Verfahren und Vorrichtung zur Steuerung eines Nutzerzugriffs auf einen in einem Datennetz bereitgestellten Dienst

Beschreibung

Diese Erfindung bezieht sich auf Verfahren und Vorrichtung zur Steuerung eines Nutzerzugriffs auf einen in einem Datennetz bereitgestellten Dienst.

In herkömmlichen Zugriffssteuersystemen, wie sie in Datennetzen zum Einsatz kommen, werden Identifizierungs- bzw. Authentisierungsmittel des wissens-basier- ten Typs eingesetzt, um die Sicherheitsanforderungen zu erfüllen. Insbesondere sind seit Jahrzehnten passwort-basierte oder PIN-basierte Identifizierungs-/Au- thentisierungsabläufe bekannt und im allgemeinen Einsatz. Spezieller sind in spio- nage- oder missbrauchs-sensitiven Anwendungen, wie etwa in Homebanking-Anwendungen, zusätzliche Sicherheitsmaßnahmen, wie das Vorsehen und die obligatorische Nutzung individueller Transaktionscodes oder TANs, bekannt und werden breit eingesetzt. Auch solche zusätzlichen Sicherheitserhöhenden Abläufe sind wis- sens-basiert und leiden daher unter den typischen Nachteilen aller wissens-basier- ten Systeme, d.h. einerseits unter Problemen, die mit dem Verlust der relevanten Informationen durch den autorisierten Nutzer zusammenhängen, und andererseits Risiken, die sich aus dem Zugriff auf derartige Information durch einen unautorisierten Nutzer ergeben.

Daher wurden in den letzten Jahren beträchtliche Anstrengungen unternommen, um andere Typen von Identifizierungs-/Authentisierungsabläufen in die Sicherheitsmechanismen von Datennetzen einzubauen. Insbesondere werden Ansätze verfolgt, um „besitz-basierte" Mechanismen (Tokens) und/oder „seins"-basierte (btometrie-basierte) Mechanismen den bekannten wissens-basierten Mechanismen hinzuzufügen. Beispielsweise sind bei Geldautomaten biometrische Authentisie- rungsabläufe, beruhend auf einer Fingerabdruck- oder Retina-Erkennung, zur Steuerung des Zugriffs auf Bankkonten vorgeschlagen worden. Wetterhin sind die mittlerweile etablierten fingerabdruck-basierten Zugriffssteuereinrichtungen von Note-

books und anderen PCs als eine spezielle Art von Mitteln zur Steuerung des Zugriffs zu Datennetzen erwähnt werden.

In jüngerer Zeit sind stimmbasierte Authentisierungs-Lösungen als ein spezieller Typ von biometπe-basierten Identifizierungen/Authentisierungen bereits durch Firmen eingeführt worden, um ihre internen wissens-basierten Zugriffssteuermechanismen zu erganzen .

Bei Internet- und Mobilfunk-basierten Diensten und Aktivitäten, insbesondere auf Internet-Marktplätzen wie Ebay oder in Finanz-Transaktionssystemen des Internet wie PayPal wächst mit der weltweit schnell ansteigenden Anzahl von Nutzern die Anzahl betrügerischer Attacken signifikant an. Die Wahrscheinlichkeit eines erfolgreichen Angriffs auf Konten eines weltweiten Internet-basierten Dienstes mit Millionen von Nutzern ist viel hoher als diejenige von Phishing-Attacken auf lokale Banken.

Mittlerweile haben Systemprovider wie PayPal und Ebay auf die wachsende Anzahl von Angriffen reagiert, indem sie ein Hardware-Token als zweite Sicherheitsebene für Nutzerkonten eingeführt haben . In kurzlich entwickelten Lösungen dieser Art wird davon ausgegangen, dass ein individueller Sicherheitscode, der periodisch erzeugt wird, den Nutzer vor betrügerischem Missbrauch des persönlichen Kontos schützen kann.

Diese kürzlich entwickelten Mechanismen leiden darunter, dass sie eine zusatzliche Kostenbelastung mit sich bringen, die durch die Provider und/oder die Nutzer zu tragen ist, sowie unter den typischen Nachteilen von besitz-basierten Identifizie- rungs-/Authentisierungsmitteln.

Es ist eine Aufgabe der Erfindung, ein verbessertes Verfahren und eine verbesserte Vorrichtung zur Steuerung des Zugriffs eines Nutzers auf einen Dienst in einem Datennetz bereitzustellen, welches/welche insbesondere relativ leicht zu implementieren und unter Kostengesichtspunkten annehmbar ist.

Diese Aufgabe wird unter Verfahrensaspekten durch ein Verfahren gemäß Anspruch 1 und unter Vorrichtungsaspekten durch eine Anordnung gemäß Anspruch 14 oder 15 gelöst. Bevorzugte Ausführungen der Erfindung sind Gegenstand der abhängigen Ansprüche.

Demgemäß wird mit der Erfindung ein Verfahren bereitgestellt, welches aufweist:

(a) Eingeben einer Sprachprobe des Nutzers in einer VoIP-Session an einem Nutzer-Datenendgerät, welches mindestens zeitweilig mit dem Datennetz verbunden ist,

(b) Verarbeiten der Sprachprobe des Nutzers in einem ersten Verarbeitungsschritt, unter Nutzung eines dedizierten Client, der im Nutzer-Datenendgerät implementiert ist, um eine vorverarbeitete Sprachprobe oder ein aktuelles Stimmprofil des Nutzers zu erhalten,

(c) weiteres Verarbeiten der vorverarbeiteten Sprachprobe oder des aktuellen Stimmprofils in einem zweiten Verarbeitungsschritt, einschließend einen Ver- gleichsschritt des aktuellen Stimmprofils mit einem in einer Datenbasis gespeicherten initialen Stimmprofil, und

(d) Ausgeben eines Zugriffssteuersignals zur Gewährung oder Verweigerung eines Zugriffs auf den Dienst unter Berücksichtigung des Ergebnisses des Vergleichsschrittes.

Mit anderen Worten schlägt die Erfindung vor, dass ein spezieller Client auf dem Computer des Nutzers installiert wird, der die Stimm-Biometrie zur Authentisierung des Nutzers einsetzt. Der Client gewährleistet sicher die Identität des Nutzers, ohne vom Nutzer zu fordern, dass er mehrere komplexe Passworte behalt, und ohne die Gefahr, dass er ein Opfer betrügerischer Attacken wird.

Ais ein generisches Authentisierungs-Werkzeug kann das Verfahren als eine „Zwei- Faktor-Authentisierung" dienen, um das Sicherheitsniveau zu erhöhen und um existierende herkömmliche Authentisierungsverfahren, wie etwa passwort- oder PIN- basierte Verfahren, zu unterstützen. Alternativ kann das erfindungsgemäße Verfahren für sich selbst als sichere „Zwei-Faktor-Authentisierung" auf Basis einer Stimmerkennung und Stimm-Authentisierung dienen, ohne die Notwendigkeit der Nutzung

von Passworten oder PINs oder zusätzliche Hardware. In dieser Hinsicht zielen beide Ausführungsformen in existierende Marktsegmente und können zu Kosteneinsparungen und einer Erhöhung der Handhabbarkeit für den Nutzer führen.

Alles in allem liefert das Verfahren einen signifikanten Nutzeffekt für alle beteiligten Seiten, die in kritische Transaktionen und Datenzugriffsabläufe involviert sind. Insbesondere ist auf Nutzerseite keine zusätzliche Hardware oder Software erforderlich. Es ist davon auszugehen, dass die Nutzerakzeptanz hoch ist, da das Verfahren leicht zu benutzen und sicher ist. Was die Provider-Seite angeht, so ist kein hardware-intensiver Umschlag von Token und Smartcards erforderlich, und es wird eine schnelle und leichte zentralisierte Sicherheits-Administration möglich. Weiterhin macht die leicht erreichbare Skalierbarkeit das Verfahren zu einer idealen Lösung für Massenmarkt-Online-Zugriffsanwendungen in vielen Gebieten. Es ist grundsätzlich geeignet für jede Client-Server- und Peer-to-Peer-basierte Transaktionen.

In einer Ausführungsform der Erfindung werden die Verfahrensschritte (a) bis (d) im wesentlichen am Nutzer-Datenendgerät ausgeführt, und das Zugriffssteuersignal wird über das Datennetz an einen Server des Dienstes übertragen.

In einer weiteren Ausführungsform wird nach dem Schritt (b) die vorverarbeitete Sprachprobe oder das Stimmprofil über das Datennetz zu einem Stimmauthentisie- rungs-Server übertragen, der zweite Verarbeitungsschritt (c) am Authentisierungs- Server ausgeführt und der Authentifizierungs-Server das Zugriffssteuersignal zu einem Server des Dienstes übermittelt.

In einer noch weiteren Ausführungsform wird ergänzend zu den Schritten (a) bis (d), die eine erste Authentisierungsprozedur bilden, eine zweite Authentisierungs- prozedur ausgeführt und das Zugriffssteuersignal im Ansprechen auf entsprechende Ausgangssignale der ersten und zweiten Authentisierungsprozedur erzeugt. Speziell ist hierbei die zweite Authentisierungsprozedur passwort- oder user-ID- basiert. Spezieller wird als eine Ausführungsform der weiter oben erwähnten

„Zwei-Faktoren-Authentisierung" ein durch den Nutzer eingesprochenes Passwort oder eine Nutzer-ID mit den Mitteln der Spracherkennung vorverarbeitet.

In der wichtigsten Protokoll-Implementierung ist das Datennetz ein Netz auf Basis des Internet-Protokolls, und der Client im Nutzer-Datenendgerät weist einen SIP- Client für den Rufaufbau auf. Spezieller wird der SIP-Chent mit einem Interactive Connectivity Establishment (ICE)-Element oder einem Application Layer Gateway (ALG) kombiniert, um Netzadress-Ubersetzungsmittel bereitzustellen.

Typischerweise ist eine LJRI dem Nutzer-Datenendgerät zum Aufbau der VoIP- Session zugeordnet und die URI wird benutzt, um den Authentisierungs-Server anzusprechen .

Des weiteren ist bei einer Ausfuhrungsform mit großer Zukunftsperspektive das Datennetz ein Mobilfunknetz, und als Nutzer-Datenendgerät wird ein Mobilfunk- Endgerat benutzt.

Wie typischerweise bei VoIP-Ubertragungen vorgesehen, wird für die Sprachdatenübertragung an den Authentisierungs-Server das Realtime Transport Protokoll (RTP) verwendet.

Alternativ zur Nutzung eines SIP-Clients weist der Client am Nutzer-Endgerat einen STUN-Client auf, obgleich nach derzeitigem Kenntnisstand ein solcher Client im Vergleich zu dem SIP-Chent bestimmte Nachteile haben kann.

In einer weiteren Ausführungsform der Erfindung umfasst der erste Verarbeitungsschritt (b) Sprachquahtatsverarbeitungs- und/oder Sprachqualitäts-Verbesserungs- schritte. Solche Schritte als solche sind im Stand der Technik bekannt.

Die meisten der oben spezifizierten bevorzugten Aspekte des erfindungsgemäßen Verfahrens haben auch ihr Gegenstuck in Produkt- oder Vorrichtungsmerkmalen der Erfindung. Insoweit werden nicht alle diese Aspekte hier im Detail erläutert.

Es soll jedoch hervorgehoben werden, dass bei einer bevorzugten Ausfuhrungsform die Vorrichtung bzw. Anordnung zusatzliche Authentisierungsmittel aufweist, die ein Ausgangssignal liefern, welches in die Zugriffssteuersignal-Erzeugungsmittel eingegeben wird, um zusammen mit dem Ausgangssignal der Vergleichermittel verarbeitet zu werden. Spezieller sind die zweiten Authentisierungsmittel im wesentlichen im Nutzer-Datenendgerät implementiert oder über das Nutzer-Datenendgerät und den Authentisierungs-Server verteilt.

In einer weiteren Ausführungsform der Anordnung weisen die ersten oder zweiten Verarbeitungsmittel Sprachqualitäts-Verarbeitungsmittel und/oder Sprachqualitats- Verbesserungsmittel auf. In einer weiteren vorteilhaften Ausführung, die dem oben erwähnten „Zwei-Faktoren-Authentisierungssystem" entspricht, weisen die zusatzlichen Authentisierungsmittel Spracherkennungsmittel zur Erkennung eines Passworts oder einer Nutzer-Idee aufgrund einer Spracheingabe durch den Nutzer auf.

Bevorzugte Ausfuhrungsformen und Vorteile der Erfindung werden nachfolgend unter Bezugnahme auf die Figuren detaillierter beschrieben. Von diesen zeigen:

Fig . 1 ein vereinfachtes Blockschaltbild einer Ausfuhrungsform der erfindungsgemäßen Gesamtkonfiguration,

Fig. 2 eine SIP-Client-Architektur gemäß einer Ausführungsform der Erfindung und

Fig. 3 eine SIP-Server-Architektur gemäß einer weiteren bevorzugten Ausfuhrungsform der Erfindung.

Im wesentlichen sind die Figuren infolge der dort vorhandenen beschreibenden Teile selbst erklärend. Daher werden nachfolgend nur noch kurze ergänzende Kommentare hierzu gegeben .

Gemäß Fig. 1 umfasst die Anordnung zur Ausfuhrung der Erfindung ein Notebook (Nutzer-Endgerat) 1, mit dem ein Headset 3 verbunden ist, einen Provider-Server

(„XY-Server") 5 und einen Authentisierungs-Server I ₁ die beide über ein Datennetz 9 mit dem Notebook 1 verbunden sind.

In einem ersten Schritt Sl möchte ein Nutzer Zugriff zu einem Account beim Provider XY erlangen, indem er seine Nutzer-ID (und ein Passwort) eingibt und eine „Cali Me" -Taste drückt, die auf einem Schirm seines Notebooks erscheint. Stellt sich dieser erste Authentisierungsschritt als erfolgreich heraus, wird in einem zweiten Schritt S2 die Nutzerinformation vom XY-Server 5 an den Authentisierungs-Server 7 übermittelt. In der Zwischenzeit wird ein „Soft Token" am Nutzer-Endgerät aktiviert und ruft in einem Schritt S3 den Nutzer.

Im Ansprechen hierauf liefert der Nutzer einige Sprachproben, um seine Identität mittels eines (als solchen bekannten) stimmbasierten Authentisierungsverfahrens zu verifizieren, und im Schritt S4 werden die Sprachproben an den Authentisierungs-Server 7 übertragen. In einem nachfolgenden Schritt S5 vergleicht der Authentisierungs-Server die aktuelle Probe des Stimmprofils mit einem gespeicherten

„Stimmabdruck", d. h . einem Stimmprofii des Nutzers, welches früher während eines Enrollment-Ablaufes erhalten worden war und in einer Datenbasis des Authen- tisierungs-Servers gespeichert wurde. Ist der zweite Authentisierungsschritt (der Stimmprofil-Vergieich) erfolgreich gewesen, wird in einem Schritt S6 eine entsprechende Information vom Authentisierungs-Server an den XY-Server übertragen. In einem letzten Schritt S7 wird im Ansprechen hierauf der angeforderte Zugriff zum Nutzerkonto über den XY-Server 5 gewährt.

Fig. 2 zeigt schematisch jene Funktionskomponenten eines Nutzer-Endgerätes in einer SIP-Client-Architektur, die in Bezug zur Implementierung einer Ausfuhrungsform der Erfindung stehen. Bei dieser Ausführungsform lauft im wesentlichen die gesamte stimmprofil-basierte Authentisierungsprozedur im Client ab, einschließlich der Stimm-Verifizierung. Wie in Fig. 2 gezeigt, weist das Nutzer-Endgerät 1 verschiedene Schnittstellen, d. h. eine Mikrofon-Schnittstelle 1.1 und eine Lautsprecher-Schnittstelle 1.2 einerseits sowie eine Netz-Ausgangsschnittstelle 1.3 und eine Netz-Eingangsschnittstelle 1.4 andererseits, auf. Zwischen die Schnittstellen

1.1/1.2 auf der einen Seite und die Schnittstellen 1.3/1.4 auf der anderen Seite sind Sprachqualitäts-Verarbeitungsmittet 1.5, Sprachqualitäts-Verbesserungsmittel 1.6 und Stimm-ID-Authentisierungsmittel 1.7 geschaltet, wobei der entsprechende innere Aufbau in der Figur dargestellt ist.

In Fig. 3 sind die Hauptkomponenten eines Authentisierungs-Servers in einer Architektur dargestellt, die der zentralen Implementierung der Stimm-Verifizierung auf dem zentralen Server dient. In einer solchen Ausführungsform dient der Client (der im Nutzer-Endgerät implementiert ist) nur dazu, den Ruf zu handhaben. Die in Fig. 3 gezeigte Architektur des Servers 7 umfasst eine Netz-Ausgangsschnittstelle 7.1 und eine Netz-Eingangsschnittstelle 7.3 sowie Verschlüsselungs-/Entschlüsse- lungsmittel 7.3, Sprachqualitäts-Verbesserungsmittel 7.4 und Stimm-ID-Authenti- sierungsmittel 7.5, wobei deren jeweiliger innerer Aufbau aus der Figur entnommen werden kann.