DE102015202485B4 - Telekommunikationsverfahren zur Authentifizierung eines Nutzers - Google Patents

Telekommunikationsverfahren zur Authentifizierung eines Nutzers Download PDF

Info

Publication number
DE102015202485B4
DE102015202485B4 DE102015202485.7A DE102015202485A DE102015202485B4 DE 102015202485 B4 DE102015202485 B4 DE 102015202485B4 DE 102015202485 A DE102015202485 A DE 102015202485A DE 102015202485 B4 DE102015202485 B4 DE 102015202485B4
Authority
DE
Germany
Prior art keywords
user
computer system
telecommunication terminal
information
mobile telecommunication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102015202485.7A
Other languages
English (en)
Other versions
DE102015202485A1 (de
Inventor
c/o SAP SE Lorch Robert
c/o SAP SE El Khoury Paul
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SAP SE
Original Assignee
SAP SE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SAP SE filed Critical SAP SE
Priority to DE102015202485.7A priority Critical patent/DE102015202485B4/de
Priority to EP16154187.5A priority patent/EP3057285B1/de
Priority to US15/016,574 priority patent/US10055558B2/en
Publication of DE102015202485A1 publication Critical patent/DE102015202485A1/de
Application granted granted Critical
Publication of DE102015202485B4 publication Critical patent/DE102015202485B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Telekommunikationsverfahren zur Authentifizierung eines Nutzers (16) gegenüber einem Computersystem (12, 12a, 12b, 12c), wobei das Computersystem (12, 12a, 12b, 12c) ein Authentifizierungssystem (14) mit einer Benutzerschnittstelle (18) sowie eine Schnittstelle (20) zur Verbindung des Computersystems (12, 12a, 12b, 12c) mit einem digitalen, zellularen Telekommunikationsnetzwerk (22, 22a, 22b) aufweist, wobei die Authentifizierung mit Hilfe eines mobilen Telekommunikationsendgerätes (24) erfolgt, wobei das mobile Telekommunikationsendgerät (24) eine Schnittstelle (26) für das Kommunikationsnetzwerk (22, 22a, 22b) aufweist, wobei das Computersystem (12, 12a, 12b, 12c) einen Speicher (36) aufweist, in dem eine Kommunikationsadresse für das Telekommunikationsendgerät (24) gespeichert ist, mit folgenden Schritten:- Der Nutzer (16) identifiziert sich gegenüber dem Authentifizierungssystem (14) des Computersystems (12, 12a, 12b, 12c) durch Eingabe von Zugangsdaten über die Benutzerschnittstelle (18),- nach erfolgreicher Identifizierung des Nutzers (16) am Authentifizierungssystem (14) greift das Authentifizierungssystem (14) auf die im Speicher (36) gespeicherte Kommunikationsadresse zu und übermittelt eine Freigabeanfrage über das Kommunikationsnetzwerk (22, 22a, 22b) an das mobile Telekommunikationsendgerät (24),- das mobile Telekommunikationsendgerät (24) ermittelt automatisch zumindest eine für die Freigabe des Nutzers (16) am Computersystem (12, 12a, 12b, 12c) erforderliche Information mit Hilfe eines auf dem mobilen Telekommunikationsendgerät (24) abgelegten Programms (32) und/oder einer Schnittstelle des mobilen Telekommunikationsendgeräts (24),- das mobile Telekommunikationsendgerät (24) überprüft automatisch, ob die ermittelte Information mit zumindest einem vorgegebenen, auf dem mobilen Telekommunikationsendgerät (24) gespeicherten Kriterium erfüllt,- das mobilen Telekommunikationsendgerät (24) übermittelt eine Freigabeinformation für den Nutzer (16) am Computersystem (12, 12a, 12b, 12c) über das Kommunikationsnetzwerk (22, 22a, 22b) an das Authentifizierungssystem (14), falls die ermittelte Information das gespeicherte Kriterium erfüllt,- das Authentifizierungssystem (14) gibt nach Empfang der Freigabeinformation ein die Authentifizierung des Nutzers (16) anzeigendes Authentifizierungssignal an das Computersystem (12, 12a, 12b, 12c) ab, wobei auf dem mobilen Telekommunikationsendgerät (24) verschiedene Kriterien und Kennungen für verschiedene Computersysteme (12, 12a, 12b, 12c) gespeichert sind und das Authentifizierungssystem (14) eines Computersystems (12, 12a, 12b, 12c) eine Kennung des jeweiligen Computersystems (12, 12a, 12b, 12c) an das mobile Telekommunikationsendgerät (24) übermittelt und das mobile Telekommunikationsendgerät (24) die Informationen in Abhängigkeit von der Kennung des Computersystems (12, 12a, 12b, 12c) ermittelt und prüft, ob die ermittelten Informationen mit den für das jeweilige Computersystem (12, 12a, 12b, 12c) gespeicherten Kriterien übereinstimmen.

Description

  • Die Erfindung betrifft ein Telekommunikationsverfahren zur Authentifizierung eines Nutzers gegenüber einem Computersystem. Die Erfindung betrifft des Weiteren ein System zur Durchführung eines solchen Verfahrens.
  • Es ist bekannt, mobile Telekommunikationsendgeräte, beispielsweise Handys oder Smartphones, zur Authentifizierung eines Nutzers an einem Computersystem zu verwenden. Nach dem Identifizieren des Nutzers am Computersystem, beispielsweise mittels Benutzername und Passwort, wird über ein Telekommunikationsnetzwerk eine Verbindung zum mobilen Telekommunikationsendgerät aufgebaut. Über einen zusätzlichen Informationsaustausch zwischen dem Authentifizierungssystem des Computersystems und dem Telekommunikationsendgerät erfolgt eine Authentifizierung des Nutzers. Da der Nutzer das Telekommunikationsendgerät üblicherweise bei sich trägt, ist eine Authentifizierung nur durch den Nutzer selbst möglich, wodurch eine zusätzliche Sicherheitsüberprüfung erfolgt.
  • In einfachen Fällen kann es sich bei diesem Informationsaustausch beispielsweise um einen Code, beispielsweise eine TAN, handeln, die das Authentifizierungssystem an das Telekommunikationsendgerät sendet und den der Nutzer zur Authentifizierung am Computersystem eingibt. Alternativ kann das Authentifizierungssystem des Computersystems ein Passwort abfragen, das der Nutzer am Telekommunikationsgerät eingibt und das durch das Telekommunikationsgerät an das Authentifizierungssystem gesendet wird. Verfahren dieser Art erfordern aber eine zusätzliche Interaktion des Benutzers bzw. zusätzlich die Bedienung des Telekommunikationsendgeräts.
  • Um den Authentifizierungsvorgang zu erleichtern, können im Authentifizierungssystem des Computersystems definierte Kriterien gespeichert sein. Das Authentifizierungssystem fragt vom mobilen Telekommunikationsendgerät entsprechende Informationen ab, die beispielsweise über ein auf dem Telekommunikationsendgerät installiertes Programm ermittelt werden. Diese Informationen werden anschließend vom Authentifizierungssystem mit den definierten Kriterien verglichen, wobei eine Authentifizierung nur bei Übereinstimmung mit den Kriterien erfolgt. Die Abfrage der Information sowie deren Ermittlung und Übermittlung an das Computersystem kann automatisiert erfolgen, beispielsweise durch ein auf dem Telekommunikationsendgerät installiertes Programm, so dass keine weitere Interaktion des Nutzers erforderlich ist. Die Kriterien sind beispielsweise so gewählt, dass ohne eine zusätzliche Interaktion des Nutzers eine eindeutige Identifikation des Nutzers möglich ist. Beispielsweise kann das Kriterium die Positionsdaten des Computersystems enthalten. Vom Telekommunikationsendgerät werden dessen Positionsdaten abgefragt. Eine Authentifizierung erfolgt nur, wenn die Positionsdaten des Nutzers mit den Positionsdaten des Computersystems übereinstimmen, sich dieser also am Standort des Computersystems befindet. Ein solches Verfahren ist beispielsweise in der US 2014/0157381 A1 gezeigt.
  • Nachteilig an diesen Verfahren ist, dass persönliche Daten des Nutzers an das Authentifizierungssystem gesendet werden müssen. Dadurch ergeben sich zum einen Manipulationsmöglichkeiten. Zum anderen hat der Nutzer nur eine eingeschränkte Kontrolle über die weitere Verwendung dieser Daten. Beispielsweise wäre es möglich, dass gesendete Positionsdaten des Nutzers gespeichert werden und so ein Bewegungsprofil des Nutzers erstellt werden könnte.
  • Zudem ist eine Änderung der Kriterien mit einem Zugriff auf das Computersystem möglich. Dies hat den Nachteil, dass eine Person, die unberechtigt Zugriff auf das Computersystem erlangt, auch die Kriterien oder die Kommunikationsadresse des Telekommunikationsendgerätes manipulieren könnte.
  • Aufgabe der Erfindung ist es, ein Verfahren sowie ein System zur Authentifizierung eines Nutzers an einem Computersystem bereitzustellen, die eine verbesserte Nutzerfreundlichkeit und gleichzeitig eine verbesserte Sicherheit aufweisen. Aufgabe der Erfindung ist es des Weiteren, dass der Nutzer während der Authentifizierung am Computersystem die Datenhoheit über die vom mobilen Telekommunikationsendgerät ermittelten Daten behält.
  • Die der Erfindung zugrunde liegenden Aufgaben werden jeweils mit den Merkmalen der unabhängigen Patentansprüche gelöst. Ausführungsformen der Erfindung sind in den abhängigen Patentansprüchen angegeben.
  • Ausführungsformen der Erfindung sind besonders vorteilhaft, da die Kriterien nicht zentral gespeichert sind, sondern auf dem mobilen Telekommunikationsendgerät, und auch die Ermittlung und Überprüfung der Informationen vollständig durch das mobile Telekommunikationsendgerät erfolgt. Es erfolgt somit keine Weitergabe von persönlichen Informationen an das Computersystem, sondern lediglich eine Freigabeinformation, die aber, außer einer Kennung, die den Nutzer identifiziert, keine persönlichen Daten des Nutzers enthält. Es erfolgt somit keine Weitergabe von personenbezogenen Daten an das Computersystem. Der Nutzer behält die vollständige Datenhoheit über seine persönlichen Daten, sodass beispielsweise eine unerwünschte Speicherung personenbezogener Daten verhindert werden kann.
  • Das erfindungsgemäße Verfahren bietet zudem eine erhöhte Sicherheit. Eine Person, die unberechtigt Zugriff auf das Computersystem nehmen will, muss zusätzlich zum Besitz der Zugangsdaten auch in Besitz des mobilen Telekommunikationsendgerätes sein, da nur auf diesem die Kriterien für die Freigabe des Computersystems gespeichert sind, und zudem das auf dem Telekommunikationsgerät für das jeweilige Computersystem gespeicherte Kriterium erfüllen. Ein Ändern der Kriterien, beispielsweise durch einen umfassenderen Datenzugriff auf das Computersystem, ist somit zuverlässig ausgeschlossen.
  • Der Nutzer erlangt zudem trotz der erhöhten Sicherheit eine verbesserte Flexibilität, da beispielsweise die Kriterien auf dem mobilen Telekommunikationsendgerät vom Nutzer selbst geändert werden könnten. Dies hat den Vorteil, dass eine schnelle Anpassung der Kriterien möglich ist. So ist es beispielsweise möglich, dass, falls die Kriterien Positionsdaten enthalten, bei einer kurzfristigen Reise, die Kriterien schnell an die Position des Reiseortes angepasst werden könnten.
  • Unter einem „Telekommunikationsendgerät“ wird hier ein tragbares, batteriebetriebenes Gerät mit einer Schnittstelle für ein Kommunikationsnetzwerk verstanden, insbesondere ein Mobiltelefon, ein Smartphone oder ein portabler Computer, wie zum Beispiel ein Laptop, Notebook oder Tablet-PC mit einer Schnittstelle für das Kommunikationsnetzwerk. Die Schnittstelle für das Kommunikationsnetzwerk kann eine Mobilfunkschnittstelle sein oder eine Schnittstelle für eine andere kabelgebundene oder drahtlose Kommunikation, wie eine Bluetooth- und/oder eine WLAN-Schnittstelle.
  • Unter „Schnittstellen“ werden hier jegliche Vorrichtungen am Computersystem bzw. am Telekommunikationsendgerät verstanden, über die eine Verbindung zu einem Kommunikationsnetzwerk aufgebaut werden kann. Die Schnittstellen können beispielsweise für eine drahtlose Kommunikation mit einem Kommunikationsnetzwerk ausgebildet sein. Es ist aber auch möglich, dass die Schnittstellen zur Anbindung des Computersystems oder des Telekommunikationsendgerätes an ein kabelgebundenes Kommunikationsnetzwerk ausgebildet sind.
  • Unter einem „digitalen, zellularen Kommunikationsnetzwerk“ wird hier jede Art von Telekommunikationsnetzwerk verstanden, in die sich das Telekommunikationsendgerät mit einer Schnittstelle einwählen kann. Insbesondere umfasst dieser Begriff Telekommunikationsnetzwerke, welche nach einem Mobilfunkstandard, wie zum Beispiel einem GSM-, UMTS-, CDMA- oder einem LTE-Standard arbeiten. Des Weiteren sind Kommunikationsnetzwerke wie kabelgebundene Internetnetzwerke, Wireless-LAN-Netzwerke oder Verbindungen über Bluetooth oder eine andere Schnittstelle des Telekommunikationsendgerätes möglich. Über ein solches Kommunikationsnetzwerk kann beispielsweise eine Verbindung mit dem Internet hergestellt werden. Alternativ kann die Verbindung unmittelbar über ein WLAN-Netzwerk, eine Bluetooth-Verbindung oder eine andere Nahbereichsverbindung aufgebaut werden.
  • Unter einem „Computersystem“ wird hier ein Datenverarbeitungsgerät oder ein System aus mehreren Datenverarbeitungsgeräten verstanden. Das Computersystem kann beispielsweise aus mehreren Arbeitsplätzen bestehen, die mit einem zentralen Server verbunden sind, wobei das Authentifizierungssystem auf den Arbeitsplatzrechnern oder auf dem Server installiert sein kann. Beispielsweise besteht das Computersystem aus einem zentralen Server mit mehreren Clientrechnern. Das Computersystem kann aber auch ein einzelner Rechner sein, der beispielsweise über eine Internetschnittstelle verfügt. Es ist lediglich erforderlich, dass das Computersystem eine Eingabemöglichkeit aufweist, über die sich der Nutzer am Computersystem identifizieren kann sowie ein Authentifizierungssystem und eine Schnittstelle zum Verbindungsaufbau mit dem Kommunikationsnetz.
  • Nach einer Ausführungsform der Erfindung ist das Kriterium durch vorgegebene Positions- und/oder Bewegungsdaten gebildet. Die Informationen werden durch Positions- und/oder Bewegungsdaten gebildet, die das Telekommunikationsendgerät über eine Schnittstelle empfängt oder durch Sensoren ermittelt und/oder aus den Daten, die das Telekommunikationsendgerät über eine Schnittstelle empfängt oder durch Sensoren ermittelt, ermittelt.
  • Die Positionsdaten sind beispielsweise die Koordinaten des Computersystems oder eine Arbeitsplatzes, von dem aus ein Zugriff auf das Computersystem gestattet werden soll. Der Nutzer wird also nur authentifiziert, wenn er sich mit seinem Mobilgerät an dieser Position befindet, also die vom Kommunikationsendgerät ermittelten Positionsdaten mit den als Kriterium gespeicherten Positionsdaten übereinstimmen.
  • Die Positionsdaten können beispielsweise GPS-Koordinaten sein, die mit einem internen oder externen GPS-Modul ermittelt werden. Alternativ können die Positionsdaten auch eine Adresse sein, die vom Nutzer eingegeben wird. Es ist auch möglich, andere Informationen zur Positionsbestimmung zu nutzen. So ist es aus dem Stand der Technik bekannt, die Daten von Kommunikationsnetzwerken zur Standortbestimmung oder zur Verbesserung der Genauigkeit der Standortbestimmung zu verwenden.
  • Die Daten des Kommunikationsnetzwerkes, die zur Standortbestimmung oder zur Verbesserung der Genauigkeit des Standortes verwendet werden, können beispielsweise Informationen über Wireless-LAN-Netzwerke oder Funkzelleninformationen eines Mobilfunknetzwerkes sein.
  • Alternativ wäre es auch möglich, die Daten eines Gebäudezugangssystems zu nutzen. So kann beispielsweise der Standort des Nutzers dadurch bestimmt werden, dass sich der Nutzer bei Betreten eines Gebäudes registrieren muss bzw. beim Verlassen des Gebäudes ausloggen muss. Zwischen diesen beiden Vorgängen ist der Standort des Nutzers im Gebäudezugangssystem als „im Gebäude“ gespeichert. Das mobile Telekommunikationsendgerät kann beispielsweise über eine Schnittstelle eine Verbindung zum Gebäudezugangssystem aufbauen und diese Information abfragen.
  • Um die Genauigkeit der Positionsdaten zu verbessern oder auch um bei fehlendem Empfang von Lokalisierungsdaten eine Positionsbestimmung zu ermöglichen, können beispielsweise auch die Daten eines Bewegungs- oder Beschleunigungssensors bei der Ermittlung der Position berücksichtigt werden. So ist beispielsweise auch bei fehlendem GPS-Empfang eine sogenannte Trägheitsnavigation möglich, bei der ausgehend von einem letzten bekannten Standort über die gemessenen Beschleunigungen die Position des Telekommunikationsendgerätes abgeschätzt werden kann.
  • Unabhängig von den genannten Ausführungsbeispielen sind vielfache Möglichkeiten und Kombinationen solcher Möglichkeiten möglich, um eine Positionsbestimmung mit einem mobilen Telekommunikationsendgerät durchzuführen.
  • Die Durchführung der Positionsbestimmung kann vollständig durch Sensoren oder Mittel des Telekommunikationsendgeräts erfolgen. Das Telekommunikationsendgerät kann auch externe Sensoren oder Mittel verwenden, die über Schnittstellen mit dem Telekommunikationsendgerät verbunden sind. Alternativ oder ergänzend zu Positionsdaten können die Kriterien beispielsweise auch Bewegungsdaten, insbesondere Beschleunigungsdaten, enthalten.
  • Die Bewegungs- und Beschleunigungsdaten müssen nicht zur Ermittlung der Position herangezogen werden, sondern können auch ein separates Kriterium bilden.
  • Bei einem stationären Computersystem kann beispielsweise davon ausgegangen werden, dass sich der Nutzer, wenn er sich an diesem Computersystem identifiziert, in Ruhe befindet, also vor dem Computersystem. Als Kriterium könnte beispielsweise eine Geschwindigkeitsobergrenze bzw. eine nicht vorhandene Geschwindigkeit verwendet werden. Das Telekommunikationsendgerät kann zur Authentifizierung die aktuelle Geschwindigkeit ermitteln. Übersteigt diese Geschwindigkeit einen definierten, im Telekommunikationsendgerät als Kriterium gespeicherten Wert, erfolgt keine Freigabeinformation, da sich der Nutzer, wenn er sich mit einer definierten Geschwindigkeit bewegt, nicht dauerhaft am stationären Computersystem befinden kann.
  • Ebenso kann der Beschleunigungssensor dazu verwendet werden, um zu überprüfen, ob sich der Nutzer in Ruhe befindet oder sich bewegt, beispielsweise geht. Solche Bewegungen sind durch in den modernen Telekommunikationsendgeräten vorhandenen Bewegungssensoren sehr gut zu detektieren. Insbesondere können dazu beispielsweise die Daten sogenannter Fitnessarmbänder verwendet werden, die beispielsweise mit dem mobilen Telekommunikationsendgerät gekoppelt sind.
  • Die Positions-, Bewegungs- und Beschleunigungsdaten können vom Telekommunikationsendgerät auch zu einem Bewegungsprofil, einem Geschwindigkeitsprofil oder einem Beschleunigungsprofil verarbeitet werden, wodurch weitere Möglichkeiten für zu prüfende Kriterien möglich sind.
  • So kann beispielsweise überprüft werden, wo sich der Nutzer bei seinem letzten Einwahlversuch befand. Fall es technisch nicht möglich ist, dass der Nutzer in der seitdem verstrichenen Zeit zu einer Position gelangt ist, die zur Einwahl in das Computersystem berechtigt, wird keine Freigabe erteilt.
  • Ebenso kann anhand des Beschleunigungs- und/oder Geschwindigkeitsprofils ermittelt werden, ob sich der Nutzer nur kurzseitig in Ruhe befindet, aber prinzipiell in Bewegung ist.
  • Um Messungenauigkeiten abzudecken, können die Kriterien jeweils entsprechende Ungenauigkeitsfaktoren enthalten. Koordinaten können beispielsweise mit einem definierten Umkreis angegeben werden, sodass sich der Nutzer nicht genau an der Position, aber in einem Umkreis von beispielsweise 50 m um die angegebenen Koordinaten befinden muss.
  • Alternativ oder ergänzend können die Kriterien auch Zeit- oder Datumsangaben enthalten. So kann beispielsweise eine Authentifizierung an einem Arbeitsplatz nur zu bestimmten Zeiten erfolgen. Ein an einem Büroarbeitsplatz vorgesehenes Computersystem könnte beispielsweise außerhalb der Arbeitszeiten oder während einer Urlaubszeit zu sperren, sodass eine Einwahl über diese Computersysteme während dieser Zeiten nicht möglich ist. Seitens eines Arbeitsgebers könnte dies zusätzlich die Option bieten, die Arbeitszeit des Nutzers zu beschränken, beispielsweise indem eine Authentifizierung am Büroarbeitsplatz nur während der regulären Arbeitszeiten erfolgen kann.
  • Die Zeitangaben können beispielsweise auch Zeiträume, beispielsweise Projektzeiträume, sein, für die ein bestimmtes Computersystem freigegeben ist. Üblich ist, dass solche zeitlichen Freigaben durch einen Administrator eingerichtet werden, was den Nachteil hat, dass bei einer frühzeitigen Beendigung des Projektes weiterhin eine Authentifizierung an diesem Computersystem möglich ist, bis der Administrator dieses deaktiviert. Andererseits kann sich ein Projekt unvorhergesehen verlängern, wobei eine Authentifizierung erst möglich ist, wenn der Administrator die Projektzeit angepasst hat. Das beschriebene Verfahren ermöglicht dem Nutzer in solchen Fällen eine schnelle Anpassung der Kriterien, so dass eine schnelle Sperrung oder Freigabe einzelner Computersysteme möglich ist.
  • Der Nutzer könnte beispielsweise auch nach Beendigung eines Projektes die Kennung des jeweiligen Computersystems aus dem Speicher des Telekommunikationsendgerätes löschen, so dass für dieses Computersystem keine Freigabeinforation übermittelt werden kann. Der Nutzer kann aber auch zusätzliche Computersysteme auf einfache Weise hinzufügen.
  • Um die Authentifizierung des Nutzers an verschiedenen Computersystemen, beispielsweise mit verschiedenen Standorten, zu ermöglichen, sind auf dem mobilen Telekommunikationsendgerät verschiedene Kriterien und Kennungen für verschiedene Computersysteme gespeichert. Das Authentifizierungssystem eines Computersystems übermittelt jeweils mit der Freigabeanfrage eine Kennung des jeweiligen Computersystems an das mobile Telekommunikationsendgerät. Das mobile Telekommunikationsendgerät ermittelt die Informationen in Abhängigkeit von der Kennung des Computersystems und prüft, ob die ermittelten Informationen mit den für das jeweilige Computersystem gespeicherten Kriterien übereinstimmen.
  • So können für verschiedene Computersysteme verschiedene Positionen als Kriterium gespeichert sein. Für einen Heimarbeitsplatzrechner können die Positionsdaten beispielsweise die Heimadresse des Nutzers sein, sodass eine Einwahl über den Heimarbeitsplatz nur möglich ist, wenn sich der Nutzer tatsächlich dort aufhält. Die Koordinaten für den Bürorechner entsprechen dagegen beispielsweise der Adresse des Arbeitsplatzes. Falls es sich um ein mobiles Computersystem handelt, kann auch ein Bewegungsprofil oder ein definiertes Gebiet angegeben werden, in dem sich der Nutzer mit seinem Telekommunikationsendgerät aufhalten muss.
  • Handelt es sich bei einem der Computersysteme um ein mobiles Computersystem, können beispielsweise auch Bewegungsprofile freigegeben sein, bei denen sich der Nutzer in Bewegung befindet, sodass beispielsweise auch ein Arbeiten im Zug oder in einem anderen Verkehrsmittel möglich ist.
  • Aus den oben genannten Kriterien lassen sich so vielfältige Kombinationen bilden, um für verschiedene Computersysteme zumindest ein Kriterium zu bilden, über das eine Authentifizierung erfolgt. Es ist beispielsweise auch möglich, dass für verschiedene Computersysteme verschiedene Arten von Kriterien gespeichert sind, beispielsweise für ein Computersystem eine Positionsangabe und für ein anderes Computersystem eine Zeit- oder Datumsangabe.
  • Statt einem positiven Kriterium könnte auch ein negatives Kriterium formuliert werden. Statt einer freigegebenen Zeit könnten beispielsweise auch Sperrzeiten angegeben oder beispielsweise bei einem mobilen Computersystem bestimmte Positionen von der Authentifizierung ausgenommen werden.
  • Ein Vorteil des Verfahrens liegt darin, dass die Kriterien auf dem mobilen Telekommunikationsendgerät gespeichert sind und nicht auf einem Computersystem. Insbesondere bei Verwendung mehrerer Computersysteme ist so eine Verwaltung der Kriterien für die verschiedenen Computersysteme für den Nutzer einfacher, da diese auf dem Telekommunikationsendgerät verwaltet werden.
  • Das mobile Telekommunikationsendgerät weist vorzugsweise eine Schnittstelle auf, über die die Kriterien in das mobile Telekommunikationsendgerät eingegeben werden können. Diese Schnittstelle kann beispielsweise eine temporäre Verbindung zu einem anderen Eingabegerät aufbauen, über das eine einfache Eingabe oder ein Überspielen der jeweiligen Kriterien möglich ist. Alternativ handelt es sich bei der Schnittstelle um eine Tastatur oder einen Eingabebildschirm des Telekommunikationsendgerätes, über den die Kriterien eingegeben werden können.
  • Es können auch mehrere Schnittstellen verwendet werden. Über eine erste Schnittstelle kann beispielsweise die Art des Kriteriums ausgewählt werden, beispielsweise Positionsdaten. Die zweite Schnittstelle baut eine Verbindung zu einem GPS-Modul auf, sodass beispielsweise als Kriterium die aktuelle Position des Telekommunikationsendgerätes gespeichert werden kann.
  • Die Eingabe und Verwaltung der Kriterien kann durch den Benutzer selbst erfolgen, was den Vorteil hat, dass der Nutzer die Kriterien flexibel an seine Bedürfnisse anpassen kann. Es ist aber auch möglich, dass Kriterien durch einen Administrator oder einen externen Dienst über die Schnittstelle auf das mobile Telekommunikationsendgerät aufgespielt werden.
  • Vorzugsweise sind die Kriterien auf dem mobilen Telekommunikationsendgerät verschlüsselt und/oder passwortgeschützt gespeichert, sodass ein Auslesen der Kriterien für Unberechtigte verhindert wird. Zudem ist so verhindert, dass ein Nutzer, der unberechtigt in den Besitz des Telekommunikationsendgerätes gelangt, die Kriterien verändert, um sich an einem Computersystem authentifizieren zu können. Zudem kann eine unberechtigte Person keine Kenntnisse über die hinterlegten Kriterien erlangen, so dass auch bei Besitz des Telekommunikationsgerätes eine Authentifizierung verhindert oder zumindest erschwert ist.
  • Die Kriterien können beispielsweise in einem Programm gespeichert werden, das auf dem Telekommunikationsendgerät installiert ist. Alternativ kann auch eine zentrale Passwortverwaltung des jeweiligen Telekommunikationsendgerätes verwendet werden.
  • Alternativ oder ergänzend zum oben beschriebenen Verfahren ist es auch denkbar, dass das mobile Telekommunikationsendgerät nach Erhalt der Freigabeanfrage prüft, ob der Nutzer berechtigt ist, sich an einem Computersystem zu authentifizieren. Dies ermöglicht die Option, dass der Nutzer beispielsweise nach Verlassen seines Arbeitsplatzes die Kriterien in seinem Tele kommunikationsendgerät dahingehend ändert, das Authentifizierungsanfragen für dieses für dieses Computersystem prinzipiell abgelehnt werden. Es ist so beispielsweise möglich, dass vor Ermittlung der Informationen eine Überprüfung erfolgt, ob der Nutzer zur Authentifizierung berechtigt ist.
  • Das Kommunikationsnetzwerk kann beispielsweise ein Mobilfunknetz, ein Internetnetzwerk oder ein lokales Netzwerk sein. Bei einem lokalen Netzwerk kann es sich beispielsweise um ein Intranet handeln, in dem beispielsweise eine zusätzliche Kontrolle des Standortes möglich ist, da sich der Nutzer in diesem lokalen Netzwerk registrieren muss. Es sind beispielsweise auch Nahbereichsnetzwerke wie Bluetooth möglich.
  • Über die Kommunikationsadresse des Telekommunikationsendgeräts ist ein zuverlässiger Verbindungsaufbau des jeweiligen Computersystems mit dem Telekommunikationsendgerät möglich. Die Kommunikationsadresse bietet eine eindeutige Identifikation des Telekommunikationsendgerätes. Beispielsweise handelt es sich bei der Kommunikationsadresse um eine URL, eine Handynummer, eine IP-Adresse, eine E-Mail-Adresse oder eine andere, in Netzwerken gebräuchliche Adresse, die eine eindeutige Zuordnung des Telekommunikationsendgerätes ermöglicht. Die Adresse kann je nach genutztem Kommunikationsnetzwerk festgelegt sein. Zum Beispiel ist bei Nutzung des Internets eine IP-Adresse, eine URL oder eine E-Mail-Adresse möglich oder bei Verwendung eines Mobilfunknetzes eine Mobilfunknummer. Zusätzlich oder alternativ kann das Telekommunikationsendgerät eine Kennung erhalten, die das Telekommunikationsendgerät im jeweiligen Kommunikationsnetzwerk eindeutig identifiziert.
  • Eine zusätzliche Sicherheitsstufe kann eingebaut werden, indem das Authentifizierungssystem nach Empfang der Freigabeinformation eine Benachrichtigung an den Nutzer sendet. Diese Nachricht kann an die Kommunikationsadresse erfolgen, also an das Telekommunikationsendgerät. Es ist aber möglich, dass diese Nachricht an eine separate Adresse, beispielsweise eine Mobilfunknummer, erfolgt, sodass separat eine Benachrichtigung des Nutzers erfolgt. Statt der Benachrichtigung des Nutzers kann auch eine Nachricht an einen Administrator oder eine andere Person generiert werden, beispielsweise um einen im Urlaub befindlichen Nutzer nicht zu stören.
  • Die Benachrichtigung kann beispielsweise optisch oder akustisch erfolgen.
  • Abhängig vom gewähltem Kriterium und dem Standort des Nutzers ist es möglich, dass das Telekommunikationsendgerät die zum Abgleich mit den Kriterien erforderlichen Informationen nicht ermitteln kann. So ist es beispielsweise möglich, dass ein GPS-Modul in größeren Gebäuden keinen Empfang hat und somit keine Positionsermittlung möglich ist. Bei einem Fehler bei der Ermittlung der Informationen, bei einem Übertragungsfehler der Freigabeinformation und/oder wenn nach einer definierten Wartezeit nach Absenden der Freigabeanfrage das Authentifizierungssystem keine Freigabeinformation empfängt, erfolgt beispielsweise eine Benachrichtigung des Nutzers über das Authentifizierungssystem und/oder das Telekommunikationsendgerät. Dies ermöglicht dem Nutzer, entsprechend zu reagieren, beispielsweise den Standort derart zu verändern, dass ein Empfang von Positionsdaten oder ein besserer Verbindungsaufbau zum Computersystem möglich sind.
  • Das Computersystem kann beispielsweise eine direkte Verbindung zum Telekommunikationsendgerät aufbauen, wenn sich diese beispielsweise im gleichen Kommunikationsnetzwerk befinden. Alternativ kann die im Speicher des Authentifizierungssystems gespeicherte Kommunikationsadresse die Adresse eines Servers oder eines Dienstes sein, der die Freigabeanfrage empfängt, wobei der Server oder der Dienst einen Speicher aufweist, indem die Kommunikationsadresse des Telekommunikationsendgerätes gespeichert ist. Der Server oder die Dienst greift nach Empfang der Freigabeanfrage des Computersystems auf die Kommunikationsadresse des Telekommunikationsendgeräts zu und leitet die Freigabeinformation an das Telekommunikationsendgerät weiter. Die Freigabeinformation wird anschließend über den Server bzw. den Dienst an das Authentifizierungssystem des Computersystems weitergegeben.
  • Dieses Verfahren hat den Vorteil, dass zur Kommunikation des Computersystems mit dem Server bzw. dem Dienst und zur Kommunikation des Servers oder des Dienstes mit dem Telekommunikationsendgerät verschiedene Kommunikationsnetzwerke verwendet werden können. Das Computersystem benötigt somit keine zusätzlichen Schnittstellen, um mit dem Telekommunikationsendgerät direkt in Verbindung treten zu können. Auch bei diesem Verfahren erfolgt aber die Ermittlung der Informationen und der Vergleich mit den Kriterien ausschließlich durch das mobile Telekommunikationsendgerät. Auf dem Server sind weder Kriterien gespeichert noch erfolgt der Vergleich der Informationen mit den Kriterien auf dem Server. Der Server oder der Dienst erhält ebenso wie das Computersystem nur eine Freigabeinformation, die an das Authentifizierungssystem weitergeleitet wird, und somit keine persönlichen Daten des Nutzers. Zudem ist es nicht erforderlich, dass die Kommunikationsadresse des Nutzers auf jedem Computersystem gespeichert werden muss. Diese ist lediglich auf dem Server gespeichert, wodurch die Datensicherheit der nutzerbezogenen Daten zusätzlich erhöht ist.
  • Das Computersystem, der Server und das mobile Telekommunikationsendgerät können auch ein gemeinsames Kommunikationsnetz verwenden.
  • Erfolgt ein direkter Verbindungsaufbau zwischen dem Computersystem und dem Telekommunikationsendgerät, wird das mobile Telekommunikationsendgerät vorzugsweise am Authentifizierungssystem des Computersystems registriert, wobei das Authentifizierungssystem die Kommunikationsadresse erhält und eine Kennung für das Authentifizierungssystem vergeben wird, die das Authentifizierungssystem eindeutig gegenüber dem mobilen Telekommunikationsendgerät identifizieren kann. Dies verhindert zudem auch bei einer Änderung der Kommunikationsadresse einen Missbrauch des Verfahrens, da neben der Kommunikationsadresse die Kennung des Authentifizierungssystems erforderlich ist.
  • Wird ein zusätzlicher Dienst oder ein Server verwendet, wird das Authentifizierungssystem beispielsweise an diesem Server oder Dienst registriert, wobei der Server eine Kennung an das Authentifizierungssystem vergibt sowie eine Kommunikationsadresse für die Freigabeanfrage an das Authentifizierungssystem übermittelt. Das mobile Telekommunikationsendgerät wird ebenfalls am Server registriert, wobei das mobile Telekommunikationsendgerät dem Server eine Kommunikationsadresse des mobilen Telekommunikationsendgerätes zur Weiterleitung einer vom Authentifizierungssystem empfangenen Freigabeanfrage an das mobile Telekommunikationsendgerät übermittelt und der Server dem mobilen Telekommunikationsendgerät die Kennung des registrierten Authentifizierungssystems übermittelt. Dieses Verfahren könnte die Registrierung der Computersysteme erleichtern, da es nicht erforderlich ist, jedes Computersystem einzeln am mobilen Telekommunikationsendgerät zu registrieren. Die Kennungen der Computersysteme können beispielsweise vom Server an das Telekommunikationsendgerät übermittelt werden. Anschließend können am Telekommunikationsendgerät die Kriterien ausgewählt und vergeben werden.
  • Vorzugsweise ist auf den Server ein Dienstprogramm installiert, an dem sich der Nutzer mit Nutzerdaten registriert, wobei diese Nutzerdaten für eine Kommunikation zwischen dem Server und dem Computersystem und/oder zwischen dem Server und dem Telekommunikationsendgerät sowie der Identifikation des Nutzers verwendet werden.
  • Auf dem mobilen Telekommunikationsendgerät kann ein Programm zur Ermittlung der Informationen und zum Vergleich der Informationen mit den gespeicherten Kriterien und/oder zur Überprüfung der Berechtigung des Nutzers installiert werden, wobei das Programm auf einem Server abgelegt ist und erst nach Registrierung des Nutzers an einem auf dem Server abgelegten Dienstprogramm für die Installation freigegeben wird. Durch die vorangegangene Registrierung des Nutzers kann beispielsweise sichergestellt werden, dass dem Telekommunikationsendgerät eine Kommunikationsadresse zugeordnet wird, sowie, dass eine Registrierung des Telekommunikationsendgeräts erfolgt. Zudem ist so sichergestellt, dass Unbefugte nicht das Programm vom Server laden können und sich mit diesem am Server bzw. einem Dienst registrieren können.
  • Ein System zur Durchführung dieses Verfahrens weist vorzugsweise ein Computersystem auf, wobei das Computersystem ein Authentifizierungssystem mit einer Benutzer-Schnittstelle sowie eine Schnittstelle zur Verbindung des Computersystems mit einem Kommunikationsnetzwerk aufweist. Des Weiteren weist ein solches System ein mobiles Telekommunikationsendgerät auf, wobei das mobile Telekommunikationsendgerät eine Schnittstelle für das Kommunikationsnetzwerk und zumindest ein Programm und/oder eine Schnittstelle aufweist, um die für die Freigabeinformation erforderlichen Informationen zu ermitteln.
  • Vorzugsweise weist das mobile Telekommunikationsendgerät zumindest eine Schnittstelle, zumindest einen Sensor und/oder zumindest ein Programm zur Ermittlung der Informationen und/oder zur Ermittlung von Daten, aus denen Informationen ermittelt werden, auf. Die Sensoren können beispielsweise GPS-Empfänger, Bewegungssensoren, Beschleunigungssensoren oder andere geeignete Sensoren herkömmlicher Telekommunikationsendgeräte sein. Diese Sensoren können in das Telekommunikationsendgerät integriert sein oder über eine Schnittstelle an dieses angebunden werden. Ein installiertes Programm kann beispielsweise ein Bewegungsprofil aus den ermittelten Informationen erstellen, die Geschwindigkeit aus den Bewegungsdaten berechnen oder die aktuelle Uhrzeit bzw. das aktuelle Datum ausgeben.
  • Im Weiteren werden Ausführungsformen der Erfindung mit Bezugnahme auf die Zeichnungen näher erläutert. Es zeigen:
    • 1 eine erste Ausführungsform eines Systems zur Authentifizierung eines Nutzers an einem Computersystems,
    • 2 eine schematische Darstellung eines Verfahrens zur Authentifizierung am Computersystem aus Figur,
    • 3 eine zweite Ausführungsform eines Systems zur Authentifizierung eines Nutzers an einem Computersystems,
    • 4 eine dritte Ausführungsform eines Systems zur Authentifizierung eines Nutzers an einem Computersystems, und
    • 5 eine schematische Darstellung eines Verfahrens zur Initialisierung des Systems aus 4.
  • Elemente der nachfolgenden Ausführungsformen, die einander entsprechen oder gleichen werden jeweils mit denselben Bezugszeichen gekennzeichnet.
  • In 1 ist ein System 10 zur Durchführung des in 2 beschriebenen Authentifizierungsverfahrens gezeigt.
  • Das System 10 hat ein Computersystem 12, das hier lediglich schematisch dargestellt ist. Das Computersystem 12 kann ein herkömmlicher stationärer Computer sein, Teil eines Computernetzwerks oder ein tragbares Computersystem, beispielsweise ein Laptop, ein Notebook oder ein Tablet-PC.
  • Das Computersystem 12 hat eine Authentifizierungssystem 14 zur Identifizierung und Authentifizierung eines Nutzers 16. Das Computersystem 12 hat des Weiteren eine mit dem Authentifizierungssystem 14 verbundene Benutzerschnittstelle 18, über die ein Dialog mit dem Nutzer 16 erfolgen kann, beispielsweise, um den Nutzer 16 am Authentifizierungssystem 14 zu identifizieren.
  • Die Benutzerschnittstelle 18 kann beispielsweise durch einen Bildschirm und eine Tastatur gebildet sein, über die der Nutzer 16 beispielsweise seine Nutzerdaten und ein gespeichertes Passwort eingeben kann. Alternativ sind auch Kartenlesegeräte, Scanner oder andere geeignete Benutzerschnittstellen 18 möglich, über die sich ein Nutzer 16 am Computersystem 12 bzw. am Authentifizierungssystem 14 anmelden und identifizieren kann.
  • Das Computersystem 12 hat des Weiteren eine Schnittstelle 20 zur Verbindung des Computersystems 12 mit einem Kommunikationsnetzwerk 22.
  • Das Kommunikationsnetzwerk 22 ist beispielsweise ein digitales, zellulares Kommunikationsnetzwerk, das nach einem Mobilfunkstandard wie beispielsweise einem GSM-, UMTS-, CDMA- oder einem LTE-Standard arbeitet. Alternativ sind Wireless-LAN oder kabelgebundene Kommunikationsnetzwerke oder Nahbereichsnetzwerke über eine Bluetooth- oder eine andere Nahbereichsschnittstelle möglich. Über das digitale, zellulare Kommunikationsnetzwerk wird beispielsweise eine Verbindung mit dem Internet hergestellt oder es erfolgt eine direkte Kommunikation zwischen dem Computersystem 12 und einem mobilen Telekommunikationsendgerät 24.
  • Das Computersystem 12 weist des Weiteren einen Speicher 36 auf, in dem eine Kommunikationsadresse des mobilen Telekommunikationsendgeräts 24 gespeichert ist.
  • Das System 10 weist des Weiteren ein mobiles Telekommunikationsendgerät 24 auf. Das mobile Telekommunikationsendgerät 24 ist ein tragbares, batteriebetriebenes Gerät, insbesondere ein Mobiltelefon, ein Smartphone oder ein portabler Computer, den der Nutzer 16 bei sich tragen kann.
  • Das Telekommunikationsendgerät 24 weist eine Schnittstelle 26 zur Verbindung mit dem Kommunikationsnetzwerk 22 auf. Das Kommunikationsnetzwerk 22 ist in der in 1 gezeigten Ausführungsform das Kommunikationsnetzwerk, das auch vom Computersystem 12 und dessen Schnittstelle 20 verwendet wird.
  • Des Weiteren weist das Telekommunikationsendgerät 24 einen Speicher 28 auf sowie Mittel 30, mit denen Informationen, die nachfolgend näher definiert werden, ermittelt werden können. Im Speicher 28 sind Kriterien, die nachfolgend erläutert werden, sowie ein Programm 32 gespeichert, das die Informationen, die über die Mittel 30 ermittelt werden, mit den im Speicher 28 abgelegten Kriterien vergleichen kann.
  • Nachfolgend wir anhand von 2 ein Telekommunikationsverfahren zur Authentifizierung eines Nutzers 16 an dem Computersystem 12 aus 1 erläutert.
  • Es wird angenommen, dass der Nutzer 16 das Telekommunikationsendgerät 24 bei sich trägt.
  • In einem ersten Verfahrensschritt identifiziert sich der Nutzer 16 gegenüber dem Authentifizierungssystem 14 des Computersystems 12 durch Eingabe von Zugangsdaten über die Benutzerschnittstelle 18. Die Zugangsdaten können beispielsweise ein Nutzername und ein zugeordnetes Passwort sein. Der Nutzer kann sich aber auch auf andere Weise am Computersystem 12 identifizieren. Es ist lediglich erforderlich, dass sich der Nutzer eindeutig am Computersystem 12 bzw. am Authentifizierungssystem 14 identifizieren kann.
  • Nach erfolgreicher Identifizierung des Nutzers 16 am Authentifizierungssystem 14 greift das Authentifizierungssystem 14 bzw. ein im Speicher 36 angelegtes Programm 34 auf die im Speicher des Computersystems 12 bzw. des Authentifizierungssystems 14 gespeicherte Kommunikationsadresse des Telekommunikationsendgerätes 24 zu. Das Authentifizierungssystem 14 bzw. das Programm 34 sendet über die Schnittstelle 20 bzw. das Kommunikationsnetzwerk 22 eine Freigabeanfrage für den Nutzer 16 an die Kommunikationsadresse des Telekommunikationsendgerätes 24.
  • Die Freigabeanfrage enthält zum einen Informationen, die den Nutzer 16 eindeutig identifizieren. Diese Informationen können beispielsweise der Nutzername des Nutzers 16 sein, eine ID, die dem Nutzer 16 zugeordnet ist oder ein anderer Code, der den Nutzer 16 eindeutig identifiziert. Des Weiteren enthält die Freigabeanfrage Angaben, die das Computersystem 12 eindeutig identifizieren. Diese Angaben können beispielsweise ein dem Computersystem 12 zugeordneter Name, eine ID oder eine IP-Adresse sein. Es ist lediglich erforderlich, dass das Computersystem 12 sowie der Nutzer 16, der am Computersystem authentifiziert werden soll, eindeutig identifizierbar sind.
  • Nach Erhalt der Freigabeanfrage greift das im Speicher 28 des Telekommunikationsendgerätes 24 gespeicherte Programm auf das im Speicher 28 gespeicherte, dem Computersystem zugeordnete Kriterium zu.
  • Das Programm liest das Kriterium aus und initiiert die Ermittlung von Informationen, die mit diesem Kriterium verglichen werden sollen.
  • Das Kriterium ist beispielsweise eine Positionsangabe oder eine Zeitangabe. Beispielsweise ist das Kriterium die Position des Computersystems 12.
  • Anschließend werden durch das Telekommunikationsendgerät 24 die Informationen ermittelt. Die Informationen können beispielsweise die aktuelle Position des Telekommunikationsendgeräts 24, also des Nutzers 16 sein.
  • Das Telekommunikationsendgerät 24 weist dazu einen Sensor 48 auf, der die Informationen ermittelt. Beispielsweise ist der Sensor 48 ein GPS-Sensor. Alternativ kann das Telekommunikationsendgerät auch Schnittstellen aufweisen, über die das Telekommunikationsendgerät 24 mit Sensoren gekoppelt werden kann. Zusätzlich oder alternativ können Mittel 30, beispielsweise ein Programm, verwendet werden, über die die erforderlichen Informationen ermittelt werden können, beispielsweise aus anderen, gemessenen oder ermittelten Daten, berechnet.
  • Nach Ermittlung der Informationen werden diese durch das Programm 32 auf dem Telekommunikationsendgerät 24 mit dem gespeicherten Kriterium verglichen.
  • Stimmen die vom Telekommunikationsendgerät 24 ermittelten Informationen mit den für das Computersystem 12 abgespeicherten Kriterien überein, übermittelt das Telekommunikationsendgerät 24 über das Kommunikationsnetzwerk 22 eine Freigabeinformation für den Nutzer 16 an das Authentifizierungssystem 14 des Computersystems 12.
  • Nach Erhalt der Freigabeinformation gibt das Authentifizierungssystem 14 ein die Authentifizierung des Nutzers anzeigendes Authentifizierungssignal an das Computersystem 12 ab, sodass das Computersystem 12 oder ein auf dem Computersystem 12 installiertes Programm für den Nutzer 16 freigegeben ist.
  • Das in 2 beschriebene Verfahren bietet den Vorteil, dass die Kriterien zur Freigabe des Computersystems 12 nicht zentral gespeichert sind, sondern auf dem mobilen Telekommunikationsendgerät 24. Des Weiteren erfolgt die Ermittlung der zu vergleichenden Informationen sowie der Abgleich der Informationen mit den Kriterien vollständig durch das mobile Telekommunikationsendgerät.
  • Das Computersystem 12 bzw. das Authentifizierungssystem 14 erhält lediglich die Freigabeinformation, die außer der Nutzerkennung sowie Angaben für das Computersystem 12 keine nutzerbezogenen, insbesondere keine personenbezogenen, Daten enthält. Es erfolgt also keine Weitergabe von personenbezogenen Daten, die auf dem Computersystem 12 gespeichert werden könnten. Zudem ist nicht erforderlich, auf dem Computersystem 12 selbst personenbezogene Daten, beispielsweise Positionsdaten, von denen aus sich der Nutzer 16 am Computersystem 12 einwählen darf, zu speichern. Der Nutzer 16 behält die vollständige Hoheit über seine Daten.
  • Da die Kriterien, also die erforderlichen Koordinaten, nur auf dem Telekommunikationsendgerät 24 gespeichert sind, kann ein Nutzer, der unberechtigt Zugang zum Computersystem 12 erlangen kann, diese nicht aus dem Speicher des Computersystems 12 auslesen und so gegebenenfalls das Authentifizierungssystem 14 manipulieren. Um Zugang zum Computersystem 12 zu erhalten, ist es zum einen erforderlich, im Besitz der Zugangsdaten zu sein, um sich im Computersystem zu identifizieren. Darüber hinaus ist es auch erforderlich, im Besitz des Telekommunikationsendgerätes 24 zu sein bzw. es muss das auf dem Telekommunikationsgerät gespeicherte Kriterium erfüllt sein.
  • Die Kriterien können aus einer Vielzahl von Informationen, die das Telekommunikationsendgerät 24 ermitteln kann, ausgewählt werden. Die Kriterien können auch eine Kombination verschiedener Daten, die das Telekommunikationsendgerät 24 ermitteln kann, sein.
  • Beispielsweise kann ein Kriterium die Position des Computersystems 12 sein. Es wird vorausgesetzt, dass sich der Nutzer 16, also auch sein Telekommunikationsendgerät 24, bei der Einwahl am Computersystem 12 an der Position des Computersystems 12 befindet. Das Telekommunikationsendgerät 24 ermittelt also nach der Freigabeanfrage die aktuelle Position des Telekommunikationsendgerätes 24 und vergleicht diese mit der für das Computersystem 12 als Kriterium gespeicherten Position. Um Ungenauigkeiten bei der Positionsbestimmung zu kompensieren, ist es möglich, eine definierte Varianz anzugeben, sodass es beispielsweise ausreichend ist, wenn die vom Telekommunikationsendgerät 24 ermittelte Position in einem definierten Umkreis um die als Kriterium gespeicherte Position liegt.
  • Neben den Positionsdaten ist es beispielsweise auch möglich, dass die Kriterien Bewegungsdaten, Beschleunigungsdaten und/oder Bewegungs- bzw. Beschleunigungsprofile enthalten. So kann beispielsweise bei einem stationären Computersystem 12 das Kriterium hinterlegt sein, dass sich die Position des Nutzers 16 nicht verändern darf, sich der Nutzer 16 also nicht bewegen darf, da angenommen wird, dass sich der Nutzer 16 bei der Bedienung des Computersystems 12 vor diesem Computersystem 12, also in Ruhe, befindet. Würde das Telekommunikationsendgerät 24 ermitteln, dass sich der Nutzer 16 in Bewegung befindet, beispielsweise geht oder mit einem Verkehrsmittel unterwegs ist, wäre das Kriterium nicht erfüllt und es erfolgt keine Übermittlung der Freigabeinformation.
  • Die Ermittlung einer Bewegung bzw. einer Geschwindigkeit kann auf verschiedene Weise erfolgen. Beispielsweise können dazu im mobilen Telekommunikationsendgerät 24 vorhandene Beschleunigungssensoren verwendet werden. Diese werden beispielsweise auch als sogenannte Fitnesstracker verwendet, also als Schrittzähler, sodass über diese detektiert werden kann, ob sich der Nutzer 16 in Bewegung befindet. Über diese Sensoren kann beispielsweise auch die Art der Bewegung ermittelt werden, so dass eindeutig detektiert werden kann, ob sich der Nutzer 16 bewegt.
  • Optional kann das auf dem Telekommunikationsendgerät 24 gespeicherte Programm 32 auch ein Bewegungs- und/oder Beschleunigungsprofil ermitteln. Über ein solches Profil ist auch erkennbar, ob sich der Nutzer 16 grundsätzlich in Bewegung befindet oder eine kurze Ruhepause macht.
  • Das Bewegungsprofil kann beispielsweise auch Positionsdaten enthalten, sodass ein Vergleich der Einwahlpositionen des Nutzers erfolgen kann. Versucht sich der Nutzer beispielsweise in kurzen Abständen an zwei verschiedenen Computersystemen 12 zu authentifizieren, zwischen denen eine größere Distanz liegt, kann eine Plausibilitätsprüfung erfolgen, ob sich der Nutzer in der verstrichenen Zeit von einem der Computersysteme 12 zum jeweils anderen bewegt haben könnte.
  • Alternativ kann das Kriterium beispielsweise auch eine Datums- oder eine Zeitangabe enthalten. So kann in einer einfachen Ausführungsform beispielsweise ein Zeitraum angegeben werden, während dem eine Authentifizierung am Computersystem 12 grundsätzlich nicht möglich ist. Dieser Zeitraum kann beispielsweise eine Nachtruhe sein oder ein Urlaubszeitraum, in dem sich der Nutzer beispielsweise an seinem Bürorechner nicht einloggen kann. Ein unberechtigter Zugriff auf das Computersystem 12 während der Abwesenheit des Nutzers 16 ist so ausgeschlossen.
  • Durch die Vielzahl der Sensoren bzw. der Mittel zur Ermittlung von Informationen, die moderne Telekommunikationsendgeräte enthalten, ist eine Vielzahl von Kriterien möglich. Diese können einzelne Daten enthalten oder eine Kombination von Daten.
  • Das Kriterium kann beispielsweise auch eine Kombination aus Positions-, Bewegungs-, Geschwindigkeits- und/oder Zeit- bzw. Datumsangaben sein.
  • Das Telekommunikationsendgerät 24 weist eine Schnittstelle 38 auf, über die die Kriterien in das mobile Telekommunikationsendgerät 24 eingegeben werden können. Dies ermöglicht dem Nutzer 16 eine schnelle und unkomplizierte Konfiguration des Telekommunikationsendgerätes 24 bzw. des Programmes, und somit beispielsweise eine schnelle Anpassung bei veränderten Standorten des Computersystems 12. Die Schnittstelle 38 kann beispielsweise durch ein Eingabemedium des Telekommunikationsendgerätes 24 gebildet sein, wie eine Tastatur, ein Touchscreen oder eine Schnittstelle zu einem Sensor. So könnte beispielsweise über die Schnittstelle 38 der Befehl erteilt werden „aktuelle Position als Kriterium speichern“, woraufhin das Programm die aktuelle Position über einen GPS-Sensor oder andere Mittel bzw. Sensoren ermittelt und diese im Speicher als Kriterium ablegt. Alternativ kann die Schnittstelle 38 auch eine Schnittstelle zu einem Kommunikationsnetzwerk oder einem Computersystem sein, über das die Kriterien eingegeben werden können. Auf diese Weise kann beispielsweise ein Administrator vorgegebene Kriterien, beispielsweise für ein Firmennetzwerk, auf dem Telekommunikationsendgerät 24 speichern.
  • Vorzugsweise sind die Kriterien auf dem mobilen Telekommunikationsendgerät 24 verschlüsselt und/oder passwortgeschützt, sodass auch bei Zugriff auf das Telekommunikationsendgerät 24 diese nicht ohne Kenntnis des jeweiligen Schlüssels bzw. Passworts ausgelesen und/oder verändert werden können.
  • Die Kriterien können beispielsweise unmittelbar im Programm 32 gespeichert sein. Es ist aber auch möglich, dazu eine zentrale Passwortverwaltung eines Telekommunikationsendgerätes 24 zu verwenden.
  • In einem zusätzlichen Schritt des Verfahrens erfolgt vom Authentifizierungssystem 14 bzw. vom Computersystem 12 eine Information an den Nutzer 16, dass der Authentifizierungsvorgang erfolgreich abgeschlossen ist. Dies bietet dem Nutzer 16 eine zusätzliche Sicherheitskontrolle, die ein unbefugtes Authentifizieren am Computersystem 12 verhindert. Die Benachrichtigung an den Benutzer kann beispielsweise auf das Telekommunikationsendgerät 24 erfolgen, wobei entweder das Kommunikationsnetzwerk 22 oder ein separates Kommunikationsnetzwerk verwendet werden kann. Beispielsweise ist es möglich, dass diese Benachrichtigung nicht über das Internet versendet wird, sondern als SMS über ein Mobilfunknetzwerk.
  • Die Benachrichtigung des Nutzers 16 kann beispielsweise optisch, über eine Anzeige am Telekommunikationsendgerät, akustisch oder auf andere Weise erfolgen. Abhängig vom gewählten System 10 kann die Benachrichtigungen an eine dritte Person, beispielsweise an einen Administrator, erfolgen, falls bekannt ist, dass der Nutzer 16 nicht gestört werden soll, beispielsweise, weil sich dieser im Urlaub befindet.
  • Ebenso ist es möglich, dass bei auftretenden Fehlern im beschriebenen Verfahren eine Fehlermeldung an den Nutzer 16 erfolgt. Ein solcher Fehler im Verfahren kann beispielsweise ein Übertragungsfehler der Freigabeinformation sein. Es ist auch möglich, dass das Authentifizierungssystem 14 keine Verbindung zum Telekommunikationsendgerät 24 aufbauen kann. In diesem Fall erfolgt beispielsweise nach einer definierten Wartezeit eine Fehlermeldung.
  • Es ist beispielsweise auch möglich, dass das Telekommunikationsendgerät 24 aufgrund seiner Position, beispielsweise in eine abgeschirmten Gebäude, keine Positionsdaten ermitteln kann. Auch in diesem Fall kann eine Fehlermeldung mit Angabe des Fehlers an den Nutzer 16 erfolgen. Somit hat der Nutzer 16 die Möglichkeit, auf diesen Fehler zu reagieren, beispielsweise seinen Standort derart zu verändern, dass eine Positionsbestimmung möglich ist.
  • In 3 ist eine weitere Ausführungsform eines Systems 10 gezeigt. Dieses System 10 weist mehrere Computersysteme 12a, 12b, 12c auf, deren Aufbau jeweils dem in 1 gezeigten Computersystem 12 entspricht. Das System 10 weist des Weiteren analog zur 1 ein Telekommunikationsendgerät 24 auf.
  • Jedes der Computersysteme 12 kann zur Authentifizierung eines Nutzers 16, der sich am jeweiligen Computersystem 12a, 12b, 12c identifiziert, über eine Schnittstelle 20a, 20b, 20c eine Verbindung zum Kommunikationsnetzwerk 22 und zum Telekommunikationsnetzwerk 24 aufbauen.
  • Jedem der Computersysteme 12a, 12b, 12c ist eine eindeutige Kennung zugeordnet, die bei Übermittlung der Freigabeanfrage gemeinsam mit einer Kennung des Nutzers 16 an das Telekommunikationsendgerät 24 übermittelt wird. Durch Übermittlung der Kennung sowie einer Nutzerkennung ist eine eindeutige Zuordnung möglich, von welchen Computersystem 12a, 12b, 12c die Freigabeanfrage kommt und welcher Nutzer 16 authentifiziert werden soll.
  • Im Telekommunikationsendgerät 24 sind für jedes Computersystem 12a, 12b, 12c separate Kriterien gespeichert, wobei sich die Kriterien der unterschiedlichen Computersysteme 12a, 12b, 12c unterscheiden können. Die Ermittlung der Informationen und der Abgleich mit den Kriterien durch das Telekommunikationsendgerät 24 erfolgt wie in 2 beschrieben, wobei die Informationen spezifisch für das Kriterium des jeweiligen Computersystems 12a, 12b, 12c ermittelt werden und mit dem für das jeweilige Computersystem 12a, 12b, 12c gespeicherten Kriterium verglichen werden.
  • Die Kriterien für die Computersysteme 12a, 12b, 12c können beispielsweise jeweils die Standortkoordinaten des jeweiligen Computersystems 12a, 12b, 12c enthalten, sodass eine Authentifizierung des Nutzers 16 nur erfolgen kann, wenn sich dieser am Standort des jeweiligen Computersystem 12a, 12b, 12c befindet.
  • Abhängig von der Art des Computersystems 12a, 12b, 12c können die Positionsdaten beispielsweise unterschiedlich definiert sein. Eines der Computersysteme 12a, 12b, 12c kann beispielsweise ein mobiles Computersystem sein, sodass für dieses ein größerer Bewegungsradius um die angegebenen Koordinaten oder ein größeres Gebiet, in dem sich der Nutzer befinden darf, angegeben sein kann.
  • Für die verschiedenen Computersysteme 12a, 12b, 12c können auch andere Arten von Kriterien definiert sein. So können für die verschiedenen Computersysteme 12a, 12b, 12c beispielsweise auch verschiedene Zeiten definiert sein, zu denen eine Einwahl möglich ist.
  • Eine weitere Ausführungsform eines Systems 10 ist in 4 dargestellt. Das System entspricht im Wesentlichen dem in 3 gezeigten System. Zusätzlich ist ein Server 40 vorgesehen, wobei die Computersysteme 12a, 12b, 12c über ein erstes Kommunikationsnetzwerk 22a eine Verbindung mit einer Schnittstelle 42 des Servers 40 aufbauen. In den Speichern 36a, 36b, 36c der Computersysteme 12a, 12b, 12c ist in diesem Ausführungsbeispiel nicht die Kommunikationsadresse des Telekommunikationsendgerätes 24 gespeichert, sondern die Kommunikationsadresse des Servers 40.
  • Der Server 40 kann über eine zweite Schnittstelle 44 eine Verbindung über ein zweites Kommunikationsnetzwerk 22b zum Telekommunikationsendgerät 24 aufbauen. Auf dem Server 40 ist die Kommunikationsadresse des Telekommunikationsendgerätes 24 gespeichert.
  • Dieses System ermöglicht, dass die Schnittstellen 14a, 14b, 14c der Computersysteme 12a, 12b, 12c auf ein anderes Kommunikationsnetzwerk 12a zugreifen können als die Schnittstelle 26 des Telekommunikationsendgerätes 24. Der Server 40 hat also die Funktion einer Vermittlungsstelle zwischen den Kommunikationsnetzwerken 22a, 22b. Das Netzwerk 22a kann beispielsweise ein Wireless-LAN oder ein LAN-Netzwerk sein, das Kommunikationsnetzwerk 22b ein Mobilfunknetzwerk.
  • In 5 ist nachfolgend die Initialisierung des Systems 10 aus 4 dargestellt.
  • Auf einem Server 40 ist ein Dienstprogramm 46 zur Verwaltung der Nutzerdaten verschiedener Nutzer 16 gespeichert. Der Nutzer 16 registriert sich zunächst auf diesem Server 40 bzw. diesem Dienstprogramm 46, wobei dem Nutzer 16 Zugangsdaten, beispielsweise ein Benutzername und ein Passwort, zugeordnet werden. Diese Zugangsdaten ermöglichen eine Identifizierung des Nutzers 16.
  • Nachfolgend wird ein Programm 32 zur Ermittlung der Informationen und zum Vergleich der Informationen mit den gespeicherten Kriterien auf den mobilen Telekommunikationsendgerät 24 installiert. Dieses Programm 32 kann beispielsweise von dem Server 40 runtergeladen werden, nachdem sich der Nutzer 16 auf dem Server 40 bzw. am Dienstprogramm 46 registriert hat und gegenüber diesem authentifiziert wurde.
  • Beim Herunterladen des Programmes 32 erfolgt gleichzeitig eine Vergabe der Kommunikationsadresse des Telekommunikationsendgerätes 24 an das Dienstprogramm 46. Somit ist sichergestellt, dass ein Verbindungsaufbau vom Server 40 bzw. vom Dienstprogramm zum Telekommunikationsendgerät 24 erfolgen kann.
  • Analog dazu wird ein Programm 34 vom Server 40 auf das Authentifizierungsprogramm des Computersystems 12 geladen, wobei dieses Programm 34 die Kommunikationsadresse des Servers 40 enthält. Dem Computersystem 12 wird eine Kennung zugeordnet, die dieses Computersystem 12 eindeutig gegenüber dem Server 40 und/oder dem mobilen Telekommunikationsendgerät 24 identifizieren kann.
  • Anschließend werden die Computersysteme 12, 12a, 12b, 12c am Telekommunikationsendgerät 24 registriert, wobei im Speicher des Telekommunikationsendgerätes die Kennungen der Computersysteme 12, 12a, 12b, 12c gespeichert werden. Die Registrierung kann durch Weitergabe der Kennungen vom Server 40 an das Telekommunikationsendgerät 24 erfolgen. Es ist aber auch möglich, dass die Computersysteme 12, 12a, 12b, 12c die Kommunikationsadresse des Telekommunikationsendgerätes 24 erhalten und sich direkt am Telekommunikationsendgerät 24 registrieren. Es ist lediglich erforderlich, dass das Telekommunikationsendgerät 24 die Kennungen der Computersysteme 12, 12a, 12b, 12c erhält.
  • Abschließend wird für jedes der Computersysteme 12, 12a, 12b, 12c wenigstens ein Kriterium eingegeben, das zur Authentifizierung des Nutzers 16 an diesem Computersystem 12, 12a, 12b, 12c erfüllt sein muss.
  • Auf jedem Computersystem 12, 12a, 12b, 12c oder auf dem Server 40 können auch Kommunikationsadressen für verschiedene Nutzer 16 gespeichert sein. Nach der Registrierung des Nutzers 16 wird die für den Nutzer 16 hinterlegte Kommunikationsadresse ausgelesen und die Freigabeanfrage an diese Kommunikationsadresse gesendet. Dies ermöglicht die Nutzung des Computersystems 12, 12a, 12b, 12c für verschiedene Nutzer. Die Authentifizierung erfolgt jeweils durch ein mobiles Telekommunikationsendgerät 24.
  • Unabhängig von der hier beschriebenen Ausführungsform sind beliebige Modifikationen des Telekommunikationsverfahrens bzw. des Systems, das dieses Verfahren nutzt, möglich. Erfindungswesentlich ist lediglich, dass die Ermittlung der Informationen und der Abgleich mit den gespeicherten Kriterien vollständig durch das Telekommunikationsendgerät 24 erfolgt. Es werden keine benutzerbezogenen Daten außer der Benutzerkennung über das Kommunikationsnetzwerk übermittelt.
  • Bezugszeichenliste
    • 10
    System
    12
    Computersystem
    12a
    Computersystem
    12b
    Computersystem
    12c
    Computersystem
    14
    Authentifizierungssystem
    16
    Nutzer
    18
    Benutzerschnittstelle
    20
    Schnittstelle
    20a
    Schnittstelle
    20b
    Schnittstelle
    20c
    Schnittstelle
    22
    Kommunikationsnetzwerk
    22a
    Komm unikationsnetzwerk
    22b
    Kommunikationsnetzwerk
    24
    mobiles Telekommunikationsendgerät
    26
    Schnittstelle
    28
    Speicher
    30
    Mittel
    32
    Programm
    36
    Speicher
    38
    Schnittstelle
    40
    Servers
    42
    Schnittstelle
    44
    Schnittstelle
    46
    Dienstprogramm

Claims (17)

  1. Telekommunikationsverfahren zur Authentifizierung eines Nutzers (16) gegenüber einem Computersystem (12, 12a, 12b, 12c), wobei das Computersystem (12, 12a, 12b, 12c) ein Authentifizierungssystem (14) mit einer Benutzerschnittstelle (18) sowie eine Schnittstelle (20) zur Verbindung des Computersystems (12, 12a, 12b, 12c) mit einem digitalen, zellularen Telekommunikationsnetzwerk (22, 22a, 22b) aufweist, wobei die Authentifizierung mit Hilfe eines mobilen Telekommunikationsendgerätes (24) erfolgt, wobei das mobile Telekommunikationsendgerät (24) eine Schnittstelle (26) für das Kommunikationsnetzwerk (22, 22a, 22b) aufweist, wobei das Computersystem (12, 12a, 12b, 12c) einen Speicher (36) aufweist, in dem eine Kommunikationsadresse für das Telekommunikationsendgerät (24) gespeichert ist, mit folgenden Schritten: - Der Nutzer (16) identifiziert sich gegenüber dem Authentifizierungssystem (14) des Computersystems (12, 12a, 12b, 12c) durch Eingabe von Zugangsdaten über die Benutzerschnittstelle (18), - nach erfolgreicher Identifizierung des Nutzers (16) am Authentifizierungssystem (14) greift das Authentifizierungssystem (14) auf die im Speicher (36) gespeicherte Kommunikationsadresse zu und übermittelt eine Freigabeanfrage über das Kommunikationsnetzwerk (22, 22a, 22b) an das mobile Telekommunikationsendgerät (24), - das mobile Telekommunikationsendgerät (24) ermittelt automatisch zumindest eine für die Freigabe des Nutzers (16) am Computersystem (12, 12a, 12b, 12c) erforderliche Information mit Hilfe eines auf dem mobilen Telekommunikationsendgerät (24) abgelegten Programms (32) und/oder einer Schnittstelle des mobilen Telekommunikationsendgeräts (24), - das mobile Telekommunikationsendgerät (24) überprüft automatisch, ob die ermittelte Information mit zumindest einem vorgegebenen, auf dem mobilen Telekommunikationsendgerät (24) gespeicherten Kriterium erfüllt, - das mobilen Telekommunikationsendgerät (24) übermittelt eine Freigabeinformation für den Nutzer (16) am Computersystem (12, 12a, 12b, 12c) über das Kommunikationsnetzwerk (22, 22a, 22b) an das Authentifizierungssystem (14), falls die ermittelte Information das gespeicherte Kriterium erfüllt, - das Authentifizierungssystem (14) gibt nach Empfang der Freigabeinformation ein die Authentifizierung des Nutzers (16) anzeigendes Authentifizierungssignal an das Computersystem (12, 12a, 12b, 12c) ab, wobei auf dem mobilen Telekommunikationsendgerät (24) verschiedene Kriterien und Kennungen für verschiedene Computersysteme (12, 12a, 12b, 12c) gespeichert sind und das Authentifizierungssystem (14) eines Computersystems (12, 12a, 12b, 12c) eine Kennung des jeweiligen Computersystems (12, 12a, 12b, 12c) an das mobile Telekommunikationsendgerät (24) übermittelt und das mobile Telekommunikationsendgerät (24) die Informationen in Abhängigkeit von der Kennung des Computersystems (12, 12a, 12b, 12c) ermittelt und prüft, ob die ermittelten Informationen mit den für das jeweilige Computersystem (12, 12a, 12b, 12c) gespeicherten Kriterien übereinstimmen.
  2. Telekommunikationsverfahren zur Authentifizierung eines Nutzers (16) an einem Computersystem (12, 12a, 12b, 12c) nach Anspruch 1, wobei das Kriterium durch vorgegebene Positions- und/oder Bewegungsdaten gebildet ist und die Informationen durch Positions- und/oder Bewegungsdaten gebildet werden, die das Telekommunikationsendgerät (24) über eine Schnittstelle empfängt oder durch Sensoren ermittelt und/oder aus Daten, die das Telekommunikationsendgerät über eine Schnittstelle empfängt oder durch Sensoren ermittelt, ermittelt, wobei die Positionsdaten GPS-Koordinaten, eine Adresse, eine WLAN- oder Netzwerkinformation, eine Funkzelleninformationen, Daten eines Gebäudezugangssystems und/oder Angaben anderer Ortungssysteme enthalten können, und wobei die Bewegungsdaten eine aktuelle Geschwindigkeit, eine Beschleunigung, ein Geschwindigkeitsprofil, ein Beschleunigungsprofil und/oder ein Bewegungsprofil enthalten können.
  3. Telekommunikationsverfahren zur Authentifizierung eines Nutzers (16) an einem Computersystem (12, 12a, 12b, 12c) nach Anspruch 1 oder Anspruch 2, wobei das Kriterium vorgegebene Zeitangaben beinhaltet und die Informationen Zeitangaben beinhaltet, die vom Telekommunikationsendgerät (24) ermittelt werden.
  4. Telekommunikationsverfahren zur Authentifizierung eines Nutzers (16) an einem Computersystem (12, 12a, 12b, 12c) nach einem der vorhergehenden Ansprüche, wobei das mobile Telekommunikationsendgerät (24) eine Schnittstelle (38) aufweist, über die die Kriterien in das mobile Telekommunikationsendgerät (24) eingegeben werden.
  5. Telekommunikationsverfahren zur Authentifizierung eines Nutzers (16) an einem Computersystem (12, 12a, 12b, 12c) nach einem der vorhergehenden Ansprüche, wobei die Kriterien auf dem mobilen Telekommunikationsendgerät (24) verschlüsselt/passwortgeschützt gespeichert sind.
  6. Telekommunikationsverfahren zur Authentifizierung eines Nutzers (16) an einem Computersystem (12, 12a, 12b, 12c) nach einem der vorhergehenden Ansprüche, wobei das mobile Telekommunikationsendgerät (24) ergänzend automatisch überprüft, ob der Nutzer (16) berechtigt ist, sich am Computersystem (12, 12a, 12b, 12c) zu authentifizieren, und das mobilen Telekommunikationsendgerät (24) die Freigabeinformation für den Nutzer (16) am Computersystem (12, 12a, 12b, 12c) über das Kommunikationsnetzwerk (22, 22a, 22b) an das Authentifizierungssystem (14) übermittelt, falls ferner der Nutzer (16) berechtigt ist, sich am Computersystem (12, 12a, 12b, 12c) zu authentifizieren.
  7. Telekommunikationsverfahren zur Authentifizierung eines Nutzers (16) an einem Computersystem (12, 12a, 12b, 12c) nach einem der vorhergehenden Ansprüche, wobei das Kommunikationsnetzwerk (22, 22a, 22b) ein Mobilfunknetz, Internet oder ein lokales Netzwerk ist.
  8. Telekommunikationsverfahren zur Authentifizierung eines Nutzers (16) an einem Computersystem (12, 12a, 12b, 12c) nach einem der vorhergehenden Ansprüche, wobei die Kommunikationsadresse eine URL, eine Handynummer, eine IP-Adresse, eine E-Mail-Adresse oder eine andere, in Netzwerken gebräuchlich Adresse ist, die eine eindeutige Zuordnung des Telekommunikationsgerätes (24) ermöglicht.
  9. Telekommunikationsverfahren zur Authentifizierung eines Nutzers (16) an einem Computersystem (12, 12a, 12b, 12c) nach einem der vorhergehenden Ansprüche, wobei das Authentifizierungssystem (14) nach Empfang der Freigabeinformation eine Benachrichtigung an den Nutzer (16) sendet, insbesondere an das Telekommunikationsendgerät (24).
  10. Telekommunikationsverfahren zur Authentifizierung eines Nutzers (16) an einem Computersystem (12, 12a, 12b, 12c) nach einem der vorhergehenden Ansprüche, wobei bei einem Fehler bei der Ermittlung der Informationen, bei einem Übertragungsfehler der Freigabeinformation und/oder wenn nach einer definierten Wartezeit nach Absenden der Freigabeanfrage das Authentifizierungssystem (14) keine Freigabeinformation empfängt, eine Benachrichtigung des Nutzer (16) über das Authentifizierungssystem (14) und/oder das Telekommunikationsendgerät (24)erfolgt.
  11. Telekommunikationsverfahren zur Authentifizierung eines Nutzers (16) an einem Computersystem (12, 12a, 12b, 12c) nach einem der vorhergehenden Ansprüche, wobei die im Speicher (36) des Computersystems (12) gespeicherte Kommunikationsadresse die Adresse eines Servers (40) ist, der die Freigabeanfrage empfängt, wobei der Server (40) einen Speicher aufweist, in dem die Kommunikationsadresse des Telekommunikationsendgerätes (24) gespeichert ist, wobei der Server (40) nach Empfang der Freigabeanfrage des Computersystems (12, 12a, 12b, 12c) auf die Kommunikationsadresse des Telekommunikationsendgerätes (24) zugreift und die Freigabeanfrage an das Telekommunikationsendgerät (24) weiterleitet.
  12. Telekommunikationsverfahren zur Authentifizierung eines Nutzers (16) an einem Computersystem (12, 12a, 12b, 12c) nach einem der vorhergehenden Ansprüche, wobei das mobile Telekommunikationsendgerät (24) am Authentifizierungssystem (14) registriert wird, wobei das Authentifizierungssystem (14) die Kommunikationsadresse erhält und eine Kennung für das Authentifizierungssystem (14) vergeben wird, die das Authentifizierungssystem (14) eindeutig gegenüber dem mobile Telekommunikationsendgerät (24) identifizieren kann.
  13. Telekommunikationsverfahren zur Authentifizierung eines Nutzers (16) an einem Computersystem (12, 12a, 12b, 12c) nach Anspruch 12, wobei das Authentifizierungssystem (14) an einem Server (40) registriert wird, wobei der Server (40) eine Kennung an das Authentifizierungssystem (14) vergibt sowie eine Kommunikationsadresse für die Freigabeanfrage an das Authentifizierungssystem (14) übermittelt, und wobei sich das mobile Telekommunikationsendgerät (24) am Server (40) registriert, wobei das mobile Telekommunikationsendgerät (24) dem Server (40) eine zweite Kommunikationsadresse zur Weiterleitung einer vom Authentifizierungssystem (14) empfangenen Freigabeanfrage an das mobile Telekommunikationsendgerät (24) übermittelt, wobei der Server (40) dem mobilen Telekommunikationsendgerät (24) die Kennung des registrierten Authentifizierungssystems (14) übermittelt.
  14. Telekommunikationsverfahren zur Authentifizierung eines Nutzers (16) an einem Computersystem (12, 12a, 12b, 12c) nach einem der vorhergehenden Ansprüche, wobei auf dem Server (40) ein Dienstprogramm (46) installiert ist, an dem sich der Nutzer (16) mit Nutzerdaten registriert, wobei diese Nutzerdaten bei einer Kommunikation zwischen dem Server (40) und dem Computersystem (12, 12a, 12b, 12c) und/oder dem mobilen Kommunikationsendgerät (24) zur Identifikation des Nutzers (16) verwendet werden.
  15. Telekommunikationsverfahren zur Authentifizierung eines Nutzers (16) an einem Computersystem (12, 12a, 12b, 12c) nach einem der vorhergehenden Ansprüche, wobei ein Programm (32) zur Ermittlung der Informationen und zum Vergleich der Informationen mit den gespeicherten Kriterien und/oder zur Überprüfung der Berechtigung des Nutzers (16) auf dem mobilen Kommunikationsendgerät (24) installiert wird, wobei das Programm (32) auf einem Server (40) abgelegt ist und erst nach Registrierung des Nutzers (16) an einem auf dem Server (40) abgelegten Dienstprogramm (46) für die Installation freigegeben wird.
  16. System (10) zur Durchführung eines Telekommunikationsverfahren zur Authentifizierung eines Nutzers (16) an einem Computersystem (12, 12a, 12b, 12c) nach einem der vorhergehenden Ansprüche, mit einem Computersystem (12, 12a, 12b, 12c), wobei das Computersystem (12, 12a, 12b, 12c) ein Authentifizierungssystem (14) mit einer Benutzerschnittstelle (18) sowie eine Schnittstelle (20) zur Verbindung des Computersystems (12, 12a, 12b, 12c) mit einem Kommunikationsnetzwerk (22, 22a, 22b) aufweist, und mit einem mobilen Telekommunikationsendgerät (24), wobei das mobilen Telekommunikationsendgerät (24) eine Schnittstelle (26) für das Kommunikationsnetzwerk (22, 22a, 22b) und zumindest ein Programm (32) und/oder eine Schnittstelle aufweist, um die für die Freigabeinformation erforderliche Information zu ermitteln.
  17. System nach Anspruch 16, wobei das mobile Telekommunikationsendgerät (24) zumindest eine Schnittstelle, zumindest einen Sensor und/oder zumindest ein Programm (32) zur Ermittlung der Informationen und/oder zur Ermittlung von Daten, aus denen die Informationen ermittelt werden, aufweist.
DE102015202485.7A 2015-02-12 2015-02-12 Telekommunikationsverfahren zur Authentifizierung eines Nutzers Active DE102015202485B4 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102015202485.7A DE102015202485B4 (de) 2015-02-12 2015-02-12 Telekommunikationsverfahren zur Authentifizierung eines Nutzers
EP16154187.5A EP3057285B1 (de) 2015-02-12 2016-02-04 Aktivieren eines entfernten systems nach authentifizierung eines benutzers
US15/016,574 US10055558B2 (en) 2015-02-12 2016-02-05 Telecommunication method for authenticating a user

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015202485.7A DE102015202485B4 (de) 2015-02-12 2015-02-12 Telekommunikationsverfahren zur Authentifizierung eines Nutzers

Publications (2)

Publication Number Publication Date
DE102015202485A1 DE102015202485A1 (de) 2016-08-18
DE102015202485B4 true DE102015202485B4 (de) 2018-08-02

Family

ID=55435953

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015202485.7A Active DE102015202485B4 (de) 2015-02-12 2015-02-12 Telekommunikationsverfahren zur Authentifizierung eines Nutzers

Country Status (3)

Country Link
US (1) US10055558B2 (de)
EP (1) EP3057285B1 (de)
DE (1) DE102015202485B4 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AT14197U1 (de) * 2013-08-02 2015-05-15 Palfinger Ag Arbeitskorb
US10511599B2 (en) * 2017-03-13 2019-12-17 Microsoft Technology Licensing, Llc System to filter impossible user travel indicators

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140157359A1 (en) 2011-05-04 2014-06-05 Apple Inc. Electronic devices having adaptive security profiles and methods for selecting the same
US20140157381A1 (en) 2012-12-05 2014-06-05 Telesign Corporation Frictionless multi-factor authentication system and method

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040097217A1 (en) * 2002-08-06 2004-05-20 Mcclain Fred System and method for providing authentication and authorization utilizing a personal wireless communication device
SE0300252D0 (sv) * 2003-02-03 2003-02-03 Hamid Delalat Blueguards
US7559081B2 (en) * 2003-09-18 2009-07-07 Alcatel-Lucent Usa Inc. Method and apparatus for authenticating a user at an access terminal
US20100004972A1 (en) * 2004-12-15 2010-01-07 Sap Aktiengesellschaft Resource Management
US9003488B2 (en) * 2007-06-06 2015-04-07 Datavalet Technologies System and method for remote device recognition at public hotspots
US8355696B1 (en) * 2007-06-07 2013-01-15 Sprint Communications Company L.P. Automated device activation
US20100088749A1 (en) * 2008-05-06 2010-04-08 Philip John Steeples System and method for personal authentication using anonymous devices
US7992050B2 (en) * 2008-05-21 2011-08-02 Sap Portals Israel Ltd. Method and apparatus for checking installed and executed systems
US8478195B1 (en) * 2012-02-17 2013-07-02 Google Inc. Two-factor user authentication using near field communication
US9053293B2 (en) * 2012-05-15 2015-06-09 Sap Se Personal authentications on computing devices
US9330276B2 (en) * 2012-12-28 2016-05-03 Sybase, Inc. Conditional role activation in a database
US9521032B1 (en) * 2013-03-14 2016-12-13 Amazon Technologies, Inc. Server for authentication, authorization, and accounting
US9264899B2 (en) * 2013-12-19 2016-02-16 Nxp, B.V. Binding mobile device secure software components to the SIM
US10515347B2 (en) * 2014-01-31 2019-12-24 Ncr Corporation Techniques for kiosk transactions
US9032498B1 (en) * 2014-05-25 2015-05-12 Mourad Ben Ayed Method for changing authentication for a legacy access interface

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140157359A1 (en) 2011-05-04 2014-06-05 Apple Inc. Electronic devices having adaptive security profiles and methods for selecting the same
US20140157381A1 (en) 2012-12-05 2014-06-05 Telesign Corporation Frictionless multi-factor authentication system and method

Also Published As

Publication number Publication date
EP3057285A1 (de) 2016-08-17
US10055558B2 (en) 2018-08-21
EP3057285B1 (de) 2018-09-26
US20160239648A1 (en) 2016-08-18
DE102015202485A1 (de) 2016-08-18

Similar Documents

Publication Publication Date Title
DE60309553T2 (de) Verfahren und Vorrichtungen zur Gesamtbenutzung eines Netzwerkbetriebsmittels mit einem Benutzer ohne Zugang
DE102018007534A1 (de) Zeitgebundener sicherer Zugang
EP2691940B1 (de) Verwaltung von zugriffsrechten auf betriebs- und/oder steuerungsdaten von gebäuden oder gebäudekomplexen
EP3610466B1 (de) Besucher-registrierungs- und -zugangskontrollverfahren
DE112013002542T5 (de) Cloud-basierte Anwendungsressourcendateien
EP2646940B1 (de) Verfahren zur ortsbeschränkten anzeige lesbarer inhalte auf einem mobilen lesegerät
DE102017116311A1 (de) Authentifizierung und autorisierung zum kontrollieren des zugriffs auf prozesskontrolleinrichtungen in einer prozessanlage
DE102015109057A1 (de) Sperren des Zugriffs auf vertrauliche Fahrzeugdiagnosedaten
WO2018188956A1 (de) Zugangskontrollsystem mit funk- und gesichtserkennung
DE102017205595A1 (de) Bedienpersonenauthentifizierung für eine Arbeitsmaschine
DE10125955C2 (de) Berechtigungsüberprüfung für intelligente Agenten über ein Positionsbestimmungssystem
DE102014202637A1 (de) Anordnung zum autorisierten Ansprechen mindestens eines in einem Gebäude befindlichen Bauelements
DE112016000409T5 (de) Sicherheitstechniken für das erneute verbinden mit einer konferenzsitzung mithilfe eines computergeräts
DE102012217563A1 (de) Erhöhte Sicherheit bei Eingabefeldern für Computer-Benutzer-IDs
WO2019121335A1 (de) Zugangskontrollsystem mit funk- und gesichtserkennung
WO2016070872A1 (de) Verfahren zum bereitstellen eines zugangscodes auf einem portablen gerät und portables gerät
DE102015202485B4 (de) Telekommunikationsverfahren zur Authentifizierung eines Nutzers
DE202021100724U1 (de) Verifikationssystem zum Verifizieren einer qualifizierten Testung
DE102017221627A1 (de) Verfahren zum Betreiben einer Schließeinrichtung eines Kraftfahrzeugs, Autorisierungseinrichtung, Zutrittskontrolleinrichtung, Steuereinrichtung, und mobiles Endgerät
DE10064295A1 (de) Mobiltelefon mit variablem geographischem Verhalten
DE102018204370A1 (de) Verfahren und System zur Autorisierung der Kommunikation eines Netzwerkknotens
EP3085132B1 (de) Verfahren und vorrichtungen zum bereitstellen einer subskription für die kommunikation über ein mobilfunknetz
DE102017116780A1 (de) Biometrische Identifikationsverifikation mit Standortmachbarkeitsbestimmung
EP1327325B1 (de) Verfahren und system zum übertragen von informationen zwischen einem server und einem mobilen client
EP1768316B1 (de) Entsperren einer mobilfunkkarte

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final