zusammen mit einer modifizierten Dienstanforderung zum Benutzer zurückgesandt. Der Benutzer-Client leitet die modifizierte Anforderung und das Token automatisch an einen jeweiligen Dienstanbieter weiter, der für eine üblicherweise begrenzte Zeit einen Zugriff des Benutzers erlaubt.

Die Druckschrift US 6,421,768 B1 beschreibt ein Verfahren zum Verbinden des Computers eines Benutzers über einen ersten Computer mit einem zweiten Computer, ohne dass eine Authentifizierung durch den zweiten Computer erforderlich ist, wenn der Benutzer bereits durch den ersten Computer authentifiziert wurde. Dazu überträgt der Benutzer eine Anforderung und zugehörige Authentifizierungsinformationen von seinem Computer zu dem ersten Computer, der ein Cookie zurücksendet, welches einen digitalen Beleg mit begrenzter Lebensdauer enthält. Anschließend überträgt der Computer des Benutzers mindestens den Beleg zum zweiten Computer und erlangt so Zugriff auf den zweiten Computer, der an das Internet angeschlossen sein kann.

Diese Lösungsansätze des Standes der Technik haben insbesondere den gemeinsamen Nachteil, dass die Flexibilität des Benutzerzugriffs auf das Netz begrenzt ist, da ein Zugriff nur mittels der Recheneinrichtung erlangt werden kann, die mit dem Netz zu verbinden ist.

Die vorliegende Erfindung will deshalb ein sicheres Authentifizierungssystem angeben und realisieren, bei dem es nicht erforderlich ist, ein netzspezifisches Hardware-Teil, wie z.B. ein Token, mitzuführen. Weiterhin ist es Aufgabe der vorliegenden Erfindung, die Nachteile des oben erwähnten Standes der Technik zu vermeiden und somit ein Verfahren der oben erwähnten Art anzugeben, das einen höchst flexiblen Zugriff einer Vielzahl von Benutzern auf eine Vielzahl von Netzen erlaubt, z.B. dadurch, dass es einen gegenseitigen Austausch jeder Recheneinrichtung zwischen einer Vielzahl von Benutzern oder Angestellten einer Firma ermöglicht.

Zusammenfassung der Erfindung

Die vorliegende Erfindung gibt ein Verfahren zum Authentifizieren eines Benutzers gegenüber einem Netz an. Der Benutzer bedient sich mindestens einer Recheneinrichtung. Die IP-Verbindung zwischen dem Netz und der mindestens einen Recheneinrichtung wird durch eine mobile Telekommunikationseinrichtung bereitgestellt. Bei dem erfindungsgemäßen Verfahren zur Authentifizierung des Benutzers gegenüber dem Netz wird ein vorübergehendes Passwort von einem Dienstanbieter angefordert, indem eine Zugriffsanforderung zum Dienstanbieter übertragen wird. Diese Zugriffsanforderung wird mittels der mobilen Telekommunikationseinrichtung übertragen. Nachdem die Zugriffsanforderung beim Dienstanbieter eingegangen ist, wird sie anhand einer Benutzerauthentifizierungs-Datenbank überprüft. Ist der Benutzer berechtigt, auf das Netz zuzugreifen, dann wird die entsprechende Zugriffsanforderung durch den Dienstanbieter bestätigt ("asserted") und daraufhin das vorübergehende Passwort erzeugt.

Im Gegensatz zu der Lösung nach dem Stand der Technik, wo der Benutzer des Firmennetzes ein netzspezifisches Hardware-Token mitführen muss, sieht die Erfindung eine Übermittlung des einmaligen Passworts an den Benutzer unter Verwendung einer mobilen Telekommunikationseinrichtung, wie z.B. eines Mobiltelefons, vor. Der Benutzer, der sich gegenüber einem Netz authentifizieren will, überträgt mittels seines Mobiltelefons eine dedizierte Zugriffsanforderung an einen Dienstanbieter. Der Dienstanbieter stellt dann die Funktionalität des vorherigen Hardware-Tokens bereit und erzeugt das netzspezifische einmalige Passwort für den Benutzer. Typischerweise erfolgt die Erzeugung des netzspezifischen einmaligen Passworts durch den Dienstanbieter nur in Abhängigkeit von einer Bestätigung der Identität des Benutzers und der Zugriffsberechtigung des Benutzers auf das Netz.

Das erfindungsgemäße Verfahren kann in vorhandenen Mobilkommunikationsnetzen durch Erweiterung der Leistungsfähigkeiten eines Telekommunikationsanbieters realisiert werden. Deshalb muss der Telekommunikationsanbieter eine Benutzerauthentifizierungs-Datenbank verwalten, die Informationen darüber bereitstellt, ob ein bestimmter Benutzer berechtigt ist, auf ein einzelnes Netz zuzugreifen. Darüber hinaus kann die Benutzerauthentifizierungs-Datenbank verschiedene Authentifizierungsstufen und verschiedene Stufen von Zugriffsrechten eines Benutzers eines Netzes angeben.

Die Überprüfung der Zugriffsanforderung und die Erzeugung des vorübergehenden Passworts müssen nicht notwendigerweise durch den Telekommunikationsanbieter erfolgen. Auch kann der erfindungsgemäße Authentifizierungsdienst durch jeden anderen Anbieter bereitgestellt werden. Es muss nur sichergestellt sein, dass der angeforderte Dienst, d.h. die Bereitstellung eines vorübergehenden Passworts für den Benutzer, über ein Mobiltelefon zugänglich ist.

Auf diese Weise wird ein Benutzer in die Lage versetzt, sich z.B. gegenüber einem Firmennetz zu authentifizieren und eine VPN-Verbindung zu diesem aufzubauen, ohne ein netzspezifisches Hardware-Token mitzuführen. Somit ist die gesamte Funktionalität eines Hardware-Tokens, wie es aus dem Stand der Technik bekannt ist, in effektiver Weise durch Einrichtung eines entsprechenden Dienstes mittels eines Dienstanbieters ersetzt, der über ein Mobiltelefon des Benutzers zugänglich ist. In vorteilhafter Weise muss der Benutzer keine zusätzliche Hardware-Einrichtung mehr mitführen, die nur dazu dient, ein vorübergehendes Passwort für eine Authentifizierung gegenüber einem VPN-Netz bereitzustellen. Somit kann sich ein Benutzer durch Verwendung seiner mobilen Telekommunikationseinrichtung auch gegenüber einer Vielzahl von unterschiedlichen Netzen authentifizieren.

Darüber hinaus ermöglicht die mobile Telekommunikationseinrichtung auch einen physikalischen Zugang zu dem Firmennetz. Somit ergibt sich eine doppelte Funktionalität der mobilen Telekommunikationseinrichtung. Erstens ermöglicht sie eine Kommunikation mit einem Dienstanbieter, um das benötigte Passwort zu erhalten – eine Funktionalität, die ein Hardware-Token in effektiver Weise ersetzt. Zweitens stellt sie einen physikalischen Zugang zu einem Netz sowie die IP-basierte Verbindung zwischen der mobilen Recheneinrichtung und dem Netz bereit.

Wenn der Benutzer die Zugriffsanforderung zum Dienstanbieter überträgt, gibt er auch an, auf welches der Vielzahl von Netzen er zuzugreifen wünscht. Deshalb enthält die Zugriffsanforderung zumindest einen Hinweis auf eine Benutzerkennung und ein Netz, auf das der Benutzer zugreifen will. Abhängig von den durch die Zugriffsanforderungen gegebenen Parametern kann der Dienstanbieter nun das entsprechende einmalige Passwort erzeugen. Auf diese Wiese wird die Funktionalität einer Vielzahl von Hardware-Token mit Hilfe des Dienstanbieters zusammengeführt ("merged").

Nach einem bevorzugten Ausführungsbeispiel der Erfindung umfasst das Verfahren weiterhin den Aufbau der IP-basierten Verbindung zwischen der mindestens einen Recheneinrichtung und dem Netz mittels der mobilen Telekommunikationseinrichtung. Die mobile Telekommunikationseinrichtung ist weiterhin so ausgelegt, dass sie die IP-basierte Verbindung abhängig vom Empfang des vorübergehenden Passworts vom Dienstanbieter aufbaut. Falls kein vorübergehendes Passwort vom Dienstanbieter zur mobilen Telekommunikationseinrichtung übertragen wird, wird der Zugriff auf das Netz sowie der Aufbau der IP-basierten Verbindung zwischen dem Netz und der mindestens einen Recheneinrichtung verweigert.

Die mobile Telekommunikationseinrichtung ist deshalb außerdem so ausgelegt, dass sie mit der mindestens einen Recheneinrichtung des Benutzers mittels einer geeigneten Kommunikationsschnittstelle kommuniziert, und zwar entweder über eine steckbare Kabelverbindung oder mittels einer drahtlosen Datenübertragung, die z.B. auf Hochfrequenz- oder Infrarot-Übertragungsprotokollen, wie z.B. Bluetooth® oder IrDA® (weitere Einzelheiten unter www.bluetooth.org oder www.irda.org), basieren kann. Weiterhin ist die mobile Telekommunikationseinrichtung so ausgelegt, dass sie eine Nachrichtenverbindung zwischen dem Netz und einer Vielzahl unterschiedlicher Recheneinrichtungen bereitstellt, auch im Simultanbetrieb. So kann durch vollständige Realisierung des sicheren Zugriffsmechanismus in der mobilen Telekommunikationseinrichtung unabhängig von der eigentlichen Recheneinrichtung ein sicherer Zugriff auf das Netz gewährleistet werden.

Nach Erzeugung des vorübergehenden Passworts durch den Dienstanbieter wird das Passwort vom Dienstanbieter zur mobilen Telekommunikationseinrichtung übertragen. Die mobile Telekommunikationseinrichtung kann wiederum so ausgelegt sein, dass sie die IP-Verbindung zum Netz autonom aufbaut und den Benutzer gegenüber dem Netz authentifiziert. Der Aufbau der IP-Verbindung sowie die Authentifizierung in Abhängigkeit vom Empfangs des vorübergehenden Passworts können unter Mitwirkung des Benutzers erfolgen. Deshalb ist es möglich, dass der Benutzer nach Empfang des vorübergehenden Passworts die Ausführung der Authentifizierungsprozedur bestätigen muss. Durch Integration von IP-Verbindungsaufbau und Authentifizierung in eine einzige benutzerspezifische oder personalisierte Einrichtung kann jedoch eine Authentifizierung gegenüber einem Firmennetz allein mittels der personalisierten mobilen Telekommunikationseinrichtung vollständig automatisiert werden.

Nach einem weiteren bevorzugten Ausführungsbeispiel der Erfindung umfasst die Anforderung des vorübergehenden Passworts vom Dienstanbieter weiterhin eine Authentifizierung des Benutzers gegenüber dem Dienstanbieter. Ist der Dienstanbieter zum Beispiel ein Mobilkommunikationsanbieter, dann muss der Benutzer für einen Zugriff auf Dienste des Mobilkommunikationsanbieters eine geeignete Karte, wie z.B. eine persönliche Berechtigungskarte (subscriber identity module – SIM) in Kombination mit einer entsprechenden persönlichen Identifikationsnummer (personal identification number – PIN), verwenden. Nachdem der Benutzer berechtigt ist, auf die Dienste des Telekommunikationsanbieters zuzugreifen, kann die Anforderung des vorübergehenden Passworts für eine Authentifizierung gegenüber dem VPN-Netz einen zusätzlichen Authentifizierungsschritt erfordern, der durch Eingabe einer zusätzlichen PIN implementiert werden kann. Auf diese Weise wird ein effektiver zusätzlicher Schutzmechanismus für den Empfang des vorübergehenden Passworts implementiert.

Bei Hardware-Token, die aus dem Stand der Technik bekannt sind, kann die Eingabe einer PIN erforderlich sein, um ein einmaliges Passwort zu erhalten. Eine solche PIN-Anforderung, welche die Erzeugung des vorübergehenden Passworts aktiviert, kann im erfindungsgemäßen Verfahren auf analoge Weise implementiert werden. Daher muss die zum Dienstanbieter übertragene Zugriffsanforderung weiter eine entsprechende PIN umfassen, die dazu dient, den Benutzer des Mobilgeräts für den Empfang des vorübergehenden Passworts zu authentifizieren.

Dieses einen Missbrauch der das vorübergehende Passwort erzeugenden Funktionalität des Dienstanbieters verhindernde Authentifizierungsverfahren wird typischerweise auf dem Zugriffssystem des Dienstanbieters realisiert. Dieses Zugriffssystem des Dienstanbieters besteht typischerweise aus einer Kombination von SIM-Karte und SIM-Karte-spezifischer PIN. So muss der Benutzer, um das vorübergehende einmalige Passwort vom Dienstanbieter zu empfangen, eine erste PIN in die mobile Telekommunikationseinrichtung eingeben, um auf den Dienstanbieter zuzugreifen. Dann kann der Dienstanbieter für den Empfang des vorübergehenden Passworts eine zweite PIN für die Berechtigung des Benutzers in Bezug auf das VPN-Netz verlangen. Vorzugsweise sind diese erste und die zweite PIN als statische Passworte implementiert, die vom Benutzer beliebig konfiguriert werden können.

Nach einem weiteren bevorzugten Ausführungsbeispiel der Erfindung umfasst die zum Dienstanbieter übertragene Zugriffsanforderung außerdem zumindest eine Netzkennung und eine Kennung der mobilen Telekommunikationseinrichtung. Die Kennung der mobilen Telekommunikationseinrichtung gibt die Identität des Benutzers an. Im Rahmen einer mobilen Telekommunikation wird jedem Kommunikationspartner eine individuelle Nummer zugeordnet, wie z.B. eine Nummer des Mobiltelefons. Mittels dieser Mobiltelefonnummer kann der Benutzer des jeweiligen Mobiltelefons identifiziert werden. Eine Zuordnung zwischen einem Benutzer und einer Telefonnummer wird typischerweise mittels einer Kennung der SIM-Karte des Mobiltelefons realisiert. Auf diese Weise wird die Benutzeridentität durch Übertragung der Zugriffsanforderung zum Dienstanbieter inhärent gelöst.

Da die Zugriffsanforderung auch eine Kennung des Netzes angibt, erhält der Dienstanbieter genügend Informationen für die Erzeugung des vorübergehenden Passworts. Die Benutzerberechtigungs-Datenbank, die vom Dienstanbieter verwaltet wird, liefert die erforderliche Information, ob ein bestimmter Benutzer berechtigt ist, auf ein einzelnes Netz zuzugreifen. Somit kann die Zugriffsanforderung anhand der Benutzerauthentifizierungs-Datenbank ausreichend überprüft werden. Die Benutzerauthentifizierungs-Datenbank ermöglicht es also in effektiver Weise, eine Zugriffsanforderung zu bestätigen oder abzulehnen und so die Erzeugung eines vorübergehenden Passworts und dessen Übertragung zum Benutzer freizugeben oder zu sperren.

Nach einem weiteren bevorzugten Ausführungsbeispiel der Erfindung kann das vorübergehende Passwort zwischen einem Authentifizierungsmodul und einem Kommunikationsmodul der mobilen Telekommunikationseinrichtung übertragen werden. Somit kann die doppelte Funktionalität der mobilen Telekommunikationseinrichtung mittels zweiter getrennter Module der Telekommunikationseinrichtung realisiert werden. Typischerweise ermöglicht das Authentifizierungsmodul die Anforderung und den Empfang des vorübergehenden Passworts vom Dienstanbieter, während das Kommunikationsmodul geeignet ist, die IP-Verbindung zum Netz aufzubauen. Diese Aufteilung in zwei getrennte Module ermöglicht eine zusätzliche Zugriffskontrolle, wenn die Übertragung des vorübergehenden Passworts vom Authentifizierungsmodul zum Kommunikationsmodul eine Eingabeaufforderung für den Benutzer erfordert. Somit kann eine unbeabsichtigte Berechtigungszuweisung und ein unbeabsichtigter Verbindungsaufbau wirkungsvoll verhindert werden.

Alternativ kann dieser Schutzmechanismus vom Benutzer abgeschaltet werden. In diesem Fall kann das vorübergehende Passwort nach Empfang vom Dienstanbieter zwischen dem Authentifizierungsmodul und dem Kommunikationsmodul autonom übertragen werden. Auf diese Weise kann der Aufbau der IP-Verbindung zwischen einem Firmennetz und einer mindestens ersten mobilen Telekommunikationseinrichtung ohne jede Mitwirkung des Benutzers erfolgen. Der Benutzer muss eventuell lediglich die Authentifizierungsprozedur aufrufen, indem er eine Anforderungsfunktion für ein einmaliges Passwort an seiner mobilen Telekommunikationseinrichtung auswählt und die erste und/oder die zweite PIN eingibt.

Nach einem weiteren bevorzugten Ausführungsbeispiel der Erfindung ist das Netz als IN-basiertes virtuelles privates Netz (VPN) realisiert. Das VPN-Netz umfasst einen VPN-Gateway, und die mobile Telekommunikationseinrichtung umfasst einen VPN-Client. Weiterhin kann die mindestens eine Recheneinrichtung als jede beliebige Art von Rechenreinrichtung realisiert sein, wie z.B. als bei einem Angestellten zu Hause fest installierter Arbeitsplatzrechner, als mobiler Laptop-Computer für weltweiten Zugriff auf das Firmennetz oder als Personal Digital Assistant (PDA).

Auf diese Weise ist die gesamte Funktionalität des sicheren Zugriffssystems in der mobilen Telekommunikationseinrichtung implementiert, die somit für eine Vielzahl verschiedener Recheneinrichtungen einen sicheren VPN-basierten Zugriff auf ein Firmennetz ermöglicht. Im Prinzip benötigt keine der Recheneinrichtungen einen netz- oder recheneinrichtungsspezifischen VPN-Client. Somit ist das gesamte sichere Zugriffssystem in einer persönlichen Einrichtung, wie z.B. in einem Mobiltelefon, implementiert.

Damit kann ein Benutzer – unabhängig von einer bestimmten mobilen oder fest installierten Recheneinrichtung – auf ein virtuelles privates Netz allein durch Verwendung seiner personalisierten mobilen Telekommunikationseinrichtung zugreifen. Folglich kann sogar dieselbe Recheneinrichtung von verschiedenen Benutzern gemeinsam genutzt werden, wobei jeder von diesen über seine eigene mobile Telekommunikationseinrichtung einen personalisierten, sicheren Zugriff auf das VPN hat. Damit ist eine Installierung von berechtigungsbezogener Software auf einer Recheneinrichtung, wie z.B. einem VPN-Client, nicht mehr erforderlich, wodurch die Software-Pflege für die Recheneinrichtungen reduziert werden kann. Dies ist besonders vorteilhaft, wenn zum Beispiel ein Angestellter mehrere Recheneinrichtungen nutzt, von denen jede einen Verbindungsaufbau zum und eine Autorisierung gegenüber einem VPN erfordert. In diesem Fall muss eine verfügbare Software-Aktualisierung eines VPN-Clients lediglich einmal auf der mobilen Telekommunikationseinrichtung des Angestellten aktualisiert werden und nicht mehrmals für jede der Vielzahl von Recheneinrichtungen.

Gemäß einer Weiterbildung der Erfindung ist die Funktionalität der Recheneinrichtung und der mobilen Telekommunikationseinrichtung in einer einzigen multifunktionalen Einrichtung, wie z.B. Mobiltelefonen mit integrierten Recheneinrichtungen, die Web-Browsing, E-Mail-Dienst, Textverarbeitungsanwendungen und dergleichen ermöglichen, integriert und zusammengeführt.

Nach einem anderen Aspekt gibt die Erfindung eine mobile Telekommunikationseinrichtung zur Authentifizierung eines Benutzers gegenüber einem Netz mittels eines vorübergehenden Passworts an. Der Benutzer benötigt das vorübergehende Passwort, um sich gegenüber dem Netz zu authentifizieren. Die mobile Telekommunikationseinrichtung umfasst Mittel zum Übertragen einer Zugriffsanforderung zu einem Dienstanbieter, wobei das vorübergehende Passwort vom Dienstanbieter in Abhängigkeit von einer Bestätigung der Zugriffsanforderung erzeugt wird. Weiterhin umfasst die erfindungsgemäße mobile Telekommunikationseinrichtung Mittel zum Aufbau der IP-basierten Verbindung zwischen mindestens einer Recheneinrichtung und dem Netz. Die Mittel zum Aufbau der IP-basierten Verbindung sind so ausgelegt, dass sie die Verbindung abhängig vom Empfang des vorübergehenden Passworts vom Dienstanbieter aufbauen.

Die mobile Telekommunikationseinrichtung stellt eine doppelte Funktionalität bereit. Erstens ermöglicht sie die Absetzung einer Zugriffsanforderung an den Dienstanbieter und, im Falle einer Bestätigung der Zugriffsanforderung, den Empfang eines entsprechenden vorübergehenden Passworts. Zweitens ermöglicht die mobile Telekommunikationseinrichtung den Aufbau einer sicheren IP-Verbindung zwischen mindestens einer Recheneinrichtung und dem Netz unter Verwendung des empfangenen vorübergehenden Passworts. Somit kann die mobile Telekommunikationseinrichtung den Benutzer gegenüber dem Netz autonom authentifizieren, indem sie das empfangene vorübergehende oder einmalige Passwort an das Netz sendet. Auf diese Weise wird ein sicheres Zugriffssystem ausschließlich durch die erfindungsgemäße mobile Telekommunikationseinrichtung bereitgestellt.

Ein denkbares, besonders kostengünstiges Ausführungsbeispiel der mobilen Telekommunikationseinrichtung kann durch Verwendung eines im Handel erhältlichen Mobiltelefons realisiert werden, das eine programmierbare Funktionalität und geeignete Datenübertragungskapazitäten bereitstellt. So kann eine spezifische Anwendersoftware auf dem vorhandenen Mobiltelefon installiert werden, die es erlaubt, einen dedizierten Menüeintrag auf dem Mobiltelefon auszuwählen, der geeignet ist, die Zugriffsanforderung zum Dienstanbieter zu übertragen. Auf diese Weise kann das erfindungsgemäße Authentifizierungsverfahren vom Standpunkt des Benutzers aus universell realisiert werden, indem eine geeignete Anwendersoftware auf seinem programmierbaren Mobiltelefon installiert wird. Solche Anwendersoftware kann in Form von Java-Applikationen oder Java-Applets bereitgestellt werden, die von dem Telekommunikations- oder Dienstanbieter unterstützt werden können. Durch dieses Merkmal ist das erfindungsgemäße Authentifizierungssystem für einen großen Benutzerbereich universell anwendbar.

Darüber hinaus muss die mobile Kommunikationseinrichtung eine Kommunikationsschnittstelle bereitstellen, die es ermöglicht, Daten zwischen der mindestens einen Recheneinrichtung und dem Netz zu übertragen. Deshalb kann die mobile Telekommunikationseinrichtung mit einer geeigneten Kommunikationsschnittstelle versehen sein, entweder in der Ausführung einer steckbaren Kabelschnittstelle oder in einer drahtlosen Realisierung, die auf HF- oder Infrarot-Datenübertragung basieren kann.

Zusätzlich kann die mobile Telekommunikationseinrichtung auch zur Übertragung von Daten zu einer Vielzahl von Recheneinrichtungen dienen. Somit kann sie auch als Router wirken.

Nach einem weiteren Aspekt gibt die Erfindung einen Authentifizierungsserver zur Erzeugung eines vorübergehenden Passworts an, das ein Benutzer benötigt, um sich gegenüber einem Netz zu authentifizieren. Der erfindungsgemäße Authentifizierungsserver umfasst Mittel zum Verarbeiten einer Zugriffsanforderung vom Benutzer, Mittel zum Überprüfen der Zugriffsanforderung anhand einer Benutzerauthentifizierungs-Datenbank und Mittel zum Erzeugen des vorübergehenden Passworts. Hier wird die Zugriffsanforderung zum Authentifizierungsserver unter Verwendung einer mobilen Telekommunikationseinrichtung übertragen. Die Mittel zum Überprüfen der vom Authentifizierungsserver empfangenen Zugriffsanforderung sind geeignet, die Zugriffsanforderung zu bestätigen, wenn der Benutzer berechtigt ist, auf das Netz zuzugreifen.

Die Berechtigung des Benutzers oder mehrerer Benutzer gegenüber verschiedenen Netzen wird von der Benutzerauthentifizierungs-Datenbank bereitgestellt. Die Mittel zum Erzeugen des vorübergehenden Passworts sind insbesondere so ausgelegt, dass sie das vorübergehende Passwort nur in Falle einer Bestätigung der Zugriffsanforderung erzeugen. Somit sorgt der Authentifizierungsserver für eine Überprüfung und Bestätigung der Zugriffsanforderung und, wenn diese bestätigt wurde, für die Erzeugung des entsprechenden vorübergehenden Passworts. Typischerweise wird der Authentifizierungsserver von einem Telekommunikationsanbieter oder ähnlichen Anbieter so bereitgestellt und verwaltet, dass der Dienst des Authentifizierungsservers von einer mobilen Telekommunikationseinrichtung aus, wie z.B. von einem Mobiltelefon, zugänglich ist.

Nach einem weiteren bevorzugten Ausführungsbeispiel der Erfindung enthält die Benutzerauthentifizierungs-Datenbank des Authentifizierungsservers Authentifizierungsdaten mindestens eines Benutzers und mindestens eines Netzes. Die in der Benutzerauthentifizierungs-Datenbank gespeicherten Daten geben an, welcher der Benutzer berechtigt ist, auf eines der Netze zuzugreifen.

Nach einem weiteren Aspekt gibt die Erfindung ein Computerprogramm-Produkt für eine mobile Telekommunikationseinrichtung zur Authentifizierung eines Benutzers gegenüber einem Netz mittels eines vorübergehenden Passworts an. Das vorübergehende Passwort wird vom Netz für die Authentifizierung des Benutzers gegenüber dem Netz, typischerweise gegenüber dem VPN-Netz, benötigt. Das Computerprogramm-Produkt umfasst Programmmittel, die geeignet sind, eine Zugriffsanforderung des Benutzers zu verarbeiten, die Zugriffsanforderung zum Dienstanbieter zu übertragen und das vorübergehende Passwort vom Dienstanbieter zu empfangen. Hier wird das vorübergehende Passwort durch den Dienstanbieter in Abhängigkeit von der Bestätigung der Zugriffsanforderung erzeugt. Schließlich umfasst das Computerprogramm-Produkt für die mobile Telekommunikationseinrichtung Programmmittel zur direkten Übertragung des vorübergehenden Passworts zum Netz, um den Benutzer gegenüber dem Netz zu authentifizieren und eine IP-basierte Verbindung zwischen dem Netz und mindestens einer Recheneinrichtung über die mobile Telekommunikationseinrichtung aufzubauen, wobei die Programmmittel so ausgelegt sind, dass sie die IP-basierte Verbindung in Abhängigkeit vom Empfang des vorübergehenden Passworts vom Dienstanbieter aufbauen.

Nach einem weiteren Aspekt gibt die Erfindung ein Computerprogramm-Produkt für einen Authentifizierungsserver zum Erzeugen eines vorübergehenden Passworts an, das ein Benutzer benötigt, um sich gegenüber dem Netz zu authentifizieren. Das Computerprogramm-Produkt umfasst Programmmittel, die geeignet sind, eine Zugriffsanforderung vom Benutzer zu verarbeiten, die Zugriffsanforderung anhand einer Benutzerauthentifizierungs-Datenbank zu überprüfen und das vorübergehende Passwort nur im Falle einer Bestätigung der Zugriffsanforderung zu erzeugen. Die Zugriffsanforderung wird mit Hilfe der Benutzerauthentifizierungs-Datenbank bestätigt. Insbesondere wird die Zugriffsanforderung bestätigt, wenn der Benutzer berechtigt ist, auf das Netz zuzugreifen. Die Zugriffsanforderung wird mittels einer mobilen Telekommunikationseinrichtung des Benutzers zum Authentifizierungsserver übertragen, und das vorübergehende Passwort wird zur mobilen Telekommunikationseinrichtung rückübertragen, wenn die Zugriffsanforderung bestätigt wird.

Kurze Beschreibung der Zeichnungen

Nachfolgend werden bevorzugte Ausführungsbeispiele der Erfindung unter Bezugnahme auf die Zeichnungen näher erläutert. Es zeigen:

1 ein Blockdiagramm eines ersten Ausführungsbeispiels des erfindungsgemäßen Authentifizierungsverfahrens;

2 ein Blockdiagramm eines zweiten Ausführungsbeispiels der Erfindung mit einem ersten und einem zweiten Netz sowie ersten und zweiten Recheneinrichtungen;

3 ein Blockdiagramm, das die interne Struktur des Dienstanbieters veranschaulicht; und

4 schematisch ein grundlegendes Ausführungsbeispiel der Benutzerauthentifizierungs-Datenbank.

Ausführliche Beschreibung

1 zeigt schematisch eine Umgebung oder Infrastruktur zur Realisierung des erfindungsgemäßen Authentifizierungsverfahrens. Ein Benutzer 100 möchte über eine Recheneinrichtung 104 auf ein Netz 102 zugreifen. Der Benutzer 100 hat auch Zugang zu seinem persönlichen Mobilgerät 106, das wiederum geeignet ist, mit dem Dienstanbieter 108 zu kommunizieren und eine IP-basierte Verbindung zum Netz 102 aufzubauen. Für einen Zugriff auf das Netz 102 ist eine Authentifizierung gegenüber dem Netz 102 erforderlich. Diese Authentifizierung wird typischerweise von dem Netz-Gateway 112 durchgeführt.

Nach erfolgreicher Authentifizierung gegenüber dem Netz 102 baut das Mobilgerät 106 eine Verbindung 110 zum Netz 102 und eine Verbindung 114 zur Recheneinrichtung 104 auf. Somit ist die Funktionalität des Mobilgeräts 106 doppelt. Einerseits ermöglicht sie die Übermittlung einer Zugriffsanforderung zum Dienstanbieter 108 und den empfang eines vorübergehenden und/oder einmaligen Passworts vom Dienstanbieter, um den Benutzer 100 gegenüber dem Netz 102 zu authentifizieren. Andererseits baut das Mobilgerät 106 auch die IP-basierte Verbindung zwischen der Recheneinrichtung 104 und dem Netz 102 über Verbindungen 114 und 110 auf. Typischerweise sind das dargestellte Netz 102 und sein Gateway 112 als VPN-Netz bzw. VPN-Gateway realisiert.

Das vorübergehende und/oder einmalige Passwort wird vom Dienstanbieter 108 erzeugt und zum Mobilgerät 106 übertragen. Typischerweise kann das Mobilgerät 106 als Mobiltelefon realisiert sein, das eine bidirektionale Kommunikation mit dem Dienstanbieter 108 erlaubt. Um das vorübergehende Passwort vom Dienstanbieter zu erhalten, kann der Benutzer 100 eine Zugriffsanforderung auf dem Mobilgerät 106 aufrufen. Das Mobilgerät 106 wiederum dient dazu, diese Zugriffsanforderung zum Dienstanbieter 108 zu übertragen. Der Dienstanbieter 108 verarbeitet dann diese empfangene Zugriffsanforderung, bestätigt die Zugriffsanforderung, d.h., prüft die Berechtigung des Benutzers, auf das Netz 102 zuzugreifen, erzeugt das vorübergehende Passwort unter Verwendung eines dedizierten Passworterzeugungssystems und überträgt das erzeugte vorübergehende und/oder einmalige Passwort zum Mobilgerät 106.

Das Mobilgerät 106 kann das empfangene vorübergehende Passwort dem Benutzer 100 anzeigen. Der Benutzer 100 kann dann über das angezeigte Passwort geführt werden, um eine Authentifizierungsprozedur zu bestätigen, die vom Mobilgerät 106 autonom durchgeführt wird. Wenn der Benutzer 100 bestätigt, dass er auf das Netz 102 zugreifen und sich diesem gegenüber authentifizieren will, überträgt das Mobilgerät 106 eine Benutzerkennung und das entsprechende vorübergehende Passwort zum Gateway 112 des Netzes 102. Bei Empfang der korrekten Kombination von vorübergehendem Passwort und Benutzerkennung wird der Benutzer dann für einen Zugriff auf das Netz 102 authentifiziert.

Alternativ kann der Benutzer 100 eine vollständig automatisierte Authentifizierungsprozedur aufrufen, bei der keine Benutzerführung erforderlich ist. In diesem Fall ruft der Benutzer 100 die Authentifizierungsprozedur durch Eingabe eines jeweiligen Befehls in das Mobilgerät 106 auf. Das Mobilgerät 106 überträgt dann eine entsprechende Zugriffsanforderung zum Dienstanbieter 108 und sendet das vom Dienstanbieter 108 empfangene vorübergehende Passwort autonom an das Netz 102. Das Mobilgerät 106 führt somit eine Authentifizierung des Benutzers 100 gegenüber dem Netz 102 autonom durch und baut eine IP-basierte Verbindung zwischen der Recheneinrichtung 104 und dem Netz 102 auf.

Damit ersetzt das Mobilgerät in Kombination mit dem Dienstanbieter 108 in effektiver Weise ein mittels Hardware realisiertes Token, das geeignet ist, ein netzspezifisches vorübergehendes Passwort zu erzeugen. Weiterhin braucht der Benutzer keine zusätzliche Hardware-Einrichtung mehr mitzuführen, die lediglich geeignet ist, vorübergehende einmalige Passworte zu erzeugen. Die Erfindung basiert darauf, dass das Mobilgerät 106 ein persönliches Eigentum des Benutzers 100 ist. Durch Implementierung der passwortanfordernden Funktionalität im Mobilgerät 106 übernimmt dieses in effektiver Weise die Funktionalität eines Hardware-Tokens, wie es aus dem Stand der Technik bekannt ist.

Die Verbindungen 110 und 114 zwischen der Recheneinrichtung 104 und dem Netz 102 können im Prinzip durch jede Art von Verbindung realisiert werden, die eine Datenübertragung zwischen einer Recheneinrichtung und einem Netz ermöglicht. Zum Beispiel kann die Verbindung durch eine auf einem 56-Kbit-Modem basierende Verbindung, eine ISDN-Verbindung oder eine DSL-Verbindung realisiert sein. Die Verbindung kann auch als drahtlose Verbindung realisiert sein und z.B. auf WLAN-, IEEE 802.11- oder anderen Hochfrequenz(RF)- oder Infrarot(IR)- basierten Kommunikationsprotokollen basieren.

2 zeigt schematisch ein internetbasiertes Ausführungsbeispiel der erfindungsgemäßen Authentifizierungsprozedur in einer detaillierteren und etwas komplexeren Darstellung. Auch hier verwendet der Benutzer 100 das Mobilgerät 106, um ein vorübergehendes Passwort vom Dienstanbieter 108 zu empfangen und auf ein Netz 102, 122 zuzugreifen. Im Gegensatz zu dem in 1 dargestellten Ausführungsbeispiel kann der Benutzer 100 auf eines oder mehrere Netze 102, 122 entweder getrennt über zwei getrennte IP-Verbindungen 110, 120 oder unter Verwendung des Internets zugreifen, in das die beiden Netze 102, 122 eingebettet sein können. Zusätzlich kann das Mobilgerät 106 für eine Vielzahl von Recheneinrichtungen 104, 116 über Nachrichtenverbindungen 114, 118 Zugriff auf die Netze 102, 122 ermöglichen. Außerdem weist das Mobilgerät 106 einen VPN-Client auf, der geeignet ist, durch Interaktion mit den jeweiligen Netz-Gateways 112, 124 eine VPN-basierte Authentifizierungs- und Zugriffsprozedur in Bezug auf die Netze 102, 122 durchzuführen.

Insbesondere muss dadurch, dass der VPN-Client 126 im Mobilgerät 106 implementiert ist, auf keiner der Recheneinrichtungen 114, 116 mehr VPN-bezogene Software installiert und gewartet werden. Dies ermöglicht einen sicheren Zugriff auf eine Vielzahl von Netzen 102, 122mit den verschiedensten Recheneinrichtungen 104, 116, indem ein einziges, personalisiertes Gerät 106 verwendet wird, das als Mobiltelefon realisiert sein kann und das typischerweise vom Benutzer 100 ohnehin mitgeführt wird. Darüber hinaus ist es bei diesem Zugriffssystem möglich, jede der Recheneinrichtungen 104, 116 unter einer Vielzahl von Benutzern 100 oder Angestellten einer Firma auszutauschen. Es muss lediglich sichergestellt sein, dass die Recheneinrichtungen 104, 116 in der Lage sind, mit dem Mobilgerät 106 über Nachrichtenverbindungen 114, 118 zu kommunizieren, die entweder als steckbare Drahtverbindungen unter Verwendung einer Standard-Schnittstelle, wie z.B. dem Universal Serial Bus (USB), ausgeführt sind oder ein Protokoll für drahtlose Übertragung verwenden, das auf HF- oder Infrarot-Übertragungstechniken basieren kann.

Die Zugriffskontrolle auf die Netze 102, 122 kann mittels einer Authentifizierungs-Datenbank realisiert werden, die vom Dienstanbieter 108 verwaltet wird und angibt, auf welches der Netze 102, 122 der Benutzer 100 zugreifen darf. Zum Beispiel kann der Zugriff auf Netz 102 gesperrt, dagegen der Zugriff auf Netz 122 erlaubt sein. Wenn in diesem Fall der Benutzer über sein Mobilgerät 106 dem Dienstanbieter 108 eine Zugriffsanforderung sendet, wird er nur dann ein vorübergehendes Passwort erhalten, wenn die Zugriffsanforderung das Netz 122 angibt. Sendet der Benutzer dem Dienstanbieter 108 eine Zugriffsanforderung, mit der sich gegenüber dem Netz 102 authentifizieren will, dann wird der Dienstanbieter den Zugriff auf das Netz 102 verweigern. Folglich wird die Übermittlung eines einmaligen und/oder vorübergehenden Passworts für einen Zugriff auf das Netz 102 gesperrt, und das Mobilgerät 106 erhält das erforderliche Passwort vom Dienstanbieter 108 nicht.

3 veranschaulicht schematisch die interne Struktur des Dienstanbieters 108. Bei diesem Ausführungsbeispiel dient der Dienstanbieter 108 auch als Telekommunikationsanbieter. Der Dienstanbieter 108 hat ein Kommunikationsmodul 130, eine Heimatdatei (home location register – HLR) 132, einen Authentifizierungsserver 134, einen Passwortgenerator 138 und eine Benutzerauthentifizierungs-Datenbank 136. Das Kommunikationsmodul besorgt die Signalverarbeitung für drahtlose Datenübertragung. Weiterhin kann es drahtlose Kommunikationsmittel bereitstellen, um mit dem Mobilgerät 106 kommunizieren zu können.

In der Heimatdatei 132 sind benutzerbezogene Informationen für die drahtlose Kommunikation mittels des Mobilgeräts 106 gespeichert. Nach Registrierung beim Dienstanbieter 108 kann der Benutzer 100 eine SIM-Karte mit einer speziellen Kennung erhalten.

Mittels der Heimatdatei 132 kann eine Zuordnung zwischen den Kontaktinformationen des Benutzers und der SIM-Karte durchgeführt werden. Die Kontaktinformationen des Benutzers können persönliche Daten des Benutzers sowie seine Adresse und Einzelheiten über sein Bankkonto betreffen. Darüber hinaus ermöglicht die Heimatdatei 132 eine Authentifizierung des Mobilgeräts 106 gegenüber dem vom Telekommunikationsanbieter 108 bereitgestellten Mobilfunknetz. Typischerweise authentifizieren sich der Benutzer 100 und sein Mobilgerät 106 gegenüber den Diensten des Dienstanbieters 108 durch Eingabe einer z.B. vierstelligen PIN in das Mobilgerät 106.

In ähnlicher Weise kontrolliert der Authentifizierungsserver 134 den Zugriff des Benutzers 100 auf die Benutzerauthentifizierungs-Datenbank 136. Bei Empfang der Zugriffsanforderung vom Mobilgerät 106 kann der Authentifizierungsserver 134 zunächst überprüfen, ob der Benutzer 100 und das Mobilgerät 106 berechtigt sind, ein vorübergehendes Passwort vom Dienstanbieter 108 zu erhalten. Diese Authentifizierungsprozedur kann in effektiver Weise mittels einer weiteren, statischen PIN realisiert werden. Jedes Mal wenn der Benutzer 100 eine gültige Zugriffsanforderung, also eine Zugriffsanforderung zusammen mit einer entsprechenden PIN, an den Dienstanbieter sendet, bedient sich der Authentifizierungsserver 134 der Benutzerauthentifizierungs-Datenbank 136, um die Zugriffsanforderung des Benutzers zu bestätigen oder abzulehnen.

Insbesondere zeigt die Benutzerauthentifizierungs-Datenbank 136 an, ob der Benutzer 100 berechtigt ist, auf das gewünschte Netz zuzugreifen. Nachdem eine Zugriffsanforderung vom Authentifizierungsserver 134 bestätigt wurde, wird der Passwortgenerator 134 aufgerufen, um ein entsprechendes vorübergehendes einmaliges Passwort zu erzeugen. Die Erzeugung des Passworts mittels des Passwortgenerators 138 basiert auf Verschlüsselungsverfahren, die mit entsprechenden, von den VPN-Gateways der Netze 102, 122 verwendeten Verschlüsselungsverfahren synchronisiert sind.

Nach Erzeugung des vorübergehenden und/oder einmaligen Passworts wird das erzeugte Passwort zum Authentifizierungsserver 134 übertragen und schließlich zum Kommunikationsmodul 130 weitergeleitet. Das Kommunikationsmodul dient weiter dazu, das erzeugte Passwort zum Mobilgerät 106 zu übertragen. Hier wird das empfangene vorübergehende Passwort entweder dem Benutzer 100 zum Zwecke einer Bestätigung angezeigt oder es kann über die IP-basierte Verbindung 110 direkt zum VPN-Gateway 112 des Netzes 102 übertragen werden. Die Verbindung 110 ist typischerweise mittels einer drahtlosen Verbindung unter Verwendung von z.B. Infrarot- oder Hochfrequenz-Nachrichtenübertragungstechniken wie z.B. IEEE 802.11, Wireless LAN oder UMTS realisiert. Alternativ kann das Mobilgerät 106 mit einer Hochgeschwindigkeits-Kommunikationsschnittstelle versehen sein, die eine kabelbasierte Ankopplung an eine Hochgeschwindigkeits-Kommunikationsschnittstelle wie z.B. DSL oder ISDN erlaubt.

4 veranschaulicht schematisch ein grundlegendes Ausführungsbeispiel der Benutzerauthentifizierungs-Datenbank 136. Hier ist die Benutzerauthentifizierungs-Datenbank 136 so ausgelegt, dass sie Berechtigungsinformationen für mehrere Benutzer und mehrere unterschiedliche Netze bereitstellt. Deshalb ist die Benutzerauthentifizierungs-Datenbank 136 in Form einer zweidimensionalen Matrix angelegt, bei der die Benutzer in einer waagerechten Benutzerzellen-Anordnung 150 und die Netze in einer senkrechten Netzzellen-Anordnung 152 eingetragen sind. Die einzelnen Felder der matrixartigen Benutzerauthentifizierungs-Datenbank 136 geben an, welcher Benutzer berechtigt ist, welche Art von Netz zu benutzen. Zum Beispiel hat Benutzer 1 Zugriff auf Netz 2 und Netz 4, darf jedoch nicht auf Netz 1 und Netz 3 zugreifen.

4 zeigt lediglich ein grundlegendes Beispiel für die Realisierung einer Benutzerauthentifizierungs-Datenbank. Die Datenbank 136 ist keineswegs auf eine zweidimensionale Matrix beschränkt. Es können zusätzliche Parameter, wie z.B. individuelle Zugriffsrechte, aufgenommen werden, wodurch sich eine mehrdimensionale Darstellung der Benutzerauthentifizierungs-Datenbank ergibt.

100
Benutzer
102
Netz
104
Recheneinrichtung
106
Mobilgerät
108
Dienstanbieter
110
IP-Verbindung
112
Gateway
114
Verbindung
116
Recheneinrichtung
118
Verbindung
120
IP-Verbindung
122
Netz
124
Gateway
124
VPN-Client
130
Kommunikationsmodul
132
Heimatdatei
134
Authentifizierungsserver
136
Benutzerauthentifizierungs-Datenbank
138
Passwortgenerator
150
Benutzerzellen-Anordnung
152
Netzzellen-Anordnung

Übersetzung der in den Zeichnungen verwendeten englischsprachigen Bezeichnungen

  • service provider
    – Dienstanbieter
    mobile device
    – Mobilgerät
    User
    – Benutzer
    computing device
    – Recheneinrichtung
    gateway
    – Gateway (Netzübergang)
    network
    – Netz
    VPN client
    – VPN-Client
    user authentication database
    – Benutzerauthentifizierungs-Datenbank
    authentication server
    – Authentifizierungsserver
    HLR
    – Heimatdatei (Home Location Register)
    communication module
    – Kommunikationsmodul
    password generator
    – Passwortgenerator
    denied
    – verwehrt
    admitted
    – erlaubt


Anspruch[de]
Verfahren zum Authentifizieren eines Benutzers (100) gegenüber einem Netz (102, 122), wobei der Benutzer mindestens eine Recheneinrichtung (104, 116) verwendet und eine IP-Verbindung (110, 114) zwischen dem Netz und der mindestens einen Recheneinrichtung durch eine mobile Telekommunikationseinrichtung (106) bereitgestellt wird, mit folgenden Schritten:

– Anfordern eines vorübergehenden Passworts von einem Dienstanbieter (108) durch Übertragen einer Zugriffsanforderung zum Dienstanbieter, wobei die Dienstanforderung mittels einer mobilen Telekommunikationseinrichtung übertragen wird;

– Überprüfen der Zugriffsanforderung anhand einer Benutzerauthentifizierungs-Datenbank (136), und Bestätigen der Zugriffsanforderung, wenn der Benutzer berechtigt ist, auf das Netz zuzugreifen;

– Erzeugen des vorübergehenden Passworts abhängig von einer Bestätigung der Zugriffsanforderung;

– Übertragen des vorübergehenden Passworts vom Dienstanbieter zur mobilen Telekommunikationseinrichtung;

– Authentifizieren des Benutzers gegenüber dem Netz mittels der mobilen Telekommunikationseinrichtung.
Verfahren nach Anspruch 1, bei dem die IP-basierte Verbindung (110, 114) zwischen der mindestens einen Recheneinrichtung (104) und dem Netz (102) mittels der mobilen Telekommunikationseinrichtung (106) aufgebaut wird, wobei der Aufbau der IP-basierten Verbindung abhängig vom Empfang des vorübergehenden Passworts von dem Dienstanbieter (108) erfolgt. Verfahren nach Anspruch 1, bei dem die Anforderung des vorübergehenden Passworts vom Dienstanbieter (108) eine Authentifizierung des Benutzers (100) gegenüber dem Dienstanbieter umfasst. Verfahren nach Anspruch 1, bei dem die Zugriffsanforderung mindestens eine Netzkennung und eine die Benutzeridentität anzeigende Kennung der mobilen Telekommunikationseinrichtung umfasst. Verfahren nach Anspruch 1, bei dem das Netz ein IP-basiertes virtuelles privates Netz (VPN) ist, wobei das Netz einen VPN-Gateway (112) und die mobile Telekommunikationseinrichtung (106) mindestens einen VPN-Client (126) umfasst. Mobile Telekommunikationseinrichtung (106) zum Authentifizieren eines Benutzers gegenüber einem Netz mittels eines vorübergehenden Passworts, umfassend:

– Mittel zum Übertragen einer Zugriffsanforderung zu einem Dienstanbieter (108);

– Mittel zum Empfangen des vorübergehenden Passworts vom Dienstanbieter, wobei das vorübergehende Passwort durch den Dienstanbieter abhängig von einer Bestätigung der Zugriffsanforderung erzeugt ist;

– Mittel zum Aufbau einer IP-basierten Verbindung (110, 114) zwischen mindestens einer Recheneinrichtung und dem Netz, wobei diese Mittel geeignet sind, die IP-basierte Verbindung abhängig vom Empfang des vorübergehenden Passworts vom Dienstanbieter aufzubauen.
Mobile Telekommunikationseinrichtung (106) nach Anspruch 6, die außerdem Mittel zur drahtlosen Datenübertragung zwischen der mindestens einen Recheneinrichtung (104, 116) und der mobilen Telekommunikationseinrichtung (106) umfasst. Authentifizierungsserver (134) zum Erzeugen eines vorübergehenden Passworts, das mindestens ein Benutzer (100) benötigt, um sich gegenüber mindestens einem Netz (102, 122) zu authentifizieren, umfassend:

– Mittel zum Verarbeiten mindestens einer Zugriffsanforderung von mindestens einem Benutzer, wobei die Zugriffsanforderung von dem mindestens einen Benutzer zum Authentifizierungsserver unter Verwendung einer mobilen Telekommunikationseinrichtung (106) übertragen wird;

– Mittel zum Überprüfen der Zugriffsanforderung anhand einer Benutzerauthentifizierungs-Datenbank (136), wobei die Mittel zum Überprüfen außerdem geeignet sind, die Zugriffsanforderung zu bestätigen, wenn der mindestens eine Benutzer berechtigt ist, auf das mindestens eine Netz zuzugreifen;

– Mittel zum Erzeugen des vorübergehenden Passworts, wobei diese Mittel außerdem geeignet sind, das vorübergehende Passwort nur in Abhängigkeit von einer Bestätigung der Zugriffsanforderung zu erzeugen.
Computerprogramm-Produkt für eine mobile Telekommunikationseinrichtung zum Authentifizieren eines Benutzers (100) gegenüber einem Netz (102, 122) mittels eines vorübergehenden Passworts, wobei das Computerprogramm-Produkt Programmmittel umfasst, die geeignet sind,

– eine Zugriffsanforderung des Benutzers zu verarbeiten,

– eine Zugriffsanforderung zu einem Dienstanbieter (108) zu übertragen,

– das vorübergehende Passwort vom Dienstanbieter zu empfangen, wobei das vorübergehende Passwort durch den Dienstanbieter abhängig von einer Bestätigung der Zugriffsanforderung erzeugt ist,

– eine IP-basierte Verbindung (110, 114) zwischen mindestens einer Recheneinrichtung (104, 116) und dem Netz (102, 122) aufzubauen, wobei diese Mittel geeignet sind, die IP-basierte Verbindung abhängig vom Empfang des vorübergehenden Passworts vom Dienstanbieter (108) aufzubauen.
Computerprogramm-Produkt für einen Authentifizierungsserver (134) zum Erzeugen eines vorübergehenden Passworts, das ein Benutzer (100) benötigt, um sich gegenüber einem Netz (102, 122) zu authentifizieren, wobei das Computerprogramm-Produkt Programmmittel umfasst, die geeignet sind,

– eine Zugriffsanforderung von dem Benutzer zu verarbeiten, wobei die Zugriffsanforderung zum Authentifizierungsserver unter Verwendung einer mobilen Telekommunikationseinrichtung (106) durch den Benutzer übertragen wird,

– die Zugriffsanforderung anhand einer Benutzerauthentifizierungs-Datenbank (136) zu überprüfen, wobei das Überprüfen der Zugriffsanforderung eine Bestätigung der Zugriffsanforderung umfasst, wenn der Benutzer berechtigt ist, auf das Netz zuzugreifen,

– das vorübergehende Passwort nur in Abhängigkeit von der Bestätigung der Zugriffsanforderung zu erzeugen und zu übertragen.






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com