-
Technisches
Gebiet
-
Die
Erfindung betrifft ein Verfahren und eine Einrichtung zum Zugang
zu Ressourcen eines Computers, der eine Schnittstelleneinrichtung
zur leitungsungebundenen Datenübertragung
mit einem mobilen, informationstragenden und -verarbeitenden Gerät aufweist.
-
Um
einen unberechtigten Zugriff auf Ressourcen eines Computers auszuschließen, fordert das
Betriebssystem oder ggf. vom Betriebssystem gesteuerte Programm-Module
den Nutzer zur Eingabe von Authentifizierungsdaten auf. Diese Authentifizierungsdaten
bestehen in der Regel aus einer Benutzerkennung (User Account) und
einem persönlichen
Passwort. Beide werden beim Hochfahren des Systems und gegebenenfalls
auch während
des Betriebs des Computers über
die Tastatur eingegeben.
-
Bei
modernen Datenverarbeitungssystemen, deren Terminal über ein
Lesegerät
für Chipkarten verfügt, oder
in deren Gehäuse
ein solches Lesegerät
untergebracht ist, ist diese manuelle Eingabe über die Tastatur nicht mehr
erforderlich. Die Authentifizierungsdaten sind auf der Chipkarte
des Nutzers gespeichert und werden automatisch eingelesen. Eine derartige
Chipkarte zur kontaktlosen Übertragung von
elektrischen Signalen an ein Terminal ist beispielsweise aus
DE 195 43 426 C1 bekannt.
-
Die
Eingabe eines Zugangscodes ist aber nicht nur bei Computern erforderlich,
sondern auch bei der Inbetriebnahme einer Reihe anderer mobiler, informationstragenden
und -verarbeitenden Geräte, wie
beispielsweise bei Mobiltelefonen oder Personal Digital Assistant
(PDA), bei Organizern oder Camcordern.
-
Sowohl
Computer als auch Mobiltelefone sind weit verbreitet. Viele dieser
Geräte
verfügen heutzutage über eine
Schnittstellenvorrichtung zur drahtlosen Datenübertragung mit anderen mobilen oder
fest installierten Geräten.
Eine international standardisierte Schnittstelleneinrichtung im
Kurzstreckendatenfunk (bis zu 100 m) ist Bluetooth, bei der die
Daten per Funk im ISM-Band (Industrial Scientific Medical Band) übertragen
werden.
-
Vor
diesem Hintergrund wird von vielen Nutzern, die sich beispielsweise
bereits gegenüber
ihrem Mobiltelefon authentifiziert haben und im Begriff sind, ihren
Computer in Betrieb zu nehmen, es als umständlich empfunden, wenn sie
vom Betriebssystem des Computers erneut zur Eingabe von Authentifizierungsdaten
aufgefordert werden.
-
Darstellung
der Erfindung
-
Der
vorliegenden Erfindung liegt die Aufgabe zu Grunde, ein Verfahren
und eine Einrichtung zum Zugang zu Ressourcen eines Computers so
anzugeben, dass der Vorgang zur Authentifizierung eines Nutzers
gegenüber
dem Betriebssystem eines Computers einfacher möglich ist.
-
Diese
Aufgabe wird für
ein Verfahren durch die Merkmale des Patentanspruchs 1 und für eine Einrichtung
durch die Merkmale des Patentanspruches 11 gelöst. Vorteilhafte Ausgestaltungen,
Aspekte und Einzelheiten der Erfindung ergeben sich aus den abhängigen Ansprüchen, der
Beschreibung und der beigefügten
Zeichnung.
-
Die
Erfindung geht davon aus, den Informationsträger eines mobilen, informationstragenden
und -verarbeitenden Gerätes
auch bei der Authentifizierung eines Nutzers gegenüber dem
Betriebssystem eines Computers zu nutzen. Hierzu werden die Authentifizierungsdaten
im Speicher dieses Informationsträgers bereit gehalten. Während des
Authentisierungsvorgangs werden diese Daten mittels der Schnittstellenvorrichtung
drahtlos vom mobilen, informationstragenden und -verarbeitenden
Gerät zum Computer übertragen.
Dadurch braucht sich ein Nutzer, der sich beispielsweise bereits
gegenüber
seinem Mobiltelefon authentifiziert hat und nun im Begriff ist seinen
Computer zu nutzen, gegenüber
diesem Gerät
nicht mehr erneut zu authentifizieren. Der Nutzer braucht sich weder
Passwort noch Benutzerkennung merken. Eine weitere Chipkarte ist
nicht erforderlich. Der Zugang zum Computer ist einfacher möglich.
-
Das
erfindungsgemäße Verfahren
schlägt daher
vor, dass die Daten zur Authentifizierung eines Nutzers gegenüber einem
Computer auf einem Informationsträger bereit gehalten werden,
der gleichzeitig auch jene Daten zur Authentifizierung enthält, durch
die sich der Nutzer gegenüber
dem informationstragenden und -verarbeitenden Gerät als berechtigte
Nutzer bereits ausgewiesen hat. Wird nun ein solches Gerät in den
Erfassungsbereich einer leitungsungebundenen Schnittstellenvorrichtung,
wie beispielsweise einer Funkschnittstelle oder einer optoelektronischen
Schnittstelle gebracht, so wird, nachdem sich die Geräte gegenseitig
identifizierten, zwischen diesen ein Kommunikationskanal hergestellt. Über diesen
Kommunikationskanal werden die Authentifizierungsdaten an den Computer
drahtlos übertragen.
Das Betriebssystem des Computers handhabt die empfangenen Daten
genauso, als wären
sie manuell über
die Tastatur eingegeben worden. Das heißt, der Nutzer erhält Zugang
zu den Ressourcen des Computers, wenn die übertragenen Daten mit dem im
Computer zuvor gespeicherten Zugangscode übereinstimmen. Bei Nichtübereinstimmung
sperrt das Betriebssystem den Zugang. Dieser Vorgang der Au thentifizierung
erfolgt beim Hochfahren des Systems oder während des Betriebs, bei dem ein
Bildschirmschoner, der in der Regel automatisch nach einer einstellbaren
Zeit von Betriebssystem gestartet wird und das System solange sperrt,
bis sich der Nutzer gegenüber
dem System erneut als zugangsberechtigt ausgewiesen hat.
-
In
einer besonders bevorzugten Ausführungsform
der Erfindung, werden die für
den Zugang zum Computer erforderlichen Authentifizierungsdaten in
einer erfindungsgemäß modifizierten
SIM-Karte eines
Mobiltelefons bereit gehalten. Beim Hochfahren und/oder während des
Betriebs des Computers werden diese Daten vom Mobiltelefon zum Computer übertragen.
-
Zur
drahtlosen Übermittlung
von Authentifizierungsdaten wird mit Vorteil eine Funkschnittstelle, insbesondere
eine Bluetooth-Schnittstelle verwendet. Ein wesentlicher Vorteil
ergibt sich aus der Tatsache, dass nahezu alle führenden Mobilfunk- und Computerhersteller
derzeit mit Bluetooth-Produkten am Markt sind. Bluetooth ist ein
Quasi-Standard nicht nur für
Mobiltelefone, sondern auch für
PDAs und Organizer. Mit einer Bluetooth-Schnittstelle ist ein Kurzstrecken-Datenfunk
je nach Leistungsklasse, von etwa 10 cm, etwa 10 Meter, oder mit
speziellen Varianten bis zu etwa 100 m möglich.
-
In
einer bevorzugten Ausführungsform
ist diese Bluetooth-Schnittstelle
bereits im Computer fest eingebaut. In einer anderen bevorzugten
Ausführungsform
wird ein Zusatzgerät
in der Form eines Adapters, der an die USB-Schnittstelle des Computers angeschlossen
ist, verwendet. Da bei einer Bluetooth Schnittstelle ein Abhören und
eine Manipulation des Datenstroms, wenn überhaupt, insbesondere bei
den zwei unteren Leistungsklassen nur aus unmittelbarer Nähe möglich ist,
kann diese Form der drahtlosen Übermittlung
der Authentifizierungsdaten als beschränkt sicher eingestuft werden.
-
Um
die Sicherheit weiter zu erhöhen
ist in einer bevorzugten Ausführungsform
der Erfindung eine verschlüsselte
Datenübertragung
vorgesehen. Günstig
ist hierbei, dass bei einer Bluetooth-Funkübertragung die Authentifizierungsdaten
z.B. mit einem bis zu 128 Bit langen Schlüssel chiffriert werden können. Zudem
kann ein asymmetrisches Schlüsselverfahren eingesetzt
werden. Dadurch ist eine Manipulation des Datenstroms weitgehend
ausgeschlossen, zumal die Reichweite ohnedies auf eine vorgegebene Grenze
festgelegt ist.
-
Um
eine besonders hohe Sicherheit zu erreichen, sieht die Erfindung
in einer Ausführungsform vor,
dass in Abhängigkeit
einer dem Computer zugeordneten Sicherheitsklasse, der Nutzer vor
der Übermittlung
des Passwortes zur Eingabe eines PINs aufgefordert wird. Die Sicherheitsklasse
ergibt sich aus der Bluetooth-Kommunikation. Bevorzugt wird hierbei
ein PIN verwendet, der dem Nutzer aus der Verwendung des mobilen,
informationsverarbeitenden Gerätes
bereits vertraut ist. Daher braucht sich der Nutzer keinen Zugangscode
für den
Computer mehr merken. Nach mehrmaligen Falscheingaben wird üblicherweise
der PIN gesperrt.
-
Alternativ
zur Funkschnittstelle kann es auch vorteilhaft sein, eine optoelektronische
Schnittstelle, wie beispielsweise eine Infrarotschnittstelle zu
verwenden.
-
Eine
Variante der erfindungsgemäßen Zugangskontrolleinrichtung
ist dadurch gekennzeichnet, dass der Computer mit einem Chipkarten-Lesegerät verbunden
ist und die Authentifizierungsdaten alternativ von der Bluetooth-Schnittstelle
oder vom Chipkarten-Lesegerät
bereitgestellt werden.
-
Kurzbeschreibung
der Zeichnung
-
Zur
weiteren Erläuterung
der Erfindung wird auf die Zeichnungen Bezug genommen, in denen
an Hand eines Ausführungsbei spiels
weitere vorteilhafte Ausgestaltungen und Einzelheiten der Erfindung
zu entnehmen sind. Es zeigen:
-
1 eine
schematische Darstellung eines Ausführungsbeispiels der Erfindung,
bei dem Daten, die einen Nutzer gegenüber einem Computer identifizieren
und die in einer modifizierten SIM-Karte eines Mobiltelefons gespeichert
sind, über
eine leitungsungebundene Übertragungsstrecke
an den Computer übermittelt
werden;
-
2 ein
Blockschaltbild der erfindungsgemäß modifizierten SIM-Karte des
Mobiltelefons, mit einem ersten Speicherbereich, in welchem Daten
zur Authentifizierung des Nutzers gegenüber dem Mobiltelefon gespeichert
sind, und mit einem zweiten Speicherbereich, in welchem Daten zur
Authentifizierung des Nutzers gegenüber dem Computer gespeichert
sind.
-
Ausführung der
Erfindung
-
Die 1 zeigt
einen Computer 1, mit bekannten Bedieneinrichtungen wie
Tastatur 9, einem Trackball 11 und einen Bildschirm 10.
Der Computer 1 verfügt über eine
USB-Schnittstelle 8.
Die USB-Schnittstelle 8 dient zum Anschluss eines Adapters 2 einer
Bluetooth- Funkschnittstelle. Die Bluetooth-Funkschnittstelle weist
einen Erfassungsbereich E auf, in welchem sich ein Mobiltelefon 4 befindet.
Das Mobiltelefon 4 ist ebenfalls mit einer entsprechenden
Bluetooth-Funkschnittstelle 7 ausgerüstet. Die
Bluetooth Adresse des Computers 1 ist am Mobiltelefon 4 als
bekanntes Bluetooth-Gerät konfiguriert.
Der Erfassungsbereich der Bluetooth-Funkschnittstelle beträgt üblicherweise
etwa 10 m. Je nach Leistungsklasse kann auch eine Reichweite von
etwa 10 cm bzw. etwa 100 m erreicht werden.
-
Das
Mobiltelefon 4 besitzt ein Subscriber Identity Modul (SIM) 5,
kurz auch als SIM-Karte bezeichnet. Ähnlich zu einer Chipkarte vereint
die herkömmliche
SIM-Karte auf einem plattenförmigen
Informationsträger,
der etwa die Größe von 25
Millimetern mal 15 Millimeter mal 0,8 Millimeter aufweist, einen
Speicher, ein Rechenwerk und eine Ein/Ausgabe-Funktionalität. Das Subscriber Identity
Modul, ist ein wichtiger Bestandteil bei Kommunikationseinrichtungen
in einem Mobilfunknetz, denn es beinhaltet jene nutzerspezifischen
Informationen, durch welche sich ein Nutzer im Netz identifiziert,
vom Betreiber des Netzes vergebührt
wird und diesem die Möglichkeit
an die Hand gibt, die Identität
von Nutzern jederzeit netzweit zu überprüfen. Ebenso ist auf der SIM-Karte der kryptographische
Algorithmus für
die Authentisierung und Nutzdatenverschlüsselungen implementiert.
-
Gemäß der Erfindung
ist diese SIM-Karte 5 des Mobiltelefons 4 so modifiziert,
dass sie nicht nur die oben angeführte Funktionalität aufweist,
sondern zusätzlich
auch als Informationsträger
für den
Zugangscode zu einem Computer dient. Das heißt, dass im Speicher 10 (2)
der SIM-Karte 5 nicht nur die oben genannten Zugangsinformationen
für das
Mobilfunknetz gespeichert sind, sondern auch Authentifizierungsdaten,
wie beispielsweise die Benutzerkennung (User Name), das persönliche Passwort
und gegebenenfalls weitere Login-Daten für das Betriebssystem bzw. Daten
zum Entsperren des Screensavers.
-
Im
Einzelnen erfolgt der Zugang zu den Ressourcen des Computers nun
so, dass nach dem Einschalten des Computers und der üblicherweise
erforderlichen Eingabe des Boot-Passwortes, das Betriebssystem an
einer definierten Stelle stoppt und auf die Eingabe der Benutzerkennung
und des persönlichen
Passwortes wartet. Im Unterschied zum Stand der Technik ist aber
das Betriebssystem des Computers 1 so eingerichtet, dass
diese Eingabe nicht nur von der Tastatur 9 des Computers 1 erwartet
wird, sondern es wird auch die Schnittstelleneinrichtung (A dapter 2 in
USB-Port 8) abgefragt. Liegt diese Information an der Schnittstelle
vor, wird diese in üblicher
Weise durch das Betriebssystem verarbeitet. Das heißt: stimmt
diese Information mit dem im Betriebssystem zuvor gespeicherten
Zugangscode überein,
dann wird im Falle des Hochfahrens der Ladevorgang des Betriebssystems
fortgesetzt. Nach Abschluss des Ladevorgangs hat der Nutzer Zugang zu
den Ressourcen des Computers. Gleiches gilt für den Fall eines in Betrieb
befindlichen Computers, dessen Zugang durch den vom Betriebssystem
gesteuerten Bildschirmschoner gesperrt ist.
-
Für den Fall,
dass der an der Schnittstelleneinrichtung anstehende Zugangscode
nicht mit dem zuvor im Betriebssystem gespeicherten Zugangscode übereinstimmt,
stockt der Hochlauf bzw. sperrt das Betriebssystem den Zugang zu
den Ressourcen im Computer.
-
Der
erfindungsgemäße Zugangsschutz
lässt sich
natürlich
in gleicher Weise anwenden, wenn der Computer sich in einem sog.
Sleep-Modus befindet, das heißt
wenn das Betriebssystem auf Grund einer längeren Nutzungsunterbrechung
das Datenverarbeitungssystem auf einen Status mit reduzierter Energiezufuhr
geschalten hat. Nach dem Herstellen des Kommunikationskanals zwischen
den sich gegenseitig identifizierten Bluetooth-Geräten,
erzeugt die Bluetooth-Schnittstelle des Computers ein Interrupt-Signal,
welches das Betriebssystem verwendet, um den Computer aus dem Sleep-Modus
aufzuwecken und in einen Zustand normaler Betriebsfunktion und Energieaufnahme
zu bringen.
-
Auch
in diesem Fall ist, dank der Erfindung, die umständliche manuelle Eingabe von
Passwort und/oder Benutzerkennung über die Tastatur 9 des Computers 1 durch
die komfortable, drahtlose Datenübertragung
ersetzt.
-
Die
Bluetooth-Schnittstelle kann vorteilhaft so eingerichtet sein, dass
sie nach dem Herstellen des Übertragungskanals
die an der Kommunikation beteiligten Geräte identifiziert und einer
Sicherheitsklasse zuordnet. In Abhängigkeit dieser zugeordneten
Sicherheitsklasse entscheidet die Funkschnittstelle ob die Authentifizierungsdaten
automatisch an den Computer 1 übermittelt werden, oder von
der Eingabe eines PINs abhängig
gemacht wird, die an der Tastatur 6 des Mobiltelefons 4 oder
an der Tastatur 9 des Computers 1 vorzunehmen
ist.
-
Für einen
Computer, der beispielsweise zu Hause benutzt wird und damit geringere
sicherheitstechnische Anforderungen vorliegen, werden die Authentifizierungsdaten
automatisch vom Mobiltelefon 4 an den Computer 1 übermittelt.
In diesem Fall ist weder am Computer 1 noch am Mobiltelefon 4 eine manuelle
Eingabe erforderlich.
-
In
Fällen,
in denen erhöhte
Sicherheit gefordert ist, wird der Benutzer, wie oben dargestellt,
vor der Übermittlung
der Authentifizierungsdaten zur Eingabe eines PINs aufgefordert.
-
In 2 ist
die erfindungsgemäß modifizierte
SIM-Karte 5 als Blockschaltbild näher dargestellt. Die SIM-Karte 5 weist
einen Systembus 14 auf, der einen Prozessor 12,
eine Ein-Ausgabeeinheit 11,
einen Controller 13 und einen Speicher 10 verbindet. Der
Controller 13 dient zur verschlüsselten Übertragung des Zugangscodes.
Der Speicher 10 gliedert sich gemäß der Erfindung in einen ersten
Bereich 8, in welchem in üblicher Weise jene Daten gespeichert sind,
durch welche sich der Nutzer gegenüber dem Mobiltelefon 4 bzw.
dem Mobilfunknetzbetreiber als berechtigt ausweist. In einem zweiten
Speicherbereich 9 sind gemäß der Erfindung jene Authentifizierungsdaten
abgelegt, die den Nutzer gegenüber
dem Computer 1 als berechtigten Nutzer ausweisen.
-
Selbstverständlich kann
anstelle des Mobiltelefons 4 eine beliebige andere auch
kleinformatige Kommunikationseinrichtung treten, sofern sie den
erfindungsgemäßen Informationsträger aufweist.
Wie bereits eingangs dargestellt, erfasst der Beg riff "mobiles, informationstragendes
und -verarbeitendes Gerät" verschiedene, vor
allem kleinformatige Geräte unterschiedlicher
Ausführung,
wie beispielsweise Handys, PDAs, Organizer und andere bewegbare Kommunikationseinrichtungen
zur Bild/Sprachübertragung.
Entscheidend im Sinne der Erfindung ist lediglich, dass der Informationsträger dieser
Geräte
sowohl zum Speichern und Verwalten von Daten verwendet wird, durch
die sich ein Nutzer jeweils gegenüber diesem Gerät als berechtigt
ausweist, als auch zum Speichern und Verwalten einer Zugangsinformation,
durch die sich derselbe Nutzer gegenüber dem Betriebssystem, und
ggf. einem vom Betriebssystem gesteuerten Programm, eines Computers
authentifiziert.
-
Das
erfindungsgemäße Zugangskontrollsystem
kann auch für
andere Zugangssysteme, wie beispielsweise Parkplatzschranken Türöffner und ähnliche
Anwendungen eingesetzt werden. In diesem Fall kann das mobile Gerät ein entsprechend
ausgestattetes Fahrzeug sein.