WO2011069492A1 - Verfahren und computerprogrammprodukte zum authentisierten zugang zu online -accounts - Google Patents
Verfahren und computerprogrammprodukte zum authentisierten zugang zu online -accounts Download PDFInfo
- Publication number
- WO2011069492A1 WO2011069492A1 PCT/DE2010/001435 DE2010001435W WO2011069492A1 WO 2011069492 A1 WO2011069492 A1 WO 2011069492A1 DE 2010001435 W DE2010001435 W DE 2010001435W WO 2011069492 A1 WO2011069492 A1 WO 2011069492A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- information
- computer
- server computer
- communication device
- mobile communication
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000013475 authorization Methods 0.000 claims abstract description 22
- 238000010295 mobile communication Methods 0.000 claims abstract description 22
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 abstract description 6
- 230000004044 response Effects 0.000 description 8
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 4
- 238000012790 confirmation Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/42—User authentication using separate channels for security data
- G06F21/43—User authentication using separate channels for security data wireless channels
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/36—User authentication by graphic or iconic representation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
Definitions
- the present invention relates to a method for providing a secure and convenient access to a document in a computer network, in particular to online user accounts (online accounts).
- CONFIRMATION COPY Challenged passwords can be secretly sent by the Trojan through the computer network, such as at headquarters where the stolen identities are collected and then resold for misuse purposes.
- the computer network such as at headquarters where the stolen identities are collected and then resold for misuse purposes.
- the method should also be able to provide access information to multiple user accounts, e.g. Passwords, usernames, login addresses, convenient and secure to handle.
- This object is achieved by a method in which, in addition to a server computer and a client computer, which are located in the same computer network, in addition a mobile communication device with a camera, a processor with memory and means for communication with a server Calculator is needed.
- the mobile communication device may in particular be a mobile phone with Internet access and a built-in camera.
- a request (information 1) is transmitted to the server computer by the user. This can be done, for example, by calling a so-called URL for a
- This response message contains a portion of the authorization data needed to provide access to the document on the server machine.
- the response message can be cryptographically encrypted.
- Response message is displayed on the user's screen, e.g. in the form of a bar code, displayed (information 3) and may include an identification of the server computer, the accessed website, and / or an identification of the client computer at the server computer.
- the information 3 displayed on the screen of the client computer is now read by the user by means of the camera of the mobile communication device (recorded) and processed in its processor.
- the information read in may be decrypted and stored with the information stored by the user in the memory and for the assignment of identification data to certain documents (e.g.
- the newly generated authorization data preferably represents a cryptographic signature.
- the newly generated authorization data are transmitted from the mobile communication device to the server computer and checked by the latter. If the check of the authorization data is positive and the server computer has identified the client computer based on the authorization data, the server computer transmits the access data (information 5) to the client computer. After receipt of the access data by the client computer, access to the document is granted. This can e.g. can be achieved by displaying a new page with the corresponding document (e.g., user account) on the screen of the client computer. Alternatively, the server computer sends to the client computer the URL of the requested document, possibly including authorization data, so that the user subsequently receives access to the document from the server computer.
- Client computer to replace the new document is sent as a response to a request from the client computer at the server computer. Therefore, according to the invention, the transmission of the access data (information 5) from the server computer to the client computer additionally at least one transmission of
- Information 6 from the client computer to the server computer (Fig. 2).
- the information 5 in this case is a response to information 6.
- the mobile phone According to a further embodiment of the invention, the mobile phone
- the account computer generates information 8 in response and transmits it to the mobile communication device. There they are processed, generating information 4 containing authorization data for accessing a document on the account computer. After receiving the
- Information 5 transmits the client computer to the account computer information 9, which preferably also contain authorization data.
- the account calculator checks the authorization and transmits the information 10 to the
- Client computer which preferably represents the requested document.
- the method for protection against the consequences of theft of the mobile communication device can be combined with a password query at the server, either via the usual login web page with Password query, or even via trojan-safe methods, such as the photo-PIN method, as described in DE-2007029759.
- the present invention further relates to computer program product for carrying out the method according to the invention on a processor in the server computer.
- the present invention further relates to computer program product for carrying out the method according to the invention on a processor in another server computer (account computer).
- the present invention further relates to computer program product for carrying out the method according to the invention on a processor in the mobile
- the user can thus log into an online user account on the computer screen without having to type in the password and the user name.
- Another advantage of the invention is that an identity theft by Trojans on the computer of the user is practically impossible, because it will not be used multiple times usable passwords, but only once-passwords that are valid for only a few seconds.
- Fig. 1 The server computer A sends after request 1 of the client computer B, the information 2 to the client computer B, the client screen as
- Information 3 will be presented.
- the information 3 is from the mobile
- Communication device C read and processed. The result is sent as information 4 to the server computer A. After positive examination of the data, the information 5 is sent to the client computer B, which provides the access there.
- Fig. 2 If, as in the case of the World Wide Web, the server computer A can not send information 5 directly to the client computer B, the server computer A is sent by a request sent from the client computer to the server computer given the opportunity to transmit the information 5 in response to the information 6 to the client computer B ("polling").
- Fig. 3 In the case of the mobile communication device C, a communication procedure can take place with a second server computer (AccOunt computer) D, which consists at least of the transmission of two information 7 (out) and 8 (back).
- the second server computer (AccOunt computer) D which consists at least of the transmission of two information 7 (out) and 8 (back).
- Authorization data for access to this second server D arrive as part of the information 4 and 5 at client computer B, which uses this data to establish access to the second server D by sending the authorization data as information 9 to the second server D which then provides the access on the screen of the client computer by transmitting information 10 to the client computer B.
- the method according to the invention can provide access to online use in the
- the server name, account name and a secret cryptographic key are stored on the user's photo phone. If the user wants to go into the user account, they go to the login account of the user account provider. There, the account server has presented a 2D code in which the server name and a
- Session ID stand. This information is read by the user by photographing in the camera phone. The camera phone will then - completely independently - do the following: it searches for the saved username for this server name; then calculated it from the session ID with the key a codeword (signature); At the end, the mobile phone goes via mobile Internet to a website of the account server and sends the account server the user name, the session ID and the code word calculated from it. The account server checks the information: if the code word is ok, the account server activates the user account, ie the situation on the user's screen is displayed as after logging in.
- the user's camera phone stores multiple user accounts as in the example above.
- the user invokes a fixed remote redirect web page with their browser. He reads the 2D code on the page with a program on the camera phone.
- the camera phone then displays a list of user accounts on the display. The user selects a user account. Then the phone sits in the background with the
- the browser calls a login page of the account server and sends server name. Username, session ID and signature value as parameters with. After a positive check of the authorization data, the opened user account appears in the browser window of the user.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Die Erfindung betrifft ein Verfahren zum Bereitstellen eines sicheren Zugangs zu Online-Benutzerkonten. Es handelt sich dabei um zugangsbeschränkte Benutzerkonten, die eine Autorisierung benötigen. Für das Verfahren werden neben einem Server-Rechner und einem Klienten-Rechner noch zusätzlich ein mobiles Kommunikationsgerät mit einer Kamera benötigt. Das Verfahren beinhaltet folgende Schritte: der Server-Rechner (A) schickt nach Anfrage (1) des Klienten-Rechners (B) die Informationen (2) an den Klienten-Rechner (B), die am Klienten-Bildschirm als Informationen (3) dargestellt werden; die Informationen (3) werden vom mobilen Kommunikationsgerät (C) mittels der Kamera eingelesen und verarbeitet; das Ergebnis wird als Information (4) zum Server-Rechner (A) übertragen; nach positiver Prüfung der Daten werden die Informationen (5) zum Klienten-Rechner (B) geschickt, der dort den Zugang bereitstellt. Mit dem Verfahren wird es ermöglicht, Zugangsinformationen zu mehreren Benutzerkonten, wie z. B. Passwörter, Benutzernamen, Login -Adressen, bequem und sicher zu handhaben. Dabei werden keine Dauer- Passwörter verwendet werden, sondern nur noch Einmal-Passwörter, die nur wenige Sekunden gültig sind.
Description
VERFAHREN UND COMPUTERPROGRAMMPRODUKTE UM AUTHENTISIERTEN ZUGANG ZU ONLINE -ACCOUNTS
Die vorliegende Erfindung betrifft ein Verfahren zum Bereitstellen eines sicheren und komfortablen Zugangs zu einem Dokument in einem Rechnernetz, insbesondere zu Online-Benutzerkonten (Online-Accounts).
Viele Internet-Benutzer kennen das Problem der Passwort-Flut, die vielen Passwörter (und auch die Benutzer-Namen und Login-Adressen) für die Online-Benutzerkonten können sich viele Benutzer kaum merken.
Es gibt improvisierte Methoden, mit der Passwort-Flut zurecht zu kommen. Eine davon ist, sich die Passwörter auf dem eigenen Handy abzuspeichern. Entsprechende Handy- Programme gibt es schon für einige Handy-Typen. Es bleibt aber bei der manuellen Eingabe der Benutzerdaten auf dem Bildschirm. Auch das im Folgenden beschriebene Problem der Sicherheit bei der Passwort-Eingabe ist dadurch nicht gelöst, denn es handelt sich dabei weiterhin um Dauer-Passwörter.
Das Eintippen eines Passworts am Computerbildschirm ist unsicher gegenüber dem Abhören durch Trojaner („Identitäts-Diebstaht1 durch sog.„keylogger"): Der Trojaner beobachtet, welche Tasten bei der Passwort-Eingabe gedrückt werden. Auch wenn das Passwort per Mausklicks auf einer Tastaturanzeige am Bildschirm eingegeben wird, kann ein Trojaner es mittels Bildverarbeitung abhören. Wenn das Passwort auf dem Rechner abgespeichert ist und automatisch in das Passwort-Feld eingetragen wird, ist es sogar noch problematischer, denn der Trojaner kann es jederzeit aus dem
Rechnerspeicher herauslesen oder aber bei der Eingabe abhören (auch wenn auf dem Bildschirm nur Sternchen oder andere verdeckende Zeichen angezeigt werden, kann ein Trojaner das Passwort dennoch innerhalb des Softwaresystems finden).
BESTÄTIGUNGSKOPIE
Abgelauschte Passwörter können vom Trojaner per Rechnetz heimlich verschickt werden, z.B. an Zentralen, in denen die gestohlenen Identitäten gesammelt werden, um sie dann für Missbrauch-Zwecke weiterzuverkaufen. Es gibt Methoden gegen den Identitätsdiebstahl durch Trojaner, z.B. das Foto-PIN- Verfahren mit dem Fotohandy, siehe Patentanmeldung DE-2007029759.
Es ist bislang jedoch kein Verfahren für eine sichere und gleichzeitig für den Benutzer bequeme Handhabung von Passwörtern für Online-Benutzerkonten bekannt.
Der vorliegenden Erfindung lag somit die Aufgabe zugrunde, ein Verfahren zum sicheren und gleichzeitig komfortablen Zugang zu Online-Dokumenten, z.B.
Benutzerkonten, bereit zu stellen, insbesondere für zugangsbeschränkte
Benutzerkonten, die eine Autorisierung benötigen. Mit dem Verfahren soll es außerdem möglich sein, Zugangsinformationen zu mehreren Benutzerkonten, wie z.B. Passwörter, Benutzernamen, Login-Adressen, bequem und sicher zu handhaben.
Diese Aufgabe wird erfindungsgemäß durch ein Verfahren gelöst, bei dem neben einem Server-Rechner und einem Klienten-Rechner, die sich im gleichen Rechnernetz befinden, noch zusätzlich ein mobiles Kommunikationsgerät mit einer Kamera, einem Prozessor mit Speicher und Mitteln zur Kommunikation mit einem Server-Rechner benötigt wird. Das mobile Kommunikationsgerät kann insbesondere ein Handy mit Internet-Zugang und eingebauter Kamera sein. Um sich den Zugang zu einem Dokument, z.B. ein Online-Benutzerkonto, auf dem Klienten-Rechner zu verschaffen, werden folgende Schritte ausgeführt (Abb.1 ).
Als erstes wird vom Benutzer eine Anfrage (Informationen 1 ) an den Server-Rechner übertragen. Das kann beispielsweise durch das Aufrufen einer sog. URL für ein
Dokument (eine Internetseite) durch ein sog. Browser-Programm, das auf dem Rechner des Benutzers (Klienten-Rechner) läuft, geschehen.
Nach dem Empfang dieser Anfrage durch den Server-Rechner wird von diesem eine Antwortnachricht (Informationen 2) generiert und auf den Klienten-Rechner übertragen.
Diese Antwortnachricht enthält einen Teil der Autorisierungsdaten, die dazu benötigt werden, um den Zugang zum Dokument auf dem Server-Rechner bereit zu stellen. Die Antwortnachricht kann insbesondere kryptographisch verschlüsselt sein. Die
Antwortnachricht wird auf dem Bildschirm des Benutzers, z.B. in Form eines Barcodes, angezeigt (Informationen 3) und kann eine Identifizierung des Server-Rechners, der aufgerufenen Internetseite, und / oder eine Identifizierung des Klienten-Rechners beim Server-Rechner enthalten.
Die auf dem Bildschirm des Klienten-Rechners angezeigten Informationen 3 werden nun vom Benutzer mittels der Kamera des mobilen Kommunikationsgeräts eingelesen (aufgenommen) und in seinem Prozessor verarbeitet. Dabei werden die eingelesenen Informationen ggf. entschlüsselt und mit den vom Benutzer im Speicher abgelegten und für die Zuordnung von Identifizierungsdaten zu bestimmten Dokumenten (z.B.
Internetseiten) notwendigen Daten verglichen. Bei diesem Vorgang wird der vom Benutzer angefragte Server-Rechner identifiziert und Autorisierungsdaten
(Informationen 4) für den Zugang zum aufgerufenen Dokument auf dem Server- Rechner heu generiert. Bevorzugt stellen die neu generierten Autorisierungsdaten eine kryptographische Signatur dar. Die neu generierten Autorisierungsdaten werden vom mobilen Kommunikationsgerät auf den Server-Rechner übertragen und von diesem geprüft. Wenn die Prüfung der Autorisierungsdaten positiv ausfällt und der Server-Rechner den Klienten-Rechner anhand der Autorisierungsdaten identifiziert hat, überträgt der Server-Rechner die Zugangsdaten (Informationen 5) an den Klienten-Rechner. Nach dem Empfang der Zugangsdaten durch den Klienten-Rechner wird der Zugang zum Dokument gewährt. Dies kann z.B. dadurch erreicht werden, dass auf dem Bildschirm des Klienten- Rechners eine neue Seite mit dem entsprechenden Dokument (z.B. Benutzerkonto) angezeigt wird. Alternativ schickt der Server-Rechner an den Klienten-Rechner die URL des angefragten Dokuments, ggf. einschließlich Autorisierungsdaten, so dass der Benutzer anschließend vom Server-Rechner den Zugang zum Dokument erhält.
Alle Autorisierungsdaten, die im vorliegenden Verfahren generiert werden
(Informationen 2, 4, 5, 7, 8, 9 und 10), sind bevorzugt nur eine kurze Zeit, z.B. wenige Sekunden, gültig. Wenn nach Ablauf dieser festgelegten Zeit der Server-Rechner keine
Autorisierungsdaten empfängt bzw. als übereinstimmend identifiziert, werden die späteren Anfragen vom Klienten-Server nicht beantwortet. Deswegen wird durch das erfindungsgemäße Verfahren ein Missbrauch von Autorisierungsdaten erschwert. Bei einem Rechnernetz-Protokoll wie dem World Wide Web (als Teil des Internets) sieht die Architektur nicht vor, dass ein Server-Rechner, der einem Klienten-Rechner ein Dokument geschickt hat, welches per sogenanntem Browser auf dem Bildschirm des Klienten-Rechners dargestellt wird, dieses Dokument auf dem Bildschirm des Klienten-Rechners direkt durch ein anderes ersetzen kann. Deshalb wird per sogenanntes "polling" dem Server die Möglichkeit gegeben, ein Dokument beim
Klienten-Rechner zu ersetzen: das neue Dokument wird als Rückantwort auf eine Anfrage des Klienten-Rechner beim Server-Rechner gesendet. Deshalb kann erfindungsgemäß der Übertragung der Zugangsdaten (Informationen 5) vom Server- Rechner an den Klienten-Rechner zusätzlich zumindest eine Übertragung von
Informationen 6 vom Klienten-Rechner an den Server-Rechner vorausgehen (Abb. 2). Die Informationen 5 sind in diesem Fall eine Rückantwort auf Informationen 6.
Gemäß einer weiteren Ausführungsform der Erfindung kann das mobile
Kommunikationsgerät mit mindestens einem weiteren Server-Rechner (hier als
Account-Rechner bezeichnet) kommunizieren (Abb. 3). Dabei werden Anfragen
(Informationen 7) vom mobilen Kommunikationsgerät erzeugt und an einen der
Account-Rechner übertragen. Der Account-Rechner generiert als Antwort Informationen 8 und überträgt sie an das mobile Kommunikationsgerät. Dort werden sie verarbeitet, wobei Informationen 4 erzeugt werden, die Autorisierungsdaten für den Zugang zu einem Dokument auf dem Account-Rechner enthalten. Nach dem Empfang der
Informationen 5 überträgt der Klienten-Rechner an den Account-Rechner Informationen 9, die bevorzugt auch Autorisierungsdaten enthalten. Der Account-Rechner prüft die Autorisierung und überträgt bei positivem Ergebnis die Informationen 10 an den
Klienten-Rechner, die bevorzugt das angefragte Dokument darstellen.
Gemäß einer weiteren Ausführungsform kann das Verfahren zum Schutz gegen die Folgen eines Diebstahls des mobilen Kommunikationsgeräts mit einer Passwort- Abfrage beim Server kombiniert werden, entweder via die übliche Login-Webseite mit
Passwort-Abfrage, oder aber auch via trojanersichere Verfahren, z.B. das Foto-PIN- Verfahren, wie in DE-2007029759 beschrieben.
Die vorliegende Erfindung betrifft ferner Computerprogrammprodukt zur Durchführung des erfindungsgemäßen Verfahrens auf einem Prozessor im Server-Rechner.
Die vorliegende Erfindung betrifft ferner Computerprogrammprodukt zur Durchführung des erfindungsgemäßen Verfahrens auf einem Prozessor im weiteren Server-Rechner (Account-Rechner).
Die vorliegende Erfindung betrifft ferner Computerprogrammprodukt zur Durchführung des erfindungsgemäßen Verfahrens auf einem Prozessor im mobilen
Kommunikationsgerät. Mit dem erfindungsgemäßen Verfahren kann sich der Benutzer somit ohne Eintippen von Passwort und Benutzername in ein Online-Benutzerkonto am Computerbildschirm einloggen.
Ein weiterer Vorteil der Erfindung besteht darin, dass ein Identitäts-Diebstahl durch Trojaner auf dem Rechner des Benutzers praktisch ausgeschlossen wird, denn es werden dabei keine mehrfach benutzbaren Dauer-Passwörter verwendet, sondern nur noch Einmal-Passwörter, die nur wenige Sekunden gültig sind.
Weitere Vorteile, Merkmale und Anwendungsmöglichkeiten der Erfindung werden nachstehend anhand der Ausführungsbeispiele mit Bezug auf die Zeichnungen beschrieben. In den Zeichnungen zeigen:
Abb. 1 : Der Server-Rechner A schickt nach Anfrage 1 des Klienten-Rechners B die Informationen 2 an den Klienten-Rechner B, die am Klienten-Bildschirm als
Informationen 3 dargestellt werden. Die Informationen 3 werden vom mobilen
Kommunikationsgerät C eingelesen und verarbeitet. Das Ergebnis wird als Information 4 zum Server-Rechner A geschickt. Nach positiver Prüfung der Daten werden die Informationen 5 zum Klienten-Rechner B geschickt, der dort den Zugang bereitstellt.
Abb. 2: Wenn, wie z.B. beim World Wide Web, der Server-Rechner A Informationen 5 nicht direkt an den Klienten-Rechner B schicken kann, wird dem Server-Rechner A durch eine vom Klienten-Rechner an den Server-Rechner geschickte Anfrage die Gelegenheit gegeben, die Information 5 als Rückantwort auf die Information 6 an den Klienten-Rechner B zu übertragen („polling").
Abb. 3: Beim mobilen Kommunikationsgerät C kann eine Kommunikations-Prozedur mit einem zweiten Server-Rechner (AccOunt-Rechner) D stattfinden, die mindestens aus dem Übertragen von zwei Informationen 7 (hin) und 8 (zurück) besteht. Die
Autorisierungsdaten zum Zugang auf diesen zweiten Server D kommen als Teil der Informationen 4 und 5 bei Klienten-Rechner B an, der diese Daten nutzt, um den Zugang beim zweiten Server D zu etablieren, indem er die Autorisierungsdaten als Informationen 9 an den zweiten Server D schickt, der dann den Zugang auf dem Bildschirm des Klienten-Rechners bereitstellt, indem er Information 10 an den Klienten- Rechner B überträgt.
Ausführungsbeispiele
, Das erfindungsgemäße Verfahren kann den Zugang zu Online-Benutze konten im
Wesentlichen auf zwei Wegen ermöglichen: entweder über eine direkte (Abb. 1 und 2) oder über eine indirekte Fern-Weiterleitung (Abb. 3).
Verfahren zum Bereitstellen des Zugangs zu Online-Benutzerkonten mittels einer direkten Fern-Weiterleitung
Für ein Online-Benutzerkonto, z.B. eine Download-Seite oder ein Forum, wird auf dem Fotohandy des Benutzers der Server-Name, der Konto-Name und ein geheimer krytographischer Schlüssel gespeichert. Wenn der Benutzer in das Benutzerkonto hinein will, geht er auf die Einlog-Internetseite des Benutzerkonto-Anbieters. Dort hat der Account-Server einen 2D-Code hingestellt, in dem der Server-Name und eine
Session-ID stehen. Diese Information wird vom Benutzer durch Abfotografieren in das Fotohandy eingelesen. Das Fotohandy macht dann - völlig selbständig - folgendes: es sucht den abgespeicherten Benutzernamen für diesen Server-Namen; dann berechnet
es aus der Session-ID mit dem Schlüssel ein Codewort (Signatur); am Schluss geht das Handy per mobiles Internet auf eine Webseite des Account-Servers und übermittelt dem Account-Server den Benutzernamen, die Session-ID und das daraus berechnete Codewort. Der Account-Server prüft die Angaben: wenn das Codewort ok ist, schaltet der Account-Server das Benutzerkönto frei, d.h. auf dem Bildschirm des Benutzers wird die Situation wie nach dem Einloggen angezeigt.
Verfahren zum Bereitstellen des Zugangs zu Online-Benutzerkonten mittels einer indirekten Fern-Weiterleitung
Auf dem Fotohandy des Benutzers sind mehrere Benutzerkonten wie beim oben beschriebenen Beispiel gespeichert. Der Benutzer ruft mit seinem Browser eine feste Webseite für die indirekte Fern-Weiterleitung auf. Den auf der Seite stehenden 2D Code liest er mit einem Programm auf dem Fotohandy ein. Das Fotohandy zeigt ihm dann auf dem Display eine Liste seiner Benutzerkonten an. Der Benutzer wählt ein Benutzerkonto aus. Daraufhin setzt sich das Handy im Hintergrund mit dem
entsprechenden Account-Server in Verbindung, um eine neue Session-ID („nonce") zu erhalten, die nur wenige Sekunden gültig sein wird Die Session-ID wird auf dem Handy mit dem kryptographischen Schlüssel dieses Benutzerkontos signiert. Zusammen werden Servername, Benutzername, Session-ID und Sigpaturwert zum Fern-
Weiterleitungs-Server geschickt, und von dort aus zum Browser am Bildschirm des Benutzers. Der Browser ruft eine Login-Seite des Account-Servers auf und schickt dabei Servername. Benutzername, Session-ID und Signaturwert als Parameter mit. Nach positiver Prüfung der Autorisierungsdaten erscheint im Browserfenster beim Benutzer das geöffnete Benutzerkonto.
Claims
1. Verfahren zum Bereitstellen eines Zugangs auf einem Klienten-Rechner zu
einem Dokument in einem Rechnernetz von einem mobilen
Kommunikationsgerät aus, wobei das mobile Kommunikationsgerät eine
Kamera, einen Prozessor mit Speicher und Mittel zur Kommunikation mit einem Server-Rechner aufweist, und der Klienten-Rechner und der Server-Rechner sich im Rechnernetz befinden, gekennzeichnet durch folgende Schritte:
(a) Erzeugung von Informationen 1 als Anfrage durch den Klienten-Rechner und Übertragung von Informationen 1 an den Server-Rechner,
(b) Empfang von Informationen 1 durch den Server-Rechner, Erzeugung von Informationen 2 auf dem Server-Rechner, Übertragung von Informationen 2 vom Server-Rechner auf den Klienten-Rechner,
(c) Empfang von Informationen 2 und Darstellung von Informationen 3 auf dem Bildschirm des Klienten-Rechners,
(d) Einlesen der Informationen 3 vom Bildschirm des Klienten-Rechners
durch die Kamera des mobilen Kommunikationsgeräts,
(e) Verarbeitung der Informationen 3 auf dem mobilen Kommunikationsgerät, Erzeugung von Informationen 4 und Übertragung von Informationen 4 vom mobilen Kommunikationsgerät auf den Server-Rechner,
(f) Empfang und Prüfung von Informationen 4 durch den Server-Rechner, Erzeugung und Übertragung von Informationen 5 für den Zugang auf den Klienten-Rechner,
(g) Bereitstellen des Zugangs auf dem Klienten-Rechner.
2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass das Dokument zugangsbeschränkt ist und eine Autorisierung für das Bereitstellen des Zugangs benötigt, insbesondere Online-Benutzerkonten.
3. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass mindestens eine der Informationen 1 , 2, 3, 4 und 5 Autorisierungsdaten für den Zugang zu einem Dokument auf dem Server-Rechner enthalten.
4. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass die auf dem Bildschirm des Klienten-Rechners dargestellten Informationen 3 eine Identifizierung des Server-Rechners und / oder des Dokuments und / oder eine Identifizierung des Klienten-Rechners beim Server-Rechner beinhalten.
5. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass der Speicher des mobilen Kommunikationsgeräts Informationen für die Zuordnung von Identifizierungsdaten von Server-Rechnern zu bestimmten Dokumenten gespeichert hat.
6. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass der Übertragung der Informationen 5 zumindest eine Übertragung von Informationen 6 vom Klienten-Rechner an den Server-Rechner vorausgeht.
7. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass das mobile Kommunikationsgerät mit einem zweiten Server-Rechner kommuniziert, wobei Informationen 7 von dem mobilen Kommunikationsgerät erzeugt und an den zweiten Server-Rechner übertragen werden, die
Informationen 7 vom zweiten Server-Rechner empfangen werden, Informationen 8 vom zweiten Server-Rechner erzeugt und an das mobile Kommunikationsgerät übertragen werden, Informationen 8 vom mobilen Kommunikationsgerät empfangen und verarbeitet werden, wobei Informationen 4 erzeugt werden, und das Bereitstellen des Zugangs auf dem Klienten-Rechner dadurch zustande kommt, dass der Klienten-Rechner Informationen 9 ah den zweiten Server- Rechner überträgt, der zweiter Server-Rechner Informationen 10 erzeugt und an den Klienten-Rechner überträgt.
8. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass mindestens eine der Informationen 1 , 2, 4, 5, 7, 8, 9 und 10
Autorisierungsdaten für den Zugang zu einem Dokument auf dem zweiten Server-Rechner enthalten.
9. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass die Autorisierungsdaten für das Bereitstellen des Zugangs eine begrenzte Zeit nach ihrer Erzeugung durch den Server-Rechner und / oder durch den zweiten Server-Rechner und / oder durch das mobile Kommunikationsgerät gültig sind.
10. Computerprogrammprodukte zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 9, wenn die Computerprogramme auf einem Prozessor im Server-Rechner oder im zweiten Server-Rechner oder im mobilen
Kommunikationsgerät ausgeführt werden.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102009057800.5 | 2009-12-10 | ||
| DE102009057800A DE102009057800A1 (de) | 2009-12-10 | 2009-12-10 | Verfahren zum Bereitstellen eines sicheren und komfortablen Zugangs zu Online-Accounts via Fern-Weiterleitung |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2011069492A1 true WO2011069492A1 (de) | 2011-06-16 |
Family
ID=43902641
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/DE2010/001435 WO2011069492A1 (de) | 2009-12-10 | 2010-12-09 | Verfahren und computerprogrammprodukte zum authentisierten zugang zu online -accounts |
Country Status (2)
| Country | Link |
|---|---|
| DE (1) | DE102009057800A1 (de) |
| WO (1) | WO2011069492A1 (de) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2693687A1 (de) * | 2012-08-02 | 2014-02-05 | Banco Bilbao Vizcaya Argentaria, S.A. | Verfahren zur Erzeugung eines Codes, Autorisierungsverfahren und Autorisierungssystem zur Autorisierung einer Operation |
| WO2014122614A3 (en) * | 2013-02-08 | 2014-12-04 | Kochhar Anant | A secure user interaction method performing defined actions on web resources over a separate channel and a system thereof |
| US9729532B2 (en) | 2012-09-12 | 2017-08-08 | Zte Corporation | User identity authenticating method and device for preventing malicious harassment |
| CN107147625B (zh) * | 2017-04-25 | 2019-12-24 | 杭州禹乐网络科技有限公司 | 游戏登陆管理***及方法 |
| TWI780047B (zh) * | 2016-08-05 | 2022-10-11 | 香港商阿里巴巴集團服務有限公司 | 身份認證方法、裝置和系統 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2981815A1 (fr) * | 2011-10-19 | 2013-04-26 | Bertrand Labaye | Procede securise d'authentification forte et de controle d'acces sans contact |
| FR3003671B1 (fr) * | 2013-03-25 | 2016-12-23 | Cassidian Cybersecurity Sas | Procede de generation d'un code pour la securisation d'une transaction |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007193762A (ja) * | 2005-12-23 | 2007-08-02 | Toshiba Corp | ユーザー認証システムと、このユーザー認証システムで使用される提供用サーバ装置、携帯通信装置、利用者用携帯通信装置、承認者用携帯通信装置および認証用サーバ装置と、これらの装置のためのプログラム |
| EP2166697A1 (de) * | 2008-09-17 | 2010-03-24 | GMV Soluciones Globales Internet S.A. | Verfahren und System zur Authentifizierung eines Benutzers mit Hilfe eines Mobilfunkgeräts |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10138381B4 (de) * | 2001-08-13 | 2005-04-07 | Orga Systems Enabling Services Gmbh | Computersystem und Verfahren zur Datenzugriffskontrolle |
| US7387250B2 (en) * | 2003-12-04 | 2008-06-17 | Scanbuy, Inc. | System and method for on the spot purchasing by scanning barcodes from screens with a mobile device |
-
2009
- 2009-12-10 DE DE102009057800A patent/DE102009057800A1/de not_active Withdrawn
-
2010
- 2010-12-09 WO PCT/DE2010/001435 patent/WO2011069492A1/de active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007193762A (ja) * | 2005-12-23 | 2007-08-02 | Toshiba Corp | ユーザー認証システムと、このユーザー認証システムで使用される提供用サーバ装置、携帯通信装置、利用者用携帯通信装置、承認者用携帯通信装置および認証用サーバ装置と、これらの装置のためのプログラム |
| EP2166697A1 (de) * | 2008-09-17 | 2010-03-24 | GMV Soluciones Globales Internet S.A. | Verfahren und System zur Authentifizierung eines Benutzers mit Hilfe eines Mobilfunkgeräts |
Non-Patent Citations (1)
| Title |
|---|
| MICHIRU TANAKA ET AL: "A Method and Its Usability for User Authentication by Utilizing a Matrix Code Reader on Mobile Phones", 28 August 2006, INFORMATION SECURITY APPLICATIONS; [LECTURE NOTES IN COMPUTER SCIENCE;;LNCS], SPRINGER BERLIN HEIDELBERG, BERLIN, HEIDELBERG, PAGE(S) 225 - 236, ISBN: 978-3-540-71092-9, XP019077665 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2693687A1 (de) * | 2012-08-02 | 2014-02-05 | Banco Bilbao Vizcaya Argentaria, S.A. | Verfahren zur Erzeugung eines Codes, Autorisierungsverfahren und Autorisierungssystem zur Autorisierung einer Operation |
| WO2014020092A1 (en) * | 2012-08-02 | 2014-02-06 | Banco Bilbao Vizcaya Argentaria, S.A. | Method for generating a code, authorization method and authorization system for authorizing an operation |
| US8930694B2 (en) | 2012-08-02 | 2015-01-06 | Banco Bilbao Vizcaya Argentaria, S.A. | Method for the generation of a code, and method and system for the authorization of an operation |
| AU2013298545B2 (en) * | 2012-08-02 | 2015-08-20 | Banco Bilbao Vizcaya Argentaria, S.A. | Method for generating a code, authorization method and authorization system for authorizing an operation |
| US9729532B2 (en) | 2012-09-12 | 2017-08-08 | Zte Corporation | User identity authenticating method and device for preventing malicious harassment |
| WO2014122614A3 (en) * | 2013-02-08 | 2014-12-04 | Kochhar Anant | A secure user interaction method performing defined actions on web resources over a separate channel and a system thereof |
| TWI780047B (zh) * | 2016-08-05 | 2022-10-11 | 香港商阿里巴巴集團服務有限公司 | 身份認證方法、裝置和系統 |
| CN107147625B (zh) * | 2017-04-25 | 2019-12-24 | 杭州禹乐网络科技有限公司 | 游戏登陆管理***及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102009057800A1 (de) | 2011-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE60027971T2 (de) | Einmalige Anmeldung in einem Netzwerksystem, das mehrere gesondert steuerbare Ressourcen mit begrenztem Zugang enthält | |
| DE60308692T2 (de) | Verfahren und system für benutzerbestimmte authentifizierung und einmalige anmeldung in einer föderalisierten umgebung | |
| DE602004012996T2 (de) | Verfahren und vorrichtung zum authentifizieren von benutzern und websites | |
| EP2454703B1 (de) | Verfahren zum lesen von attributen aus einem id-token | |
| DE102011084728B4 (de) | Verfahren zum Starten einer externen Applikation und bidirektionaler Kommunikation zwischen einem Browser und einer externen Applikation ohne Browsererweiterungen | |
| WO2011069492A1 (de) | Verfahren und computerprogrammprodukte zum authentisierten zugang zu online -accounts | |
| DE102010028133A1 (de) | Verfahren zum Lesen eines Attributs aus einem ID-Token | |
| EP2289016B1 (de) | Verwendung eines mobilen telekommunikationsgeräts als elektronische gesundheitskarte | |
| DE102009001959A1 (de) | Verfahren zum Lesen von Attributen aus einem ID-Token über eine Mobilfunkverbindung | |
| WO2015149976A1 (de) | Verteiltes authentifizierungssystem und -verfahren | |
| EP2817758A1 (de) | Computerimplementiertes bezahlverfahren | |
| EP2620892B1 (de) | Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens | |
| EP2380330B1 (de) | Verfahren und vorrichtung zur authentifizierung von benutzern eines hybridendgerätes | |
| WO2013152986A1 (de) | Sichere generierung eines nutzerkontos in einem dienstserver | |
| EP3540623B1 (de) | Verfahren zur erzeugung eines pseudonyms mit hilfe eines id-tokens | |
| EP2783320B1 (de) | Verfahren zum authentisieren einer person an einer serverinstanz | |
| DE10251408A1 (de) | Sicherer und vermittelter Zugriff für E-Dienste | |
| EP3414879B1 (de) | Einsatz eines nicht lokalen kryptographie-verfahrens nach authentifizierung | |
| DE102021125572B3 (de) | Verfahren zur Durchführung eines Authentisierungsprozesses durch einen individuellen Systembenutzer | |
| WO2015114160A1 (de) | Verfahren zur sicheren übertragung von zeichen | |
| DE102007046102B4 (de) | Verfahren zum Schutz vor Veränderung von Daten und zur Authentifizierung des Datensenders bei der Datenübertragung durch Verwendung von Verschlüsselungsverfahren, bei denen mit Kenntnis von verschlüsselten und unverschlüsselten Daten andere Daten nicht mehr als zufällig richtig verschlüsselt werden können. | |
| DE202005021814U1 (de) | Vorrichtung zum sicheren, elektronischen Übertragen von Daten von einer ersten Datenverarbeitungseinrichtung an eine zweite Datenverarbeitungseinrichtung | |
| DE102011122972B3 (de) | Verfahren zum Starten einer externen Applikation und bidirektionaler Kommunikation zwischen einem Browser und einer externen Applikation ohne Browsererweiterungen | |
| DE102011110898A1 (de) | Verfahren zur Authentifizierung eines Benutzers zum Gewähren eines Zugangs zu Diensten eines Computersystems, sowie zugehöriges Computersystem, Authentifizierungsserver und Kommunikationsgerät mit Authentifizierungsapplikation | |
| EP2645670A1 (de) | Bereitstellung von Identitätsattributen eines Nutzers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 10810820 Country of ref document: EP Kind code of ref document: A1 |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 10810820 Country of ref document: EP Kind code of ref document: A1 |