-
TECHNISCHES GEBIET DER ERFINDUNG
-
Die
vorliegende Erfindung betrifft ein Verfahren zum Gewähren von
Zugriff auf eine Einrichtung auf Basis des Verknüpfens eines ersten Charakteristikums
einer ersten Vorrichtung mit einem zweiten Charakteristikum einer
zweiten Vorrichtung. Die Erfindung betrifft außerdem einen Server und ein
Computerprogramm, das in eine Verarbeitungseinheit eines Servers
geladen werden kann.
-
ALLGEMEINER STAND DER TECHNIK
-
Das
Verknüpfen
von Vorrichtungen wird von dem Erzielen einer Assoziation eines
oder mehrerer Charakteristika einer ersten Vorrichtung mit einem oder
mehreren Charakteristika einer oder mehrerer weiterer Vorrichtungen
definiert. Ein Charakteristikum ermöglicht es in der Regel, eine
Vorrichtung zu identifizieren, in einem Sinne, der allgemeiner ist, kann
ein Charakteristikum sich auf eine beliebige Art von Information
beziehen, die mit einer Vorrichtung assoziiert ist. Zum Verknüpfen einer
ersten Vorrichtung mit einer zweiten Vorrichtung werden ein oder mehrere
Charakteristika der ersten Vorrichtung mit einem oder mehreren Charakteristiken
der zweiten Vorrichtung assoziiert. Eines oder mehrere der assoziierten
Charakteristika können
von den jeweiligen Vorrichtungen oder von weiteren Entitäten, die
die jeweiligen Charakteristika kennen, bestimmt werden. Im Allgemeinen
stellt das Verknüpfen
von Vorrichtungen aufgrund der Verknüpfung erweiterte Informationen
bereit, z. B. indem offenbart wird, dass zwei Vorrichtungen zu einem
gewissen Zeitpunkt verknüpft sind.
Eine Tabelle kann zur Assoziation von Charakteristika verwendet
werden und Charakteristika können
für unterschiedliche
Implementierungen des Verknüpfungsverfahrens
unterschiedlich sein.
-
Das
Verknüpfen
von Vorrichtungen wird zunehmend zu Authentisierungszwecken verwendet. Wenn
versucht wird, über eine
nicht vertrauenswürdige
Vorrichtung, wie ein Computerterminal oder einen Geldautomaten (automatic
teller machine, ATM) oder eine Tür,
auf eine Einrichtung, wie ein System oder einen Dienst oder eine
Vorrichtung, zuzugreifen, verfügt
eine Einrichtung, auf die Zugriff angefordert wird, anfangs über keine
Kenntnis des Betreibers der nicht vertrauenswürdigen Vorrichtung. Bei einer
Menge von Situationen, wie dem Herunterladen von öffentlich
zugänglichen
Informationen von dem Internet oder dem Betreten eines öffentlichen
Gebäudes,
ist dieser Mangel an Kenntnis für
die Einrichtung nicht problematisch, d. h. Zugriff auf die Einrichtung
wird über
die nicht vertrauenswürdige
Vorrichtung jeder Person gegeben, die dazu imstande ist, die nicht
vertrauenswürdige
Vorrichtung zu betreiben. Zum Zugreifen auf eine Einrichtung, für die Zugriffsbeschränkungen
gelten, ist Kenntnis in Bezug auf die Legitimierung zum Zugriff
erforderlich. Diese Kenntnis kann z. B. durch einen Authentisierungsvorgang
bereitgestellt werden, wie dem Verifizieren einer Benutzeridentität und eines
in die nicht persönliche
Vorrichtung eingegebenen Kennworts. Alternativ kann das Verknüpfen mit
einer vertrauenswürdigen
Vorrichtung zur Authentisierung zum Gewähren von Zugriff verwendet
werden.
-
Eine
vertrauenswürdige
Vorrichtung ist eine Vorrichtung, die mit einer Zugriffslegitimierung
als dem Hauptcharakteristikum einer vertrauenswürdigen Vorrichtung assoziiert
ist. Eine Zugriffslegitimierung legitimiert, dass die vertrauenswürdige Vorrichtung
auf eine bestimmte Vorrichtung zugreift. Wenn die vertrauenswürdige Vorrichtung
der bestimmten Einrichtung präsentiert
wird, erzielt die Zugriffslegitimierung, dass der vertrauenswürdigen Vorrichtung Zugriff
auf die bestimmte Einrichtung gewährt wird. Die bestimmte Einrichtung
oder eine Entität,
die die bestimmte Einrichtung unterstützt, kann bestimmte Kriterien
haben, um die Zugriffslegitimierung zum Gewähren von Zugriff zu verifizieren.
Beispiele einer vertrauenswürdigen Vorrichtung
sind ein Mobiltelefon, das legitimiert ist, auf ein Mobiltelefonnetz
zuzugreifen, oder eine Kreditkarte, die legitimiert ist, auf einen
Bezahldienst zuzugreifen. Je nach der vertrauenswürdigen Vorrichtung
und der Verarbeitung der Verifizierung der Zugriffslegitimierung
kann eine Identität
des legitimen Besitzers der vertrauenswürdigen Vorrichtung bezogen
werden oder es kann bewiesen werden, dass eine Person, die eine
vertrauenswürdige
Vorrichtung betreibt, mit dem legitimen Besitzer identisch ist oder
von diesem autorisiert ist. Die jeweilige Information kann mit der
Zugriffslegitimierung der vertrauenswürdigen Vorrichtung assoziiert
werden.
-
Folglich
kann, wenn über
eine nicht vertrauenswürdige
Vorrichtung Zugriff auf eine Einrichtung angefordert wird, eine
vertrauenswürdige
Vorrichtung mit einer assoziierten Zugriffslegitimierung präsentiert
werden. Die assoziierte Zugriffslegitimierung kann bestimmt werden
und kann mit einem Charakteristikum, wie einer Kennung der nicht
vertrauenswürdigen
Vorrichtung, die Zugriff auf die Einrichtung anfordert, assoziiert
werden. Alternativ kann ein Charakteristikum der vertrauenswürdigen Vorrichtung, das
sich auf die Zugriffslegitimierung bezieht, die mit der vertrauenswürdigen Vorrichtung
assoziiert ist, mit dem Charakteristikum der nicht vertrauenswürdigen Vorrichtung
assoziiert werden. Die Einrichtung, auf die die Zugriffslegitimierung,
die mit der vertrauenswürdigen
Vorrichtung assoziiert ist, den Zugriff legitimiert, muss nicht
unbedingt mit der Einrichtung identisch sein, für die die nicht vertrauenswürdige Vorrichtung
Zugriff anfordert. Vereinbarungen zwischen unterschiedlichen Einrichtungen
können
sicherstellen, dass eine Zugriffslegitimierung, die den Zugriff
auf eine erste Einrichtung legitimiert, auch den Zugriff auf eine
zweite Einrichtung legitimiert. Die assoziierten Charakteristika
der vertrauenswürdigen
und der nicht vertrauenswürdigen
Vorrichtung können
in einer Datenbank zur weiteren Verarbeitung, z. B. zu statistischen, Berechnungs-
oder rechtlichen Zwecken, gespeichert werden. Basierend auf den
assoziierten Charakteristika der nicht vertrauenswürdigen Vorrichtung
und der vertrauenswürdigen
Vorrichtung kann Zugriff auf oder über die nicht vertrauenswürdige Vorrichtung
gewährt
werden, da die Einrichtung oder die Entität, die die Einrichtung zum
Zwecke der Authentisierung unterstützt, nun mit Kenntnis einer Zugriffslegitimierung
ausgestattet ist, die mit einem Charakteristikum der nicht vertrauenswürdigen Vorrichtung
verknüpft
ist, wie einer Kennung, die die nicht vertrauenswürdige Vorrichtung
identifiziert. Je nach der vertrauenswürdigen Vorrichtung und der Implementierung
des Verknüpfungsverfahrens
können
Informationen zu einer Identität
des rechtmäßigen Besitzers
der vertrauenswürdigen
Vorrichtung oder einem Beweis, dass ein Betreiber der vertrauenswürdigen Vorrichtung
mit dem rechtmäßigen Besitzer
der vertrauenswürdigen
Vorrichtung identisch ist oder von diesem autorisiert ist, bezogen
werden und mit dem jeweiligen Charakteristikum der nicht vertrauenswürdigen Vorrichtung
assoziiert werden. Zudem kann eine Identität der Einrichtung, auf die
zugegriffen werden soll, assoziiert werden.
-
Sicherere
Verknüpfungsverfahren
erfordern zusätzlich
zu der Assoziation von Charakteristiken einen Beweis, dass eine
erste Vorrichtung und eine zweite Vorrichtung, die verknüpft werden
sollen, in unmittelbarer Nähe
angeordnet sind. Der Beweis der unmittelbaren Nähe wird als ausreichendes Indiz
dafür angesehen,
dass der Betreiber der ersten Vorrichtung mit dem Betreiber der
zweiten Vorrichtung identisch ist oder zumindest von diesem autorisiert
ist.
-
Es
existieren verschiedene Lösungen
zum Beweisen der unmittelbaren Nähe,
die im Folgenden beschrieben sind:
Gemäß einer ersten Lösung kann
eine lokale Verbindung zwischen einer ersten Vorrichtung und einer zweiten
Vorrichtung, die verknüpft
werden sollen, verwendet werden, um Verknüpfungsdaten von einem Server,
z. B. einem Bezahlungs- oder Authentisierungsserver, über die
erste Vorrichtung und die zweite Vorrichtung und dann zurück zu dem
Server oder umgekehrt zu senden. Eine erfolgreiche Rundsendung der
Verknüpfungsdaten
ist ein ausreichender Beweis für
die bestehende lokale Verbindung und folglich für die unmittelbare Nähe. Lokale
physikalische Verbindungen wie Kabel, Dockstationen, Kartenlesegeräte oder
lokale drahtlose Verbindungen mit Übertragungsbereichen von etwa
weniger als 10 Meter, wie sie mit Infrarot (IR) oder Bluetooth bereitgestellt
werden, können
verwendet werden.
-
Gemäß einer
zweiten Lösung übermittelt eine
Person Verknüpfungsdaten
von einer ersten Vorrichtung manuell an eine zweite Vorrichtung
zum Beweisen der unmittelbaren Nähe.
Zum Beispiel sendet ein Authentisierungsserver, der eine Einrichtung unterstützt, auf
die von einer nicht vertrauenswürdigen
Vorrichtung zugegriffen werden soll, ein zufallsbedingt erzeugtes
einmaliges Kennwort (one-time password, OTP) als Verknüpfungsdaten
an die vertrauenswürdige
Vorrichtung. Die Person, die die vertrauenswürdige Vorrichtung und die nicht
vertrauenswürdige
Vorrichtung betreibt, liest die Verknüpfungsdaten und gibt die Verknüpfungsdaten
manuell in die nicht vertrauenswürdige
Vorrichtung ein. Wie in der ersten Lösung wird die Rundsendung der
Verknüpfungsdaten
als ein Beweis für
die unmittelbare Nähe angesehen.
-
US-6,259,909 beschreibt
eine Rundsendung eines Codeworts, das in einem Verfahren zum sicheren
Zugriff auf ein entferntes System durch einen Benutzer verwendet
wird. Nach einer Authentisierung einer ersten Kommunikationsvorrichtung
durch eine Zugriffsvorrichtung wird ein Codewort von der Zugriffsvorrichtung
an eine zweite Kommunikationsvorrichtung übertragen. Das von der zweiten
Kommunika tionsvorrichtung empfangene Codewort wird von der zweiten
Kommunikationsvorrichtung über
die erste Kommunikationsvorrichtung weiter an die Zugriffsvorrichtung
gesendet, die nach einer Überprüfung der
Richtigkeit des von der ersten Kommunikationsvorrichtung empfangenen
Codeworts der ersten und/oder der zweiten Kommunikationsvorrichtung Zugriff
auf das entfernte System gewähren
kann. Eine Datenverarbeitungseinheit kann als erste Kommunikationsvorrichtung
verwendet werden und ein Mobiltelefon kann als zweite Kommunikationsvorrichtung
verwendet werden.
-
Die
oben erwähnten
Lösungen
zum Beweisen der unmittelbaren Nähe
weisen Nachteile auf. Eine lokale Verbindung erfordert kompatible
Schnittstellen an den Vorrichtungen, die zum Übertragen der Daten von einer
Vorrichtung zu der anderen Vorrichtung verknüpft werden sollen. Die Kompatibilität von Schnittstellen
ist jedoch sehr oft nicht gegeben, wodurch die Anwendbarkeit von
Lösungen,
die auf lokalen Verbindungen basieren, auf einen kleinen Bruchteil
eines potentiellen Markts beschränkt
wird. Dies gilt insbesondere für
lokale drahtlose Verbindungen, da adäquate lokale drahtlose Schnittstellen
wie IR- oder Bluetooth-Transceiver an Vorrichtungen wie Personalcomputern
(PCs), Workstations, ATMs oder älteren
Mobiltelefonen eher selten sind. Das Verwenden lokaler physikalischer
Verbindungen erfordert, Vorrichtungen, die verknüpft werden sollen, physikalisch
zu verbinden. Das physikalische Verbinden von Vorrichtungen ist
jedoch eine unbequeme und oftmals sogar lästige Aufgabe. In ähnlicher
Weise erfordern lokale drahtlose Richtfunkverbindungstechniken wie
IR ein entsprechendes Ausrichten von Transceivern von Vorrichtungen,
die verknüpft
werden sollen. Darüber
hinaus erfordert das Ersetzen einer Vorrichtung durch eine adäquate weitere
Vorrichtung, dass zunächst
die lokale Verbindung von der Vorrichtung, die ersetzt werden soll,
angetrennt wird und die abgetrennte lokale Verbindung mit der adäquaten weiteren
Vorrichtung verbunden wird, wodurch die Unbequemlichkeit für den Betreiber
erhöht
wird.
-
Lösungen,
die auf dem manuellen Übertragen
von Verknüpfungsdaten
basieren, bedingen, dass die Person, die die erste und die zweite
Vorrichtung betreibt, in einem Sinne aktiv ist, indem die Person
die Verknüpfungsdaten,
die manuell von der ersten Vorrichtung übertragen werden sollen, lesen
und sie in die zweite Vorrichtung eingeben muss. Um ein Erraten
der Verknüpfungsdaten
zu verhindern, sollten die Verknüpfungsdaten
nicht zu kurz sein. Ein Lesen der längeren Abfolge von der ersten
Vorrichtung und ein Eingeben der längeren Abfolge in eine zweite Vorrichtung
sind jedoch unbequem und die Wahrscheinlichkeit eines Vertippens
erhöht
sich mit der Länge
der Abfolge. Es ist lästig,
wenn die Verknüpfung
aufgrund von etwaigen Lese- oder Tippfehlern abgelehnt wird.
-
N.
Asokan et al., „Authenticating
public terminals",
Computer Networks, Elsevier Science Publishers B. V. Amsterdam,
NL, Bd. 31, Nr. 8, 23.4.1999, Seiten 861–870, betrifft das Authentisieren öffentlicher
Terminals für
einen Benutzer. Ein Server sendet in einer Initialisierungsstufe
eine Reihe von Herausforderung/Antwort-Paaren an die Heimatbasis
des Benutzers. Der Benutzer, nach dem Auswählen eines jeweils anderen
Authentisierungsvektors für
jede Herausforderung und dem Zurücksenden
dieser an den Server, druckt eine Liste mit Herausforderung-Antwort-Authentisierungsvektor-Dreiergruppen aus.
Zu einem späteren
Zeitpunkt und an einem Ort, zu dem „der Benutzer gehen muss" und zu dem er „seine
gedruckte Liste mitnehmen" muss,
nähert
sich der Benutzer einem nicht vertrauenswürdigen Terminal. Der Benutzer
fordert dann das nicht vertrauenswürdige Terminal auf, sich gegenüber dem
Server zu authentisieren, und der Server sendet nach dem Einrichten
eines authentisierten Kanals eine Herausforderung an das nicht vertrauenswürdige Terminal
und die Herausforderung wird dem Benutzer angezeigt. Die Antwort,
die der Herausforderung entspricht, wird in das öffentliche Terminal eingegeben,
von dem es an den Server gesendet wird.
-
KURZDARSTELLUNG DER ERFINDUNG
-
Es
ist eine Aufgabe der vorliegenden Erfindung, ein Verfahren, eine
Vorrichtung und ein Computerprogramm bereitzustellen, die es ermöglichen, Zugriff
auf eine Einrichtung auf Basis des Verknüpfens eines ersten Charakteristikums
einer ersten Vorrichtung und eines zweiten Charakteristikums einer zweiten
Vorrichtung zu gewähren.
-
Diese
Aufgabe wird von dem wie in Anspruch 1 beschriebenen Verfahren gelöst. Darüber hinaus
ist die Erfindung in einem wie in Anspruch 9 beschriebenen Server
und einem wie in Anspruch 16 beschriebenen Computerprogramm, das
in eine Verarbeitungseinheit eines Servers geladen werden kann, verkörpert. Vorteilhafte
Ausführungsformen
werden in den weiteren Ansprüchen
beschrieben.
-
Zum
Verknüpfen
des ersten Charakteristikums einer ersten Vorrichtung und eines
zweiten Charakteristikums einer zweiten Vorrichtung durch einen
Server werden die folgenden Schritte ausgeführt.
-
In
einem ersten Schritt werden eine erste Verknüpfungsinformation und eine
zweite Verknüpfungsinformation
ausgewählt,
unter der Bedingung, dass die erste Verknüpfungsinformation und die zweite
Verknüpfungsinformation übereinstimmen. Dazu
muss die erste Verknüpfungsinformation
nicht unbedingt mit der zweiten Verknüpfungsinformation identisch
sein.
-
Als
Nächstes
wird die erste Verknüpfungsinformation
von dem Server an die erste Vorrichtung gesendet und die zweite
Verknüpfungsinformation wird
von dem Server an die zweite Vorrichtung gesendet.
-
Darüber hinaus
wird die erste Verknüpfungsinformation
von der ersten Vorrichtung präsentiert und
die zweite Verknüpfungsinformation
wird von der zweiten Vorrichtung präsentiert. Präsentieren
ist als eine Ausgabe an eine Person zu verstehen. Die Ausgabe von
der ersten Vorrichtung kann sich von der Ausgabe von der zweiten
Vorrichtung unterscheiden, das Übereinstimmen
der ersten Verknüpfungsinformation
und der zweiten Verknüpfungsinformation muss
jedoch erkennbar sein. Beispiele nicht identischer, übereinstimmender
Verknüpfungsinformationen
können
eine erste Verknüpfungsinformation sein,
die zu einer zweiten Verknüpfungsinformation komplementär ist oder
auf diese folgt.
-
Nach
dem Erkennen, dass die erste Verknüpfungsinformation, die von
der ersten Vorrichtung präsentiert
wird, und die zweite Verknüpfungsinformation,
die von der zweiten Vorrichtung präsentiert wird, übereinstimmen,
wird eine Anzeige der Übereinstimmung
in die erste Vorrichtung eingegeben. Zum Beispiel kann der Betreiber
der ersten Vorrichtung eine Taste auf der ersten Vorrichtung drücken oder
ein adäquater
Sprachbefehl kann zum Eingeben der Anzeige der Übereinstimmung verwendet werden.
-
Auf
Basis der eingegebenen Anzeige der Übereinstimmung sendet die erste
Vorrichtung eine Übereinstimmungsbestätigung an
den Server. Die Übereinstimmungsbestätigung bestätigt dem
Server die Übereinstimmung
der ersten Verknüpfungsinformation,
die von der ersten Vorrichtung präsentiert wird, und der zweiten
Verknüpfungsinformation,
die von der zweiten Vorrichtung präsentiert wird.
-
Auf
Basis der empfangenen Übereinstimmungsbestätigung werden
das erste Charakteristikum und das zweite Charakteristikum assoziiert,
z. B. indem das erste Charakteristikum und das zweite Charakteristikum
in einer Tabelle korreliert werden.
-
Das
vorgeschlagene Verfahren ermöglicht ein
bequemes Verknüpfen
eines ersten Charakteristikums einer ersten Vorrichtung und eines
zweiten Charakteristikums einer zweiten Vorrichtung. Das Vergleichen
einer ersten Verknüpfungsinformation, die
von einer ersten Vorrichtung präsentiert
wird, und einer zweiten Verknüpfungsinformation,
die von einer zweiten Vorrichtung präsentiert wird, und das Bestätigen der Übereinstimmung
an einer der zwei Vorrichtungen gemäß der vorliegenden Erfindung
erfordert im Vergleich zu Verknüpfungsverfahren,
die auf manuell übertragenen
Verknüpfungsdaten
basieren, viel weniger Handlungen durch eine Person, da keine langen
Abfolgen aus einer ersten Vorrichtung gelesen und manuell in eine
zweite Vorrichtung eingegeben werden müssen. Darüber hinaus kann die Möglichkeit
eines Vertippens komplett vermieden werden, da keine Verknüpfungsinformationen
eingegeben werden müssen,
was das vorgeschlagene Verfahren für eine Person viel bequemer
macht. Darüber
hinaus bedingt das erfindungsgemäße Verfahren
keine lokale Verbindung zwischen der ersten Vorrichtung und der
zweiten Vorrichtung, wodurch kompatible Schnittstellen und das Anbinden
oder Abtrennen lokaler Verbindungen unnötig gemacht werden, während gleichzeitig
die Anwendbarkeit gesteigert wird. Das Präsentieren von übereinstimmenden
Verknüpfungsinformationen
durch die erste Vorrichtung und durch die zweite Vorrichtung ist
darüber
hinaus vorteilhaft, da es den Betreiber einer ersten Vorrichtung
davon befreit, sich einer Adresse einer zweiten Vorrichtung, die
mit der ersten Vorrichtung verknüpft
werden soll, bewusst sein zu müssen,
wie es bei Verknüpfungsverfahren
der Fall ist, die erfordern, dass eine Adresse der zweiten Vorrichtung
an der ersten Vorrichtung zum Bestätigen der Verknüpfung eingegeben
oder bestätigt
wird. Sehr oft steht jedoch eine Adresse einer Vorrichtung nicht
zur Verfügung,
z. B. wird die Adresse nicht angezeigt oder kann nicht ausgelesen werden
oder sie kann sich zeitweise ändern.
Insbesondere für
eine nicht vertrauenswürdige
Vorrichtung gilt, dass eine Adresse oftmals nicht für den Betreiber verfügbar ist,
wodurch das vorgeschlagene Verfahren sich sehr zum Verknüpfen nicht
vertrauenswürdiger
Vorrichtungen eignet, z. B. zum Verknüpfen einer IP-Adresse und einem
Port eines ersten Computerterminals als einer ersten nicht vertrauenswürdigen Vorrichtung
mit einer IP-Adresse und einem Port eines zweiten Computerterminals
als einer zweiten nicht vertrauenswürdigen Vorrichtung zum Einrichten eines
Computernetzes, das die zwei Computerterminals umfasst.
-
Erfindungsgemäß ist die
erste Vorrichtung eine vertrauenswürdige Vorrichtung und das erste Charakteristikum
hängt mit
einer Zugriffslegitimierung zusammen, die legitimiert, auf eine
erste Einrichtung zuzugreifen. Gemäß einer bevorzugten Ausführungsform
bedeutet Zusammenhängen,
dass das erste Charakteristikum die Zugriffslegitimierung und/oder
eine Kennung, aus der die Zugriffslegitimierung erhalten werden
kann, umfasst. Ein Beispiel für eine
Kennung, aus der eine Zugriffslegitimierung, die legitimiert, auf
ein Mobiltelefonnetz zuzugreifen, erhalten werden kann, ist eine
Nummer eines Dienste integrierenden digitalen Nachrichtennetzes
einer Mobilstation (Mobile Station Integrated Services Digital Network
Number, MSISDN) eines Mobiltelefons. Die assoziierten Charakteristika
können
weiter verarbeitet werden, z. B. zu statistischen, Berechnungs-
oder rechtlichen Zwecken.
-
Gemäß einer
anderen bevorzugten Ausführungsform
umfasst das zweite Charakteristikum eine Kennung, die die zweite
Vorrichtung identifiziert. Zugriff auf eine zweite Einrichtung wird
der zweiten Vorrichtung oder über
diese auf Basis des Assoziierens des ersten Charakteristikums, das
mit der Zugriffslegitimierung zusammenhängt, und des zweiten Charakteristikums,
das die Kennung umfasst, gewährt. Die
zweite Einrichtung kann mit der ersten Einrichtung iden tisch sein
oder sich von der ersten Einrichtung unterscheiden. Vereinbarungen
können
sicherstellen, dass eine Zugriffslegitimierung zum Zugreifen auf
die erste Einrichtung auch den Zugriff auf die zweite Einrichtung
gewährt.
Folglich kann das Assoziieren des Charakteristikums, das mit der
Zugriffslegitimierung zusammenhängt,
und des zweiten Charakteristikums, das die Kennung zum Identifizieren der
zweiten Vorrichtung umfasst, die Information bereitstellen, dass
die zweite Vorrichtung legitimiert ist, auf die zweite Einrichtung
zuzugreifen. Auf Basis dieser Information kann Zugriff auf die zweite
Einrichtung gewährt
werden. Eine Zugriffsaussage kann zum Gewähren von Zugriff von dem Server
an die zweite Vorrichtung, an die zweite Einrichtung oder an eine
weitere Entität,
die die zweite Vorrichtung oder die zweite Einrichtung unterstützt, gesendet
werden. Die Zugriffsaussage kann eine Zugriffslegitimierung umfassen,
die legitimiert, auf die zweite Einrichtung zuzugreifen, und z.
B. von der Zugriffsberechtigung abgeleitet sein kann, die legitimiert,
auf die erste Einrichtung zuzugreifen. Zugriff auf die zweite Einrichtung
kann z. B. erzielt werden, indem die zweite Vorrichtung für den adäquaten Gebrauch
frei gegegeben wird.
-
Gemäß einer
anderen bevorzugten Ausführungsform
löst eine
Anforderung zur Authentisierung die Verknüpfung aus. Eine Anforderung
zur Authentisierung ist bei herkömmlichen
Authentisierungsverfahren üblich,
wodurch die Implementierungsanstrengungen verringert werden, wenn
das vorgeschlagene Verknüpfungsverfahren
zu Authentisierungszwecken verwendet wird. Insbesondere wenn eine
Authentisierung zum Zugreifen auf die zweite Einrichtung erforderlich
ist, kann die zweite Einrichtung lediglich die Anforderung zur Authentisierung senden
und auf eine Zugriffsaussage warten, bevor sie der zweiten Vorrichtung
Zugriff gewährt,
wie es bei herkömmlichen
Authentisierungsverfahren der Fall ist. Dementsprechend muss die
zweite Einrichtung nicht notwendigerweise auf die Besonderheiten des
vorgeschlagenen Verfahrens angepasst werden, wodurch die Anwendbarkeit
des vorgeschlagenen Verfahrens gesteigert wird.
-
Gemäß einer
anderen bevorzugten Ausführungsform
umfassen die erste Verknüpfungsinformation
und die zweite Verknüpfungsinformation
ein oder mehrere zufallsbedingt erzeugte Symbole. Zufallsbedingt
erzeugte Symbole sind aufgrund von Sicherheitsgründen von Vorteil, da die Wahrscheinlichkeit verringert
wird, dass identische oder ähnliche
Verknüpfungsinformationen
in einer ersten Verknüpfung und
in einer zweiten Verknüpfung
präsentiert
werden. Insbesondere wenn mehrere nicht vertrauenswürdige Vorrichtungen
in unmittelbarer Nähe
angeordnet sind, kann eine Person, die eine Übereinstimmung der Verknüpfungsinformationen
bestätigen
muss, kann leicht durcheinander gebracht werden, wenn dieselbe oder
eine sehr ähnliche
Verknüpfungsinformation
auf den mehreren nicht vertrauenswürdigen Vorrichtung in seiner
Umgebung präsentiert
wird. Darüber
hinaus sind zufallsbedingt erzeugte Symbole ebenfalls vorteilhaft,
weil die Verknüpfungsinformation
in der Art und Weise eines einmaligen Kennworts verarbeitet werden
kann, was von Vorteil ist, wenn das Verfahren gemäß der vorliegenden
Erfindung mit einem herkömmlichen
Verknüpfungsverfahren,
das einmalige Kennwörter
verwendet, kombiniert wird. Beispiele eines Symbols sind eine Ziffer, ein
Buchstabe, eine Abbildung, ein Foto, ein Bild oder ein Piktogramm.
Vorteilhaft bei der Verwendung von Ziffern, Buchstaben und/oder
Piktogrammen ist deren einfache Verarbeitung und Präsentation
auf einer Vorrichtung mit einem einfachen Display, wie es in ein
herkömmliches
GSM-Mobiltelefon
(GSM = Globales System für
Mobilkommunikation) integriert ist. Ein weiterer Vorteil von Ziffern
und/oder Buchstaben besteht darin, dass sie leicht für eine akustische
Präsentation
umgewandelt werden können.
Das Präsentieren
von Grafiken wie Abbildungen, Fotos, Bildern und/oder Piktogrammen
kann vorteilhaft sein, da eine Person für gewöhnlich die Übereinstimmung von Grafiken
im Vergleich zu Buchstaben und/oder Ziffern intuitiver und schneller
erkennt, was das Verfahren zweckmäßiger macht.
-
Gemäß einer
anderen bevorzugten Ausführungsform
ist die erste Verknüpfungsinformation
mit der zweiten Verknüpfungsinformation
identisch. Das Vergleichen und Bestätigen der Übereinstimmung identischer
Verknüpfungsinformationen
ist in der Regel im Vergleich zum Vergleichen und Bestätigen von nicht
identischen, übereinstimmenden
Verknüpfungsinformationen
praktischer. Des Weiteren ist die Verwendung identischer Verknüpfungsinformationen in
dem Server einfacher zu implementieren.
-
Gemäß einer
anderen bevorzugten Ausführungsform
kann das Assoziieren des ersten Charakteristikums und des zweiten
Charakteristikums auf einer Verifizierung der Richtigkeit von in
die erste Vorrichtung eingegebenen Bestätigungsdaten basieren. Die
Eingabe von Bestätigungsdaten
kann aus Sicherheitsgründen
vorteilhaft sein, z. B. damit sich eine Person bewusster wird oder
zur persönlichen Authentisierung.
Zur Verifizierung der Richtigkeit der eingegebenen Bestätigungsdaten
müssen
die eingegebenen Bestätigungsdaten
mit vorher definierten Bestätigungsdaten übereinstimmen.
Die erste Vorrichtung oder der Server oder beide können die
Verifizierung ausführen.
Wenn der Server die eingegebenen Bestätigungsdaten verifiziert, sind
die in die erste Vorrichtung eingegebenen Bestätigungsdaten oder Daten, die
auf Basis der eingegebenen Bestätigungsdaten
in der ersten Vorrichtung erstellt wurden, an den Server zu senden,
z. B. in der Übereinstimmungsbestätigung enthalten
oder an diese angehängt.
Der Server vergleicht die eingegebenen Bestätigungsdaten oder die erstellten
Daten mit vorher definierten Bestätigungsdaten und führt das
Assoziieren der Charakteristika aus, wenn die eingegebenen Bestätigungsdaten
bzw. die erstellten Daten mit den vorher definierten Bestätigungsdaten übereinstimmen.
Wenn die erste Vorrich tung die Verifizierung ausführt, hat
die erste Vorrichtung Zugriff auf die vorher definierten Daten,
der der ersten Vorrichtung ermöglicht,
die Richtigkeit der eingegebenen Bestätigungsdaten zu verifizieren,
z. B. können
die vorher definierten Daten von dem Server an die zweite Vorrichtung
gesendet werden oder die vorher definierten Daten können auf
der zweiten Vorrichtung gespeichert werden. Die erste Vorrichtung
vergleicht die eingegebenen Bestätigungsdaten
mit den vorher definierten Bestätigungsdaten
und sendet die Übereinstimmungsbestätigung an
den Server, wenn die eingegebenen Bestätigungsdaten mit den vorher
definierten Bestätigungsdaten übereinstimmen.
Das Verfahren kann derart implementiert werden, dass das Senden
der Übereinstimmungsbestätigung eine
implizite Anzeige der Verifizierung der Richtigkeit der eingegebenen
Bestätigungsdaten
durch die erste Vorrichtung an den Server ist. Auf Basis der Verifizierung der
Richtigkeit kann der Server das Assoziieren des ersten und des zweiten
Charakteristikums ausführen. Je
nach der Implementierung können
die Bestätigungsdaten
zum Anzeigen der Übereinstimmung
der Verknüpfungsinformationen
eingegeben werden, wodurch die Anzahl der auszuführenden Schritte verringert
wird.
-
Gemäß einer
bevorzugten Ausführungsform umfassen
die Bestätigungsdaten
mindestens eines der folgenden: (a) eine persönliche Kennnummer (PIN), (b)
ein Kennwort, (c) eine Anzeige einer zusätzlichen Information, die parallel
zu der ersten Verknüpfungsinformation
oder der zweiten Verknüpfungsinformation
präsentiert
wird, wobei die zusätzliche
Information von der ersten Verknüpfungsinformation
und der zweiten Verknüpfungsinformation
unterscheidbar ist, und (d) Daten, die auf Basis der ersten Verknüpfungsinformation
und/oder der zweiten Verknüpfungsinformation
berechnet wurden. Eine eingegebene persönliche Kennnummer (Personal Identification
Number, PIN) ermöglicht
es, die Person persönlich
zu authentisieren, die gegenwärtig
die erste Vorrichtung betreibt, und ist insbesondere dazu vorteil haft,
einen nicht autorisierten Gebrauch zu verhindern, z. B. indem ein
Dieb daran gehindert wird, eine gestohlene Vorrichtung für eine erfindungsgemäße Verknüpfung zu
verwenden. Ein Kennwort kann in derselben Art und Weise verwendet
werden, es kann jedoch einfacher sein, sich an dieses zu erinnern,
als an eine PIN. Das Präsentieren
der zusätzlichen
Information parallel zu der ersten Verknüpfungsinformation oder der
zweiten Verknüpfungsinformation
kann den Betreiber dazu zwingen, die präsentierte Information gründlich zu
studieren, um die Übereinstimmung
zu erkennen, wodurch das vorgeschlagene Verfahren sicherer gemacht
wird. Des Weiteren kann eine Anzeige der zusätzlichen Information sehr kurz
sein und einfach einzugeben sein, z. B. mittels einer Ziffer oder
eines Buchstaben, die bzw. der die zusätzliche Information anzeigt.
Eine alternative Lösung
besteht in dem Eingeben von Daten, die auf Basis der ersten Verknüpfungsinformation
und/oder der zweiten Verknüpfungsinformation berechnet
wurden und die ebenfalls die Bewusstheit der Person steigern und
folglich das Verfahren sicherer machen. Außerdem können manche Personen das vorgeschlagene
Verknüpfungsverfahren
nur aufgrund des Berechnungsschritts reizvoll finden, der erfordert,
dass die Person sich der richtigen Antwort, d. h. der richtigen
Bestätigungsdaten,
entsinnt.
-
Die
vorliegende Erfindung betrifft außerdem einen Server, um das
wie oben beschriebene Verfahren zu implementieren.
-
Der
Server kann zum Verknüpfen
eines ersten Charakteristikums einer ersten Vorrichtung und eines
zweiten Charakteristikums einer zweiten Vorrichtung verwendet werden.
Der Server umfasst eine Empfangseinheit zum Empfangen von Nachrichten, eine Übertragungseinheit
zum Senden von Nachrichten und eine Verarbeitungseinheit zum Verarbeiten von
Nachrichten und Informationen. Die Verarbeitungseinheit ist dazu
eingerichtet, eine erste Verknüpfungsinformation und
eine zweite Verknüpfungsinformation
auszuwählen.
Die erste Verknüpfungsinformation
stimmt mit der zweiten Verknüpfungsinformation überein.
Die Übertragungseinheit
ist dazu eingerichtet, die erste Verknüpfungsinformation an die erste
Vorrichtung und die zweite Verknüpfungsinformation
an die zweite Vorrichtung zu senden. Die Empfangseinheit ist dazu
eingerichtet, eine Übereinstimmungsbestätigung von
der ersten Vorrichtung zu empfangen, wobei die Übereinstimmungsbestätigung der
Verarbeitungseinheit die Übereinstimmung der
ersten Verknüpfungsinformation,
die von der ersten Vorrichtung präsentiert wird, und der zweiten
Verknüpfungsinformation,
die von der zweiten Vorrichtung präsentiert wird, bestätigt. Die
Verarbeitungseinheit ist dazu eingerichtet, ein Assoziieren des
ersten Charakteristikums und des zweiten Charakteristikums auf Basis
der empfangenen Übereinstimmungsbestätigung auszuführen.
-
Erfindungsgemäß ist die
erste Vorrichtung eine vertrauenswürdige Vorrichtung und das erste Charakteristikum
hängt mit
einer Zugriffslegitimierung zusammen, die legitimiert, dass die
vertrauenswürdige
Vorrichtung auf eine erste Einrichtung zugreift.
-
Gemäß einer
anderen bevorzugten Ausführungsform
umfasst das zweite Charakteristikum eine Kennung, die die zweite
Vorrichtung identifiziert und die Übertragungseinheit ist auf
Basis des Assoziierens des ersten Charakteristikums, das mit der
Zugriffslegitimierung zusammenhängt,
und des zweiten Charakteristikums, das die Kennung umfasst, dazu eingerichtet,
eine Zugriffsaussage zu erzeugen, um der zweiten Vorrichtung oder über die
zweite Vorrichtung Zugriff auf eine zweite Einrichtung, die mit
der ersten Einrichtung identisch ist oder sich von der ersten Einrichtung
unterscheidet, zu gewähren,
und die Übertragungseinheit
ist dazu eingerichtet, die Zugriffsaussage an die zweite Vorrichtung
oder die zweite Einrichtung oder an eine Entität, die die zweite Vorrichtung
oder die zweite Einrichtung zum Gewähren von Zugriff unterstützt, zu
senden.
-
Gemäß einer
anderen bevorzugten Ausführungsform
ist die Empfangseinheit dazu eingerichtet, eine Anforderung zur
Authentisierung zu empfangen, die die Verarbeitungseinheit auslöst, um die
Verknüpfung
auszuführen.
-
Gemäß einer
anderen bevorzugten Ausführungsform
ist die Verarbeitungseinheit dazu eingerichtet, die erste Verknüpfungsinformation
und die zweite Verknüpfungsinformation
so auszuwählen, dass
sie ein oder mehrere zufallsbedingt erzeugte Symbole umfassen.
-
Gemäß einer
anderen bevorzugten Ausführungsform
ist die Verarbeitungseinheit dazu eingerichtet, die erste Verknüpfungsinformation
so auszuwählen,
dass sie mit der zweiten Verknüpfungsinformation
identisch ist.
-
Gemäß einer
anderen bevorzugten Ausführungsform
ist die Verarbeitungseinheit dazu eingerichtet, das Assoziieren
des ersten Charakteristikums und des zweiten Charakteristikums auf
Basis einer Verifizierung der Richtigkeit von in die erste Vorrichtung
eingegebenen Bestätigungsdaten
auszuführen.
-
Die
vorliegende Erfindung betrifft auch ein Computerprogramm, das Teile
von Softwarecodes umfasst, um das wie oben beschriebene Verfahren zu
implementieren, wenn es auf einem Server betrieben wird. Die Computerprogramme
können
auf einem maschinenlesbaren Datenträger gespeichert werden. Der
maschinenlesbare Datenträger
kann ein nichtlöschbarer
oder überschreibbarer
Speicher in einem Server oder extern angeordnet sein. Das jeweilige
Computerprogramm kann auch beispielsweise über ein Kabel oder eine drahtlose
Verbindung als eine Abfolge von Signalen an einen Server übertra gen
werden.
-
Das
Computerprogramm kann zum Verknüpfen
eines ersten Charakteristikums einer ersten Vorrichtung und eines
zweiten Charakteristikums einer zweiten Vorrichtung verwendet werden.
Das Computerprogramm kann in eine Verarbeitungseinheit eines Servers
geladen werden und umfasst Code, der dazu eingerichtet ist, eine
erste Verknüpfungsinformation und
eine zweite Verknüpfungsinformation
auszuwählen.
Die erste Verknüpfungsinformation
stimmt mit der zweiten Verknüpfungsinformation überein.
Das Computerprogramm umfasst Code, der dazu eingerichtet ist, ein
Senden der ersten Verknüpfungsinformation
an die erste Vorrichtung und ein Senden der zweiten Verknüpfungsinformation
an die zweite Vorrichtung zu initialisieren und ein Assoziieren
des ersten Charakteristikums und des zweiten Charakteristikums auf
Basis einer Übereinstimmungsbestätigung, die
von der ersten Vorrichtung empfangen wurde, auszuführen, wobei
die Übereinstimmungsbestätigung dem
Computerprogramm die Übereinstimmung der
ersten Verknüpfungsinformation,
die von der ersten Vorrichtung präsentiert wird, und der zweiten
Verknüpfungsinformation,
die von der zweiten Vorrichtung präsentiert wird, bestätigt. Das
Computerprogramm kann in allen Ausführungsformen des wie beschriebenen
Verfahrens verwendet werden.
-
Im
Folgenden sollen ausführliche
Ausführungsformen
der vorliegenden Erfindung beschrieben werden, um dem Fachmann ein
vollständiges und
komplettes Verständnis
zu vermitteln. Diese Ausführungsformen
sind jedoch veranschaulichend und sollen nicht einschränkend sein,
da der Schutzumfang der Erfindung von den angefügten Ansprüchen definiert wird.
-
KURZBESCHREIBUNG DER ZEICHNUNGEN
-
1a zeigt
ein Ablaufdiagramm einer ersten Ausführungsform der vorliegenden
Erfindung;
-
1b zeigt
Beispiele von Abläufen
und Nachrichten zwischen Vorrichtungen gemäß der ersten Ausführungsform
von 1a;
-
2 zeigt
einen Betreiber, Vorrichtungen und Nachrichten zwischen Vorrichtungen
einer zweiten Ausführungsform
der vorliegenden Erfindung;
-
3a zeigt
eine Tabelle, die einen ersten Satz von Beispielen von Präsentationen
von einer vertrauenswürdigen
Vorrichtung und auf einer nicht vertrauenswürdigen Vorrichtung umfasst;
-
3b zeigt
eine Tabelle, die einen zweiten Satz von Beispielen von Präsentationen
von einer vertrauenswürdigen
Vorrichtung und auf einer nicht vertrauenswürdigen Vorrichtung umfasst.
-
AUSFÜHRLICHE BESCHREIBUNG DER ERFINDUNG
-
1a zeigt
ein Ablaufdiagramm einer ersten Ausführungsform der vorliegenden
Erfindung, in der eine Anforderung 50 zur Verknüpfung die
folgenden Schritte des Verfahrens auslöst. 1b zeigt Beispiele
von Abläufen
und Nachrichten zwischen Vorrichtungen, d. h. einer ersten Vorrichtung
PP1 und einer zweiten Vorrichtung NP1, die verknüpft werden sollen, und einem
Server S1, zum Ausführen
des Verfahrens gemäß dem in 1a dargestellten
Ablaufschema. Im Folgenden werden 1a und 1b parallel
beschrieben. Identische Bezugsziffern in 1a und 1b beschreiben
entsprechende Merkmale.
-
Gemäß 1a beginnt
die erste Ausführungsform
mit einer Anforderung 50 zur Verknüpfung. Die Anforderung 50 zur
Verknüpfung
kann von einer Entität,
die sich außerhalb
des Servers S1 befindet, oder von dem Server S1 selbst stammen.
-
Die
Anforderung 50 zur Verknüpfung kann mittels einer Anforderungsnachricht 51 von
der zweiten Vorrichtung NP1 an den Server S1 gesendet werden, wie
in 1b dargestellt. Die Anforderung 50 zur
Verknüpfung
veranlasst den Server S1, die erste Vorrichtung PP1 und die zweite
Vorrichtung NP1 zu verknüpfen,
indem er ein erstes Charakteristikum der ersten Vorrichtung PP1
und ein zweites Charakteristikum der zweiten Vorrichtung NP1 assoziiert.
In der Anforderungsnachricht 51 kann dem Server S1 eine Adresse
der zweiten Vorrichtung NP1 bereitgestellt werden. Des Weiteren
kann die Anforderungsnachricht 51 eine Adresse der ersten
Vorrichtung PP1 umfassen. Anschließend wählt der Server S1 die erste Verknüpfungsinformation
und die zweite Verknüpfungsinformation
aus, 75. Des Weiteren sendet, 100, der Server
S1 die erste Verknüpfungsinformation über Nachricht 101 an
die erste Vorrichtung PP1 und sendet, 150, die zweite Verknüpfungsinformation über Nachricht 151 an
die zweite Vorrichtung NP1. Anschließend wird die erste Verknüpfungsinformation
von der ersten Vorrichtung PP1 präsentiert, 200, und
die zweite Verknüpfungsinformation
wird von der zweiten Vorrichtung NP1 präsentiert, 250. Nach
Vergleichen der präsentierten
Verknüpfungsinformation und
Erkennen, dass die präsentierten
Informationen übereinstimmen,
führt die
Person, die die erste Vorrichtung PP1 betreibt, eine Eingabe, 300,
einer Anzeige der Übereinstimmung
in die erste Vorrichtung PP1 ein. Vorzugsweise wird eine Anforderung
zur Eingabe, 300, der Anzeige der Übereinstimmung von der ersten
Vorrichtung PP1 und, wenn strengere Sicherheitsanforderungen gelten,
auch zur Eingabe, 350, von Bestätigungsdaten, wie einer PIN,
in die erste Vorrichtung PP1 ausgegeben. Gemäß dem vorliegenden Beispiel
wird die Richtigkeit der eingegebenen Bestätigungsdaten von der ersten
Vorrichtung PP1 verifiziert. Die Eingabe, 300, 350,
der Anzeige der Übereinstimmung
und der richtigen Bestätigungsdaten
löst das
Senden, 400, einer Übereinstimmungsbestätigung über Nachricht 401 von
der ersten Vorrichtung PP1 an den Server S1 aus. Die Überein stimmungsbestätigung bestätigt die Übereinstimmung
der ersten Verknüpfungsinformation,
die auf der ersten Vorrichtung PP1 präsentiert wird, und der zweiten
Verknüpfungsinformation,
die auf der zweiten Vorrichtung präsentiert wird, und versorgt
zusätzlich
den Server S1 mit der Information, dass der Betreiber der ersten
Vorrichtung PP1 persönlich
authentisiert wurde, indem die richtige PIN eingegeben wurde. Des
Weiteren wird dem Server S1 durch die empfangene Übereinstimmungsinformation
ein Beweis der unmittelbaren Nähe
der ersten Vorrichtung PP1 und der zweiten Vorrichtung NP1 bereitgestellt,
so dass der Server S1 voraussetzen kann, dass die Person, die die
zweite Vorrichtung NP1 betreibt, mit der Person, die die erste Vorrichtung
PP1 betreibt, identisch ist oder zumindest von dieser autorisiert
ist. Auf Basis der empfangenen Übereinstimmungsbestätigung kann
von dem Server S1 ein Assoziieren, 450, eines ersten Charakteristikums
der ersten Vorrichtung PP1 und eines zweiten Charakteristikums der zweiten
Vorrichtung NP1 ausgeführt
werden. Welche Charakteristika assoziiert werden sollen, 450,
kann in der Anforderung 50 zur Verknüpfung angezeigt werden. Zusätzliche
Bestimmungsschritte können
ausgeführt
werden, um adäquate
Charakteristika, die assoziiert werden sollen, zu bestimmen. Ein
geeignetes Beispiel besteht darin, eine Adresse der ersten Vorrichtung
PP1 und eine Adresse der zweiten Vorrichtung NP1 zu assoziieren,
z. B. die Adressen, die dem Server S1 zum Senden, 100, 150,
der Verknüpfungsinformationen
bekannt sind. Auf Basis des Assoziierens 450 des ersten
Charakteristikums und des zweiten Charakteristikums kann eine Verknüpfungsaussage
die erfolgreiche Verknüpfung
der zwei Vorrichtungen PP1, NP1 erklären. Die Verknüpfungsaussage
kann als Antwort auf die Anforderung 50 zur Verknüpfung an
die zweite Vorrichtung gesendet werden, 501.
-
Die
erste Vorrichtung PP1 ist eine vertrauenswürdige Vorrichtung und zusätzliche
Verifizierungsschritte sind nicht in 1 gezeigt.
Der Server verifiziert die Zugriffslegitimierung der persönlichen Vorrichtung
zum Ausführen
der Verknüpfung,
z. B. vor dem Senden der Verknüpfungsinformationen
an die jeweiligen Vorrichtungen. Insbesondere wenn der zweiten Vorrichtung
NP1 oder über
diese Zugriff auf eine Einrichtung gewährt wird, kann überprüft werden,
ob entsprechende Vereinbarungen existieren, die gestatten, durch
oder über
die zweite Vorrichtung NP1 auf Basis der Zugriffslegitimierung der
vertrauenswürdigen
Vorrichtung auf die Einrichtung zuzugreifen. Zum Beispiel kann überprüft werden,
ob eine Zugriffslegitimierung eines Mobiltelefons, die legitimiert,
dass das Mobiltelefon auf ein Mobiltelefonsystem wie GSM oder UMTS
(universelles Mobiltelekommunikationssystem) zugreift, auch das
Zugreifen auf einen Internetdienst als Beispiel für die Einrichtung,
auf die Zugriff angefordert wird, über ein Computerterminal als
Beispiel für
eine zweite Vorrichtung legitimiert. Durch Assoziieren eines ersten
Charakteristikums, das mit der Zugriffslegitimierung der ersten Vorrichtung
zusammenhängt,
z. B. einer Mobiltelefonnummer als erstem Charakteristikum, und
eines zweiten Charakteristikums, das ermöglicht, die zweite Vorrichtung
zu identifizieren, kann der zweiten Vorrichtung oder über diese
Zugriff auf die Einrichtung gewährt
werden.
-
Zum
Verwenden des in Verbindung mit 1a beschriebenen
Verfahrens zu Authentisierungszwecken ist es vorteilhaft, die Anforderung 50 zur
Verknüpfung
und die Verknüpfungsaussage, 500, durch
eine angemessene Anforderung zur Authentisierung bzw. eine Authentisierungsaussage
zu ersetzen und eine vertrauenswürdige
Vorrichtung als erste Vorrichtung PP1 zu verwenden. Die Anforderung
zur Authentisierung kann über
Nachricht 51 an den Server S1 gesendet werden. Die Schritte 75–450 und
die entsprechenden Abläufe
und Nachrichten 75–450 können wie
in Verbindung mit 1 erläutert ausgeführt werden.
Auf Basis der Verknüpfung
kann die Authentisierungsaussage zum Gewähren von Zugriff gesendet werden.
Zum Beispiel kann die Authentisierungsaussage kann über Nachricht 501 an
die zweite Vorrichtung gesendet werden, wodurch z. B. eine Freigabe
der zweiten Vorrichtung NP1 zum Erhalten von Zugriff bewirkt wird.
-
Im
Allgemeinen gilt das Folgende für
die erste und die zweite Vorrichtung: Zum Empfangen der ersten Verknüpfungsinformation
an der ersten Vorrichtung ist die erste Vorrichtung mit einer ersten Empfangseinheit
ausgerüstet
und zum Empfangen der zweiten Verknüpfungsinformation durch die
zweite Vorrichtung ist die zweite Vorrichtung mit einer zweiten
Empfangseinheit ausgerüstet.
Zum Präsentieren
der ersten Verknüpfungsinformation
durch die erste Vorrichtung ist die erste Vorrichtung mit einer ersten
Ausgabeeinheit ausgerüstet
und zum Präsentieren
der zweiten Verknüpfungsinformation
durch die zweite Vorrichtung ist die zweite Vorrichtung mit einer
zweiten Ausgabeeinheit ausgerüstet.
Beispiele einer Ausgabeeinheit sind ein Display, ein Lautsprecher
oder ein Drucker oder eine Vorrichtung, die ermöglicht, Verknüpfungsinformation
mittels geprägter Symbole
zu präsentieren.
Die zweite Vorrichtung kann mit einer Eingabeeinheit wie einer Tastatur
oder einem Mikrofon zum Auslösen
des Verknüpfungsverfahrens,
z. B. durch eine Anforderung zur Authentisierung oder Verknüpfung, ausgerüstet sein.
Zum Eingeben der Anzeige der Übereinstimmung
und der Bestätigungsdaten,
falls zutreffend, ist die erste Einrichtung mit einer Eingabeeinheit
wie einem Tastenfeld, Mikrofon oder Berührungsbildschirm ausgerüstet.
-
Eine
oder mehrere der oben erwähnten
Einheiten für
die erste Vorrichtung und/oder die zweite Vorrichtung können abnehmbar
sein. Die Tatsache, dass die erste Vorrichtung und/oder die zweite
Vorrichtung nicht unbedingt eine integrierte Empfangseinheit, Übertragungseinheit,
Eingabeeinheit und/oder Ausgabeeinheit aufweisen müssen, macht das
vorgeschlagene Verfahren flexibler, z. B. kann als vertrauenswürdige Vorrichtung
eine Kreditkarte verwendet werden, die in eine Vorrichtung ähnlich einem Kartenlesegerät eingesetzt
ist, welches des Weiteren eine Eingabe- und Ausgabeeinheit und eine Empfangs-
und Übertragungseinheit
aufweist, wie zuvor erläutert.
Darüber
hinaus macht ein Präsentieren
von Verknüpfungsinformationen
durch einen Lautsprecher oder in Blindenschrift das vorgeschlagene
Verfahren außerdem
für blinde
Menschen einfach bedienbar.
-
In
den folgenden Beispielen werden vertrauenswürdige Vorrichtungen beschrieben,
die in dem vorgeschlagenen Verknüpfungsverfahren
verwendet werden können:
Erstens eine vertrauenswürdige
Vorrichtung, die Zugriff auf eine Einrichtung legitimiert, ohne
eine Identität
des legitimen Besitzers der vertrauenswürdigen Vorrichtung zu offenbaren:
Gemäß diesem
ersten Beispiel gestatten ein oder mehrere Charakteristika, die
mit der vertrauenswürdigen
Vorrichtung assoziiert und von der Einrichtung bestimmbar sind,
wenn sie der vertrauenswürdigen
Vorrichtung zum Erhalten von Zugriff präsentiert werden, es nicht,
den legitimen Besitzer zu identifizieren. Dazu kann eine vertrauenswürdige Vorrichtung
gemäß dem ersten
Beispiel dem legitimen Besitzer bereitgestellt werden, ohne eine
Identität
des legitimen Besitzers mit der einen oder den mehreren bestimmbaren Charakteristika
zu assoziieren. Ein Beispiel einer solchen vertrauenswürdigen Vorrichtung
ist ein Ticket, das legitimiert, auf eine Einrichtung zuzugreifen,
indem als Zugriffslegitimierung ein Name der Einrichtung und eine
Seriennummer, die nicht mit einer Identität des legitimen Besitzers assoziiert
ist, offenbart werden. Zweitens eine vertrauenswürdige Vorrichtung, die Zugriff
auf eine Einrichtung legitimiert und gestattet, eine Identität des legitimen
Besitzers zu erhalten; gemäß dem zweiten
Beispiel ist mindestens eines der Charakteristika der vertrauenswürdigen Vorrichtung
bestimmbar und die Einrichtung ist mit einer Identität des legitimen
Besitzers assoziiert. Die Identität kann an der vertrauenswürdigen Vorrichtung,
an der Einrichtung und/oder einer weiteren Entität, auf die von der Einrichtung
zugegriffen werden kann, gespeichert werden. Wenn die Identität an der Einrichtung
und/oder an der weiteren Entität
gespeichert ist, muss die vertrauenswürdige Vorrichtung von der Einrichtung
eindeutig identifizierbar sein, um die Identität des legitimen Besitzers zu
erhalten. Drittens eine vertrauenswürdige Vorrichtung, die Zugriff auf
eine Einrichtung legitimiert und eine persönliche Authentisierung gestattet,
d. h. es ist möglich,
zu beweisen, dass die Person, die die vertrauenswürdige Vorrichtung
betreibt, mit dem legitimen Besitzer identisch ist oder von diesem
autorisiert ist. Ein Geheimnis wie eine persönliche Kennnummer (Personal Identification
Number, PIN), die dem legitimen Besitzer persönlich ausgestellt wurde, oder
eine Benutzeridentität – Kennwortmechanismus
oder persönliche Information,
die eindeutig mit dem legitimen Besitzer zusammenhängt, wie
eine Unterschrift oder ein Foto – können zur persönlichen
Authentisierung verwendet werden, wenn sie der vertrauenswürdigen Vorrichtung
zum Erhalten von Zugriff präsentiert
werden. Eine Autorisierung durch den legitimen Besitzer kann erreicht
werden, indem dieses Geheimnis einer weiteren Person gegeben wird,
was der weiteren Person ermöglicht,
auf die Einrichtung zuzugreifen, wenn es der vertrauenswürdigen Vorrichtung
präsentiert
wird. Beispiele vertrauenswürdiger
Vorrichtungen, die eine persönliche
Authentisierung ermöglichen,
sind eine Kreditkarte in Kombination mit einer Unterschrift oder ein
GSM-Mobiltelefon in Kombination mit einer PIN.
-
Beim
Verknüpfen
einer vertrauenswürdigen Vorrichtung
hängt es
von der vertrauenswürdigen Vorrichtung
und der Verarbeitung von Charakteristika, die von dem Server zur
Verknüpfung
bestimmbar sind, ab, ob dem Server Informationen über den
legitimen Besitzer, wie zuvor erläutert, bereitgestellt werden.
Wenn Informationen über
den legitimen Besitzer bestimmbar sind, können diese Informationen in
dem Assoziierungsschritt verwendet werden.
-
In
der Regel wird für
strengere Sicherheitsanforderungen vorzugsweise eine höhere Beispielsnummer
einer vertrauenswürdigen
Vorrichtung verwendet. Darüber
hinaus kann eine vertrauenswürdige
Vorrichtung mit Charakteristika wie dem Ausgabedatum, dem Ablaufdatum
oder einem Wert, der mit der vertrauenswürdigen Vorrichtung assoziiert
ist und z. B. zum Verknüpfen
und/oder zum Gewähren
von Zugriff in Erwägung
gezogen werden kann, assoziiert werden.
-
2 zeigt
eine zweite Ausführungsform des
vorgeschlagenen Verfahrens. Eine Person A2, die eine vertrauenswürdige Vorrichtung,
die als Mobiltelefon PP2 dargestellt ist, und eine nicht vertrauenswürdige Vorrichtung,
die als ein Computerterminal NP2 dargestellt ist, betreibt, will über das
Computerterminal NP2 auf einen Dienst zugreifen, der von einem Server
SP2 im Internet bereitgestellt wird. Das Computerterminal NP2 sendet
eine Anforderung SR zum Dienstzugriff an den Server SP2, der den
Dienst im Internet bereitstellt. Der Server SP2 erkennt, dass für den angeforderten
Dienst eine Authentisierung erforderlich ist. Der Server SP2 kann
dem Computerterminal NP2 mit einer Authentisierungsanforderungsnachricht
ARM1 antworten, die nach Authentisierung fragt, z. B. indem gefragt
wird, eine MSISDN-Nummer einzugeben. Die Person A2 gibt die MSISDN-Nummer des Mobiltelefons
PP2 in das Computerterminal NP2 ein und sendet die eingegebene MSISDN-Nummer
in einer Authentisierungsantwortnachricht ARM2 an den Server SP2.
Die Authentisierungsantwortnachricht ARM2 kann auch die Adresse
des Computerterminals NP2, wie eine IP-Adresse (IP = Internetprotokoll)
und eine Portnummer mit sich tragen. Auf Basis der empfangenen Authentisierungsantwortnachricht
ARM2 sendet der Server SP2 eine Anforderung RA zur Authentisierung an
den Server AS2. Gemäß dem vorliegenden
Beispiel umfasst die Anforderung RA die MSISDN-Nummer des Mobiltelefons
PP2, die IP-Adresse und die Portnummer des Computerterminals NP2
und eine IP-Adresse und eine Portnummer des Servers SP2. Gegebenenfalls
kann eine Kennung oder ein Name des Dienstes und/oder des Diensteanbieters
und die Zeit, zu der die Anforderung SR von Dienst an dem Server
SP2 empfangen wurde, in die Anforderung RA eingebunden werden. Der
Server AS2 geht bei Auslösung
durch die Anforderung RA wie folgt vor: Der Server AS2 akzeptiert
die empfangene MSISDN-Nummer als zum Zugriff auf ein Mobiltelekommunikationssystem
legitimiert. Auf Basis einer Analyse der MSISDN-Nummer kann der
Server AS2 auch erkennen, dass die MSISDN-Nummer einem bestimmten
Netzbetreiber entspricht. Gemäß dem vorliegenden
Beispiel überprüft der Server
AS2, ob die Zugriffslegitimierung gemäß der MSISDN-Nummer auch zum Zugriff
auf den Dienst legitimiert, der von dem Server SP2 bereitgestellt
wird, z. B. gemäß einer
entsprechenden Vereinbarung, die im Vorhinein oder auf Anforderung
abgeschlossen wurde, oder indem eine implizite Vereinbarung aufgrund
der Tatsache, dass der Server SP2 die MSISDN-Nummer in der Anforderungsnachricht 51 sendet,
angenommen wird. Wenn eine persönliche
Authentisierung erforderlich ist, kann der Server AS2 darüber hinaus
eine Identität
des legitimen Besitzers der MSISDN-Nummer beziehen, z. B. Name und
Adresse der Person A2, die das Mobiltelefon PP2 als vertrauenswürdige Vorrichtung
präsentiert.
-
Nach
Akzeptieren der MSISDN-Nummer des Mobiltelefons PP2 und der Zulassung
der assoziierten Zugriffslegitimierung fährt der Server AS2 mit der Verknüpfung fort,
indem er eine erste und eine zweite Verknüpfungsinformation auswählt. Gemäß dem vorliegenden
Beispiel wählt
der Server AS2 eine identische Abfolge von Bildern aus und sendet
diese an das Mobiltelefon PP2 und an das Computerterminal NP2. Die
Verknüpfungsinformation
für das
Computerterminal NP2 wird in einer Nachricht LIA1 an den Server
SP2 gesendet, der die Verknüpfungsinformation
für das
Computerterminal NP2 über
eine Nachricht LIA2 weiter an das Computerterminal NP2 sendet, an
dem die Verknüpfungsinformation
auf dem Computerbildschirm präsentiert
wird, wie mittels des Bildschirmbilds DIN gezeigt. Die Verknüpfungsinformation
für das
Mobiltelefon PP2 wird in einer Nachricht LIB, z. B. über SMS
(Short Messaging Service, Kurznachrichtendienst) oder MMS (Multimedia
Messaging Service, Multimedia-Nachrichtendienst)
oder WAP-Push (WAP = Wireless Application Protocol, drahtloses Anwendungsprotokoll),
an das Mobiltelefon PP2 gesendet. Die Verknüpfungsinformation wird auf
dem Display des Mobiltelefons PP2 präsentiert, wie mittels des Bildschirmbilds
DIP gezeigt. Das Verfahren wird zweckmäßiger und sicherer, wenn die Verknüpfungsinformation,
die auf dem Mobiltelefon PP2 präsentiert
wird, parallel mit einer Anforderung präsentiert wird wie folgt:
„Lieber
[Name der Person], Sie möchten
auf den Dienst [Name des Dienstes] um [Zeit der Dienstanforderung]
zugreifen. Bitte bestätigen
Sie die Übereinstimmung
der auf Ihrem Mobiltelefon und auf Ihrer nicht vertrauenswürdigen Vorrichtung
[Adresse] präsentierten
Verknüpfungsinformationen,
indem Sie die Taste JA auf Ihrem Mobiltelefon drücken und anschließend Ihre
PIN eingeben."
-
Der
oben erwähnte
Anforderungstext enthält Eingaben,
die in Klammern angegeben sind. Diese Eingaben, wie der Name der
Person A2, der Name des Dienstes, die Zeit der Dienstanforderung
und eine Adresse der nicht vertrauenswürdigen Vorrichtung, können in
die Nachricht LIB eingebunden werden und folglich dem Mobiltelefon
PP2 zur Präsentation
bereitgestellt werden, wenn der Server AS2 diese Informationen verfügbar hat,
wie zuvor erläutert.
-
Wenn
die Verknüpfungsinformationen
in der Form einer Abfolge von Bildern, die auf dem Display des Mobiltelefons
PP2 und auf dem Bildschirm des Computerterminals präsentiert
werden, identisch sind und folglich übereinstimmen, drückt die
Person A2 die Taste „JA" auf dem Mobiltelefon
PP2 und gibt seine PIN zur Bestätigung
der Übereinstimmung ein. Für den Fall,
dass die Information, die von dem Mobiltelefon PP2 präsentiert
wird, und die Information, die von dem Computerterminal NP2 präsentiert
wird, nicht übereinstimmen,
läuft möglicherweise
ein eventueller Angriff ab. In diesem Fall kann die Bestätigung der Übereinstimmung
abgelehnt werden und der Verknüpfungsvorgang
kann somit beendet werden, z. B. indem „NEIN" gedrückt wird oder indem eine falsche PIN
eingegeben wird. Gemäß dem vorliegenden
Beispiel stimmen die Verknüpfungsinformationen überein und
eine Übereinstimmungsbestätigung wird
mittels einer Übereinstimmungsbestätigungsnachricht MC
von dem Mobiltelefon PP2 an den Server AS2 gesendet. Auf Basis der
empfangenen Übereinstimmungsbestätigung verknüpft der
Server AS2 das Computerterminal NP2 und das Mobiltelefon PP2, indem
er z. B. die Adresse des Computerterminals NP2 mit der MSISDN-Nummer
des Mobiltelefons PP2 assoziiert, und versorgt den Server SP2 mit
einer Authentisierungsaussagenachricht AA, die eine Authentisierungsaussage
umfasst. Auf Basis der Authentisierungsaussage kann der Server SP2
dem Computerterminal NP2 Dienstzugriff SA für die Person A2 gewähren. Falls
verfügbar
oder angefordert, kann der Server AS2 dem Server SP2 persönliche Informationen,
die mit der Person A2 zusammenhängen, wie
der Name und/oder die Adresse und/oder eine Kreditkartennummer,
bereitstellen. Der Server SP2 kann die bereitgestellten persönlichen
Informationen in einer Datenbank speichern, z. B. zu Berechnungs- oder
statistischen Zwecken oder aus rechtlichen Gründen.
-
Die
Ausführungsform
von 2 verwendet ein Computerterminal als nicht vertrauenswürdige Vorrichtung.
Die in Verbindung mit 1a, 1b und 2 beschriebenen
Ausführungsformen
jedoch, in denen eine nicht vertrauenswürdige Vorrichtung beispielsweise
ein Minicomputer (personal digital assistant, PDA), eine Arbeitsstation,
ein Notebook, ein ATM, eine physische Zugangseinheit wie eine Tür oder physische
Steuereinheit wie ein Lenkrad ist.
-
In 3a ist
eine Tabelle mit Beispielen von übereinstimmenden
Verknüpfungsinformationen
gezeigt, die von einer vertrauenswürdigen Vorrichtung als einem
Beispiel für
eine erste Vorrichtung und einer nicht vertrauenswürdigen Vorrichtung
als einem Beispiel für
eine zweite Vorrichtung präsentiert
werden. Die individuellen Beispiele von Verknüpfungsinformationen sind durch
identifizierende Nummern (IDs) angezeigt. Identische Abfolgen von
Ziffern 1a, von Buchstaben 2a, von Piktogrammen 3a, von Bildern
4a und von einer Kombination von Buchstaben und Ziffern 5a sind
als Beispiele identischer Verknüpfungsinformationen
gezeigt. Wie zuvor festgestellt, müssen übereinstimmende Verknüpfungsinformationen
jedoch nicht unbedingt identisch sein. Beispiele nicht identischer übereinstimmender
Verknüpfungsinformationen
sind in den Beispielen 6a bis 11a angegeben. Die Beispiele 6a und
7a offenbaren Beispiele aufeinander folgender übereinstimmender Verknüpfungsinformationen
für Abfolgen
von Ziffern bzw. Buchstaben, d. h. Abfolgen, die auf der vertrauenswürdigen Vorrichtung
beginnen, werden auf der nicht vertrauenswürdigen Vorrichtung fortgesetzt
oder umgekehrt. 8a und 9a zeigen Beispiele komplementärer übereinstimmender
Verknüpfungsinformationen,
wobei eine erste Abfolge von Piktogrammen von der vertrauenswürdigen Vorrichtung
präsentiert
wird und eine zweite Abfolge von Piktogrammen, mit der ersten identisch,
jedoch mit umgekehrter Farbe, von der nicht vertrauenswürdigen Vorrichtung
präsentiert wird.
10a ist ein Beispiel einer berechneten übereinstimmenden Verknüpfungsinformation,
d. h. die Verknüpfungsinformation,
die von der nicht vertrauenswürdigen
Vorrichtung präsentiert
wird, kann mittels der Verknüpfungsinformation,
die von der vertrauenswürdigen
Vorrichtung präsentiert
wird, berechnet werden oder umgekehrt. Beispiel 11a zeigt eine Abfolge
von Bildern, die von der nicht vertrauenswürdigen Vorrichtung präsentiert
wird. Die Verknüpfungsinformation,
die von der vertrauenswürdigen
Vorrichtung präsentiert
wird, ist eine Abfolge von Namen, die mit der Abfolge von Bildern
im Textformat übereinstimmt.
Eine Implementierung gemäß Beispiel
11a kann sehr nützlich
sein, wenn nur eine der Vorrichtungen die Präsentation von Bildern unterstützt. Es kann
daher von Vorteil sein, der vertrauenswürdigen Vorrichtung oder der
nicht vertrauenswürdigen
Vorrichtung oder beiden eine Vielfalt von Formaten der Verknüpfungsinformationen
bereitzustellen, aus der das am besten geeignete Format zum Erhöhen der Wahrscheinlichkeit
zum Präsentieren
der Verknüpfungsinformationen
ausgewählt
werden kann. Ein weiteres Beispiel nicht identischer übereinstimmender
Informationen, das nicht in 3a gezeigt
ist, ist ein Puzzle, wobei ein oder mehrere erste Teile des Puzzles
von der vertrauenswürdigen
Vorrichtung präsentiert
werden können
und ein weiterer oder mehrere weitere Teile des Puzzles von der
nicht vertrauenswürdigen
Vorrichtung präsentiert
werden können.
-
Das
Vergleichen grafischer Verknüpfungsinformationen,
wie Bilder, Abbildungen oder Piktogramme, und das Erkennen einer Übereinstimmung dieser
kann für
eine Person einfacher sein als nicht grafische Verknüpfungsinformationen,
wie Ziffern oder Buchstaben, was das vorgeschlagene Verfahren auf
Basis grafischer Verknüpfungsinformationen zweckmäßiger, aber
auch sicherer macht, da die Wahrscheinlichkeit einer fehlerhaften
Erkennung der übereinstimmung
vermindert ist. Als ein Beispiel für einen Satz von 100 Piktogrammen
ermöglicht
eine Abfolge von 3 zufallsbedingt ausgewählten Piktogrammen als Verknüpfungsinformation
1.000.000 unterschiedliche Abfolgen, was das vorgeschlagene Verfahren
einerseits ausreichend sicher macht. Andererseits ist eine Abfolge
von 3 Piktogrammen sehr einfach und schnell zu vergleichen, verglichen
mit z. B. einer Abfolge von sechs Ziffern, die ebenfalls 1.000.000
unterschiedliche Abfolgen ermöglicht.
-
3b wird
dazu verwendet, zu erläutern, wie
eine Eingabe der Anzeige der übereinstimmung ausgeführt werden
kann und wie eine Eingabe von Bestätigungsdaten in die vertrauenswürdige Vorrichtung
als einem Beispiel für
die erste Vorrichtung durchgeführt
werden kann. Aus diesem Grund sind Beispiele für übereinstimmende Verknüpfungsinformationen,
die von der vertrauenswürdigen
Vorrichtung und von einer nicht vertrauenswürdigen Vorrichtung als einem
Beispiel für
die zweite Vorrichtung präsentiert
werden, gezeigt. Die präsentierten übereinstimmenden
Verknüpfungsinformationen
sind durch eine zusätzliche
Information, die parallel zu der jeweiligen übereinstimmenden Verknüpfungsinformation
auf einer der Vorrichtungen präsentiert
wird, ergänzt.
Zum Erkennen der Übereinstimmung
der ersten Verknüpfungsinformation
und der zweiten Verknüpfungsinformation
sollte die zusätzliche
Information klar von der übereinstimmenden
Verknüpfungsinformation
unterscheidbar sein, z. B. gemäß den Beispielen
1b–10b,
wie im Folgenden erläutert.
Zum Eingeben einer Anzeige für
die Übereinstimmung und/oder
Eingeben von Bestätigungsdaten
kann eine entsprechende Anforderung von mindestens einer der Vorrichtungen,
die verknüpft
werden sollen, präsentiert
werden. Die Eingabe der Anzeige zur Übereinstimmung und die Eingabe
für die
Bestätigungsdaten
können
kombiniert werden.
-
Gemäß dem ersten
Beispiel in 1b werden die übereinstimmenden
Verknüpfungsinformationen durch
eine Abfolge von Ziffern „123456" auf beiden Vorrichtungen
und die zusätzlichen
Informationen durch eine Sequenz von lateinischen Buchstaben „ABCDEF" und eine Sequenz
von griechischen Buchstaben „ψδηρτξ" angegeben. Die wie
auf der vertrauenswürdigen
Vorrichtung präsentierten
Informationen sind nummeriert und die Übereinstimmung der Verknüpfungsinformationen
kann bestätigt
werden, indem „2" in die vertrauenswürdige Vorrichtung eingegeben
werden, um anzuzeigen, dass die mit „2" nummerierte Information, die von der
vertrauenswürdige
Vorrichtung präsentiert
wird, die Verknüpfungsinformation
ist, die mit der Verknüpfungsinformation übereinstimmt,
die von der nicht vertrauenswürdigen Vorrichtung
präsentiert wird.
Alternativ kann ein Zeigegerät
wie eine Maus zum „Klicken" auf die Verknüpfungsinformation
oder die entsprechende Kennung, d. h. Nummer „2" gemäß dem vorliegenden Beispiel,
verwendet werden. Auch eine Spracheingabe ist zum Anzeigen der Übereinstimmung
möglich.
-
2b
zeigt eine entsprechende Präsentation von übereinstimmenden
Verknüpfungsinformationen,
d. h. „ABCDEF" und zusätzlichen
Informationen, d. h. „45T698" und „$rt%tz", wobei die zusätzlichen Informationen
von der nicht vertrauenswürdigen
Vorrichtung präsentiert
werden. Als Kennungen werden für
die übereinstimmenden
Verknüpfungsinformationen
der Buchstabe „A" und für die zusätzlichen
Informationen die Buchstaben „B" und „C" verwendet. Gemäß diesem
Beispiel kann eine Anzeige der Übereinstimmung
ausgeführt
werden, indem „A" in die vertrauenswürdige Vorrichtung
eingegeben wird.
-
Gemäß dem Beispiel
in 1b und 2b kann die Eingabe der Anzeige der Übereinstimmung auch mittels
trivialer Mittel vorgenommen werden, ohne dass weiterhin von der
zusätzlichen
Information Gebrauch gemacht wird, die der Person präsentiert
wird, z. B. indem „JA" gedrückt wird.
Ein zusätzlicher
Bestätigungsschritt
kann die Eingabe von „2" oder „A" als Bestätigungsdaten
gemäß Beispiel
1b bzw. 2b anfordern.
-
Beide
Beispiele 1b und 2b steigern die Komplexität zum Vorteil einer Erhöhung der
Sicherheit des Verfahrens. Die Person, die die vertrauenswürdige Vorrichtung
betreibt, kann die Verknüpfung
der vertrauenswürdigen
Vorrichtung und der nicht vertrauenswürdigen Vorrichtung nicht einfach
erreichen, indem sie einfach einen Knopf drückt oder durch ein anderes
triviales Mittel. Stattdessen ist er dazu gezwungen, die Informationen,
die von beiden Vorrichtungen präsentiert
werden, gründlich
zu vergleichen und die richtige Wahl in Bezug auf die Eingabe zu treffen.
-
In
den folgenden Beispielen 3b bis 10b stellt die Ziffer „0" eine zusätzliche
Information dar, die einfach von den übereinstimmenden Verknüpfungsinformationen
gemäß den vorliegenden
Beispielen unterschieden werden kann. Die zusätzliche Information kann z.
B. getrennt von der Verknüpfungsinformation durch
die vertrauenswürdige
Vorrichtung gemäß den Beispielen
8b bis 10b präsentiert
werden oder getrennt von der Verknüpfungsinformation durch die nicht
vertrauenswürdige
Vorrichtung gemäß den Beispielen
4b bis 7b präsentiert
werden oder von der Verknüpfungsinformation
umfasst sein, wie gemäß Beispiel
3b für
zusätzliche
Information dargestellt, die von der Verknüpfungsinformation durch die
vertrauenswürdige
Vorrichtung umfasst ist. Eine zusätzliche Information, die von
der Verknüpfungsinformation umfasst
ist, die von der nicht vertrauenswürdigen Vorrichtung präsentiert
wird, ist ebenfalls möglich,
jedoch nicht in 3b gezeigt.
-
Gemäß den Beispielen
3b bis 10b kann eine Anzeige der Übereinstimmung vorgenommen
werden, z. B. indem die Taste „JA" gedrückt wird
und dann Bestätigungsdaten
eingegeben werden, d. h. die zusätzliche
Information "0" gemäß den Beispielen 3b
bis 10b.
-
In
11b werden identische Verknüpfungsinformationen
in Form einer mathematischen Gleichung „3 + 5 = ?" von beiden Vorrichtungen präsentiert.
Das korrekte Ergebnis „8" kann als Bestätigungsdaten eingegeben
werden.
-
Alternativ
kann die Anzeige für
die Übereinstimmung
in den Beispielen 3b bis 10b und 11b mit der Eingabe von Bestätigungsdaten
kombiniert werden, z. B. indem angefordert wird, die Übereinstimmung
anzuzeigen, indem die zusätzliche
Information, d. h. „0" und „8" für die Beispiele
3b–10b
bzw. 11b, eingegeben wird. Diese Implementierung weist den Vorteil
auf, dass eine verringerte Tätigkeit
durch den Betreiber der vertrauenswürdigen Vorrichtung erforderlich
ist, z. B. kann das Drücken
der Taste „JA" weggelassen werden.
-
Die
obigen Ausführungsformen
lösen auf vortreffliche
Weise die Aufgaben der Erfindung. Es ist einsichtig, dass von Fachmännern Abweichungen vorgenommen
werden können,
ohne dass vom Schutzumfang der Erfindung abgewichen wird, der nur
von den Ansprüchen
eingeschränkt
wird.