Verfahren und Vorrichtung zum Bereitstellen eines Einmalpass- wortes

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zum Bereitstellen eines Einmalpasswortes für ein Nutzergerät für dessen Anmeldung bei einem Server. In vielen Anwendungsfällen sind Nutzergeräte mit einem Server über ein unsicheres Datennetzwerk verbunden. Damit die Nutzergeräte bzw. Client-Geräte Daten in abgesicherter Form mit dem Server austauschen können, werden die Nutzergeräte daher mit entsprechenden Security-Credentials versorgt. Diese Secu- rity-Credentials , bei denen es sich beispielsweise um Passwörter oder um sonstige Sicherheitstoken handeln kann, werden in vielen Fällen von einer zentralen Komponente, beispielsweise einem Server eines Dienstleistungsanbieters, erzeugt und anschließend an die Nutzergeräte bzw. Administratoren von derartigen Nutzergeräten oder Diensten verteilt. In vielen Fällen werden sogenannte Einmalpasswörter (OTP - One Time Passwort) genutzt. Mit einem derartigen Einmalpasswort OTP kann sich das Nutzergerät bzw. der Client ein einziges Mal direkt für einen entsprechenden Dienst bei einem Server an- melden. Der Client muss für zukünftige Anmeldungen entweder ein neues Passwort setzen oder erhält von dem Server ein Sicherheitstoken, beispielsweise ein digitales Zertifikat oder einen sogenannten Cookie. Weiterhin ist es möglich das weitere Einmalpasswörter verwendet werde, die beispielsweise vorab in einer Liste verschickt werden, beispielsweise TANs oder

Hash-Ketten. Als Einmalpasswörter verwendet man üblicherweise zufällige Zeichenfolgen. Nach Generierung eines Einmalpasswortes wird das Einmalpasswort OTP in einer Datenbank gespei ^¬ chert. Meldet sich ein Nutzergerät bzw. ein Client bei dem Server an, so wird das Einmalpasswort (OTP) als benutzt ge ^¬ kennzeichnet oder aus der Datenbank gelöscht. Eine zweite An ^¬ meldung des Nutzergerätes bei dem Server mit diesem Einmal ^¬ passwort ist dann nicht mehr möglich. Alternativ ist möglich, eine ausreichende Menge von Einmalpasswörter nach einem be ^¬ stimmten festgelegten Verfahren zu erzeugen und nur die bereits verwendeten Einmalpasswörter in der Datenbank zu speichern. Werden Hash-Ketten verwendet, so wird beispielsweise nur das zuletzt verwendete Einmalpasswort OTP in der Daten ^¬ bank gespeichert. Üblicherweise wird das Einmalpasswort OTP auf Seiten des Servers gespeichert, um einen Vergleich bei der Anmeldung des Nutzergerätes bei dem Server zu ermögli ^¬ chen .

Weiter Beispiele für herkömmliche Einmalpasswörter OTP sind sogenannte Transaktionsnummern TAN und mobile Transaktions ^¬ nummern TANs, die beispielsweise im Onlinebanking verwendet werden .

Bei herkömmlichen Einmalpasswörtern OTP ist es allerdings nicht möglich die Nutzung eines Einmalpasswortes OTP einzu ^¬ schränken bzw. an eine bestimmte Bedingung zu knüpfen. Dies ist allerdings in vielen Fällen wünschenswert, beispielsweise wenn sich ein Nutzer von einem bestimmten Gerät aus bei dem Server anmelden soll oder wenn die Anmeldung des Nutzergerätes bei dem Server nur zu einer bestimmten Zeit erfolgen darf .

Es ist daher eine Aufgabe der vorliegenden Erfindung ein Verfahren zum Bereitstellen eines Einmalpasswortes für ein Nutzergerät zu schaffen, das die Möglichkeit bietet zusätzliche Bedingungen an das Einmalpasswort zu knüpfen.

Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den im Patentanspruch 1 angegebenen Merkmalen gelöst.

Die Erfindung schafft ein Verfahren zum Bereitstellen eines Einmalpasswortes (OTP) für ein Nutzergerät, das zur Anmeldung des Nutzers bei einem Server vorgesehen ist, wobei der Server das Einmalpasswort (OTP) mittels einer kryptographischen Ope ^¬ ration in Abhängigkeit eines eindeutigen Nutzungsidentifika- tors generiert und an das Nutzergerät überträgt. Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens wird der eindeutige Nutzungsidentifikator durch eine Nutzer-ID des Nutzers gebildet.

Bei einer weiteren möglichen Aus führungs form wird der eindeu tige Nutzungsidentifikator durch eine Nutzergeräte-ID des Nutzergerätes gebildet.

Bei einer weitern möglichen Aus führungs form des erfindungsge mäßen Verfahrens wird der eindeutige Nutzungsidentifikator durch eine Kombination der Nutzer-ID des Nutzers sowie der Nutzergeräte-ID des Nutzergerätes gebildet.

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens generiert der Server das Einmalpasswort durch Be ^¬ rechnen eines kryptographischen Funktionswertes des eindeuti gen Nutzungsidentifikators .

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens berechnet der Server als Einmalpasswort (OTP) den kryptographischen Funktionswert des Nutzungsidentifikators mittels eines geheimen kryptographischen Schlüssels.

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens berechnet der Server als Einmalpasswort (OTP) den kryptographischen Funktionswert mittels einer vorgegebenen kryptographischen Funktion, insbesondere einer Hash-Funktion für den eindeutigen Nutzungsidentifikators des geheimen kryp tographischen Schlüssels.

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens berechnet der Server als Einmalpasswort (OTP) den kryptographischen Funktionswert zusätzlich in Abhängigkeit eines Zeitstempels.

Bei einer weiteren möglichen Aus führungs form des erfindungsgemäßen Verfahrens berechnet der Server als Einmalpasswort (OTP) den kryptographischen Funktionswert zusätzlich in Abhängigkeit einer Zufallszahl.

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens speichert das Nutzergerät das von dem Server emp ^¬ fangene Einmalpasswort (OTP) und überträgt dieses Einmalpass- wort (OTP) bei einer Anmeldung des Nutzergerätes bei dem Ser ^¬ ver zusammen mit dem Nutzungsidentifikator .

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens verifiziert der Server bei der Anmeldung des Nut ^¬ zungsgerätes bei dem Server das Nutzungsgerät anhand des in dem Einmalpasswort (OTP) implizit enthaltenen Nutzungsidenti- fikators .

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens löscht der Server das durch ihn generierte Einmal ^¬ passwort (OTP) nach der Übertragung des generierten Einmal- passwortes (OTP) an das jeweilige Nutzergerät.

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens wird das generierte Einmalpasswort (OTP) zusammen mit dem Nutzergerät an den Nutzer zur Anmeldung des Nutzerge ^¬ rätes des Nutzers an dem Server verschickt.

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens wird das generierte Einmalpasswort (OTP) von dem Server über ein Datennetzwerk oder mittels eines Datenträgers zu einem bei dem Nutzer aufgestellten Nutzergerät zu dessen Anmeldung bei dem Server verschickt.

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens verfällt eine Gültigkeit des von dem Server gene ^¬ rierten Einmalpasswortes (OTP) nach einer vorgegebenen Zeitdauer .

Die Erfindung schafft ferner einen Server zum Bereitstellen eines Einmalpasswortes (OTP) für ein Nutzergerät, das zur An ^¬ meldung des Nutzergerätes bei dem Server vorgesehen ist, wo- bei der Server das Einmalpasswort (OTP) mittels einer kryp- tographischen Operation in Abhängigkeit eines eindeutigen Nutzungsidentifikators generiert und an das Nutzergerät über- trägt .

Bei einer möglichen Aus führungs form des erfindungsgemäßen Servers, wird der eindeutige Nutzungsidentifikator durch Nutzer-ID eines Nutzers gebildet.

Bei einer alternativen Aus führungs form des erfindungsgemäßen Servers wird der eindeutige Nutzungsidentifikator durch eine Nutzergeräte-ID des Nutzergerätes gebildet.

Bei einer möglichen Aus führungs form des erfindungsgemäßen Servers wird bei einer Anmeldung des Nutzergerätes bei dem Server das Nutzergerät anhand des in dem von dem Server empfangenen Einmalpasswort implizit enthaltenen Nutzungsidenti- fikators verifiziert.

Im Weiteren wird eine mögliche Aus führungs form des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Systems zum Bereitstellen eines Einmalpasswortes (OTP) unter Bezugnahme auf die beigefügte Figur beschrieben.

Figur 1 zeigt ein Signalablaufdiagramm zur Verdeutlichung des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Servers zum Bereitstellen eines Einmalpasswortes.

Wie man in Figur 1 erkennen kann, kommunizieren ein Nutzergerät 1 und ein Server 2 über ein Datennetzwerk und tauschen Nachrichten aus. Bei dem Nutzergerät 1 kann es sich um ein beliebiges Nutzergerät handeln, das bei einem Nutzer, bei ^¬ spielsweise in einem Haushalt, aufgestellt wird. Das Nutzer ^¬ gerät 1 kann ein mobiles oder ein fest installiertes Nutzer ^¬ gerät sein. Bei dem Datennetzwerk kann es sich um ein drahtloses oder drahtgebundenes Datennetzwerk, sowie um ein Ge- flecht verschiedener Datennetzwerke handeln, beispielsweise das Internet.

Ein Beispiel für ein Nutzergerät 1 ist ein Energiegateway für ein intelligentes Stromversorgungsnetzwerk. Weiter Beispiele sind Medizingeräte, die zum Austausch von Patientendaten mit einem entsprechenden Dienstleistungsserver im Raum eines Patienten aufgestellt werden. Weitere mögliche Beispiele sind Feuermelder bzw. Alarmmelder, die eine Alarmmeldung an einen Dienstleister, beispielsweise die Feuerwehr, liefern. Weiterhin kann es sich bei dem Nutzergerät 1 um ein Kommunikations ^¬ gerät, beispielsweise eine Pay-TV-Box handeln, welche einem Nutzer ermöglicht Filme von einem Server 2 zu empfangen. Der Server 2 kann sich beispielsweise bei einem Dienstleitungsan- bieter bzw. Serviceprovider befinden. Der Serviceprovider kann selbst bzw. im Auftrag Nutzungsgeräte 1 herstellen las ^¬ sen und an mögliche Kunden ausliefern. Alternativ können die Nutzergeräte 1 im freien Handel erworben werden. Die Nutzergeräte 1 sind jeweils über eine Seriennummer oder dergleichen eindeutig identifizierbar. Weiterhin kann jeder Kunde bzw.

Nutzer eine eindeutige Kundennummer besitzen. Möchte ein Kunde, der ein Nutzergerät 1 von einem Serverprovider erhalten hat oder im freien Handel erworben hat, das Nutzergerät 1 bei dem Dienstleistungsanbieter anmelden, sendet er, wie in Figur 1 dargestellt, eine Anforderungsnachricht bzw. einen Request über das Datennetzwerk an den Server 2 des Dienstleistungsanbieters. Mit einem in dem Server 2 vorgesehenen Generator wird daraufhin ein Einmalpasswort OTP in einer kryptographi- schen Operation in Abhängigkeit eines eindeutigen Nutzungsi- dentifikators generiert. Bei einem Nutzungsidentifikator kann es sich beispielsweise um eine Nutzer-ID des Nutzers, insbe ^¬ sondere eine Kundennummer, handeln. Alternativ kann es sich bei dem Nutzungsidentifikator um eine Nutzergeräte-ID, beispielsweise einer Seriennummer des Nutzergerätes 1, handeln. Weiterhin ist es möglich, das es sich bei dem Nutzungsidenti- fikator um eine eindeutige Adresse, beispielsweise eine MAC- Adresse handelt. Der Server 2 überträgt das durch die kryp- tographische Operation gebildete Einmalpasswort OTP an das anzumeldenden Nutzergerät 1 über das Datennetzwerk, wie in Figur 1 dargestellt.

Das generierte Einmalpasswort OTP kann, wie in Figur 1 darge- stellt, über das Datennetzwerk zu dem Nutzergerät 1 übertra ^¬ gen werden oder auch alternativ über einen anderen Kommunikationskanal. Ferner ist es möglich, dass das generierte Ein ^¬ malpasswort OTP mittels eines Datenträgers offline von dem Server 2 zu dem Nutzergerät 1 übertragen wird. Dieser Daten- träger kann beispielsweise durch einen USB-Stick gebildet sein. Der Datenträger wird bei einer möglichen Ausführungsform zusammen mit dem aufzustellenden Nutzergerät 1 von einem Serviceprovider in einem Paket per Post an den Nutzer verschickt. Der Nutzer schließt dann den beigefügten Datenträ- ger, beispielsweise einen USB-Stick zum Auslesen des Einmal- passwortes OTP an das Nutzergerät 1 an, sodass sich das Nut ^¬ zergerät 1 mit Hilfe des ausgelesenen Einmalpasswortes OTP bei dem Server 2 zur Freischaltung des Dienstes anmelden kann .

Weiterhin ist es möglich, dass der Datenträger, beispielsweise der USB-Stick, welcher das generierte Einmalpasswort OTP transportiert, getrennt von dem Nutzergerät 1 in einem ande ^¬ ren Paket an den Nutzer verschickt wird. Bei einer weitern möglichen Aus führungs form ist der Datenträger ein in dem Nutzergerät 1 integrierter Datenspeicher. Dieser Datenspeicher kann beispielsweise zugangsgeschützt sein und mit Hilfe eines Passwortes freigeschaltet werden, damit der Nutzer Zugriff auf das darin abgespeicherte Einmalpasswort OTP erhält. So- bald der Nutzer bzw. das Nutzergerät 1 das von dem Server 2 gebildete Einmalpasswort OTP online oder offline erhalten hat, kann das Nutzergerät 1 durch eine Anmeldenachricht N sich bei dem Server 2 für den jeweiligen Dienst anmelden. Bei dem von dem Server 2 generierten und von dem Nutzergerät 1 empfangenen Einmalpasswort OTP ist der Nutzungsidentifikator, beispielsweise ein Benutzerkonto bzw. eine Kundennummer oder ein entsprechender Geräteidentifikator, beispielsweise eine Seriennummer, in dem Einmalpasswort OTP implizit enthalten bzw. eincodiert. Dadurch wird verhindert, dass sich ein ande ^¬ rer Nutzer bzw. ein anderes Gerät mit diesem Einmalpasswort OTP bei einem Server 2 anmelden kann. Bildet der Server 2 beispielsweise das Einmalpasswort OTP für ein Nutzergerät 1 mittels einer Hash-Funktion aus der bekannten Geräte-ID und einem geheimen kryptographischen Schlüssel der Geräte-ID ist das gebildete Einmalpasswort OTP eindeutig: OTP=H(K _priVi Gerä ^¬ te-ID) . In diesem Falle wird die Geräte-ID des Nutzergerätes

1 bei der Anmeldung, das heißt bei der Übersendung der Anmeldenachricht N als Teil der Nachricht N zu dem Server 2 mitge ^¬ schickt. Dann kann der Server 2 unter Nutzung des geheimen kryptographischen Schlüssels (K _priv ) die Richtigkeit des Ein- malpasswortes OTP effizient überprüfen, ohne dass das Einmal ^¬ passwort OTP zur Überprüfung zentral in dem Server 2 hinterlegt sein muss. Es besteht daher bei dem erfindungsgemäßen Verfahren die Möglichkeit, dass der den Server 2 der durch ihn generierte Einmalpasswörter OTP nach der Übertragung an die Nutzergeräte 1 aus seinem Datenspeicher löscht bzw. ent ^¬ fernt. Dadurch kann der Verwaltungsaufwand auf Seiten des Servers 2 bzw. des Dienstleistungsanbieters erheblich redu ^¬ ziert werden. Weiterhin bietet dies den besonderen Vorteil, dass bei einem Ausfall eines Datenspeichers auf Seiten des Servers 2 selbst bei Verlust von derartigen Einmalpasswörtern OTP erfolgreich eine Verifizierung eines erhaltenen Einmal- passwortes OTP auf Seiten des Servers 2 durchgeführt werden kann .

Bei einer weiteren möglichen Aus führungs form verfällt eine Gültigkeit eines von dem Server 2 generierten Einmalpasswor- tes OTP nach einer vorgegebenen konfigurierbaren Zeitdauer, beispielsweise nach einigen Minuten oder Stunden. Ist die Anmeldung des Nutzergerätes 1 erfolgreich kann dies der Server

2 dem Nutzergerät 1 mit einer OK-Nachricht mitteilen.

Bei einer möglichen Aus führungs form wird bei einer Übertragung der Anmeldenachricht N von dem Nutzergerät 1 an den Ser ^¬ ver 2 das Einmalpasswort OTP nicht im Klartext sondern kryp- tographisch geschützt übertragen. Bei einer weiteren mögli- chen Aus führungs form erfolgt die Übertragung der Nachricht N zur Anmeldung des Nutzergerätes 1 bei dem Server 2 über eine kryptographisch geschützte Verbindung, beispielsweise eine TLS- oder SSL-Verbindung. Dabei ist es möglich, dass die übertragene Anmeldenachricht N anhand einer Prüfsumme verifi ziert wird.

Bei einer weiteren bevorzugten Aus führungs form geschieht die Berechnung des kryptographischen Funktionswertes, der das Einmalpasswort OTP bildet, mit einer vorgegebenen kryptographischen Funktion, beispielsweise einer Hash-Funktion, für den eindeutigen Nutzungsidentifikator mittels des geheimen kryptographischen Schlüssels unter Verwendung zusätzlicher Informationen bzw. Daten. Dabei kann der Server 2 bei einer möglichen Aus führungs form als Einmalpasswort OTP den kryptographischen Funktionswert zusätzlich in Abhängigkeit eines Zeitstempels berechnen. Eine Zeitangabe bzw. ein Zeit ^¬ stempel zum Beispiel <MMJJ> oder <TTMMJJ> oder <Tage seit 01.01.2010> ermöglicht es, dass man pro Konto eines Nutzers und Monat bzw. Tag ein weiteres Einmalpasswort OTP erzeugt. Diese Aus führungs form eignet sich insbesondere für den Fall, dass ein Einmalpasswort OTP nur kurz gültig ist und nur sel ^¬ ten ein neues Einmalpasswort benötigt wird. Weiterhin ist es möglich an dieser Stelle einen sogenannten UTC-Zeitwert einzusetzen. Eine Unix Time beschreibt dabei beispielsweise die seit dem 01.01.1970 vergangene Anzahl von Sekunden. Dadurch ist es möglich, sehr schnell wechselnde Einmalpasswörter OTP für einen bestimmten Nutzungsidentifikator zu erzeugen, beispielsweise: OTP=Hash(K, ID, <TTMMJJ>) .

Diese Aus führungs form kann eine Zeitangabe zur Erzeugung bzw Überprüfung eines Einmalpasswortes OTP benutzen, wobei eine synchronisierte Zeitangabe verfügbar sein muss. Bei einer möglichen Aus führungs form erfolgt eine Zeitsynchronisation durch Protokolle, wie beispielsweise NTP (Network Time Proto col) oder IEEE 1588. Bei einer weitern möglichen Aus führungs form sendet der Server als Einmalpasswort OTP einen kryptographischen Funktionswert zusätzlich in Abhängigkeit einer Zufallszahl. Diese Zufallszahl kann beispielsweise durch einen Zufallsgenerator gene- riert werden. Beispielsweise wird das Einmalpasswort OTP wie folgt berechnet:

OTP=Hash (K, <Zufallszahl>, ID) || <Zufallszahl> Damit kann man bei entsprechend langer Zufallszahl beliebig viele Einmalpasswörter OTP erzeugen.

Bei einer speziellen Variante kann anstatt eines Hash- Verfahrens, in dem ein Schlüssel K direkt mit einer Nachricht konkateniert wird, ein sogenanntes Keyed-Hash-Verfahren eingesetzt werden. Bei einer möglichen Aus führungs form wird der Keyed-Hash-Wert wie in Standard RFC 2104 berechnet:

HMAC (K,m) =H ( (K XOR opad) | | H ( (K XOR ipad) | |m) ) wobei m eine Nachricht, beispielsweise eine Anmeldenachricht ist und wobei opad und ipad vordefinierte Strings bzw. Zeichenketten sind und

wobei K ein Einmalpasswort OTP bzw. einer von dem Einmalpass ^¬ wort OTP abhängiger Wert, beispielsweise K=H(OTP), ist.

Bei einer weiteren möglichen Ausführungsvariante kann anstatt des Hash-Verfahrens auch ein symmetrischer Verschlüsselungs ^¬ algorithmus, beispielsweise AES (Advanced Encryption Stan ^¬ dard) in einem CBCMAC-Modus (Cipher Block Chaining Message Authentication Code) genutzt werden. Das erfindungsgemäße Verfahren bietet einige Vorteile. Mit dem erfindungsgemäßen Verfahren ist es möglich ein Einmalpasswort OTP nach einer fest definierten Regel unter Verwendung einer kryptographischen Operation derart zu erzeugen, dass das Einmalpasswort OTP an einen bestimmten Nutzungsiden tifikator, beispielsweise eine Nutzer-ID bzw. einer Nutzerkontennummer, gebunden werden kann. Ferner ist es nicht notwendig, dass gebildete Einmalpasswort OTP vor seiner Verwen ^¬ dung auf einen Datenspeicher des Servers 2 zu speichern, so dass insgesamt die Verwaltung dieser Daten erheblich erleich tert wird.

Bei einer möglichen Aus führungs form ist es möglich das Einmalpasswort OTP an einen Kundennamen eines Nutzers, bei ^¬ spielsweise eines Kunden eines Stromversorgungsunternehmens, zu binden. Weiterhin ist es mit dem erfindungsgemäßen Verfah ren Möglich, bei Bedarf weitere Einmalpasswörter OTP für den gleichen Nutzer bzw. zum gleichen Kundennamen zu erzeugen. Das gebildete Einmalpasswort OTP ist kryptographisch genauso sicher wie eine reine Zufallszahl. Der Erzeuger bzw. der Ser ver 2 des Einmalpasswortes OTP muss dieses gebildete Einmal ^¬ passwort OTP nicht speichern. Es muss seitens des Servers 2 lediglich gespeichert werden, welche Konten bzw. Geräte ihre Einmalpasswörter OTP bereits genutzt bzw. welche Konten bzw. Geräte ihre Einmalpasswörter OTP noch benutzen dürfen. Dies reduziert die zu schützenden Daten auf den kryptographischen Schlüssel K, der zu Erzeugung der Einmalpasswörter OTP verwendet wird. Die Gültigkeit eines Einmalpasswortes OTP kann zudem zeitlich begrenzt werden. Das erfindungsgemäße Verfah ^¬ ren und System eröffnet somit einem Dienstleistungsanbieter bzw. Serviceprovider die Möglichkeit Einmalpasswörter OTP an bestimmte Bedingungen zu knüpfen und erlaubt somit eine Erhö hung der Flexibilität des Dienstleistungsanbieters und eine Erhöhung der Sicherheit gegenüber Manipulationen.