Title:
Validierung mobiler Einheiten
Document Type and Number:
Kind Code:
B4

Abstract:

Verfahren zum Validieren einer mobilen Einheit, wobei das Verfahren aufweist:
Empfangen einer Adresse der mobilen Einheit, einer Benutzerkennung und eines Kennwortes,
Empfangen von Sprachdaten von der mobilen Einheit, wobei die Sprachdaten eine Aufzeichnung einer Passphrase aufweisen, die von einem Benutzer an der mobilen Einheit gesprochen wurde;
Ermitteln unter Verwendung der Sprachdaten, ob die mobile Einheit eine gültige mobile Einheit ist; und
Senden eines Zugriffscodes an die mobile Einheit als Reaktion auf eine Feststellung, dass die mobile Einheit die gültige mobile Einheit ist, wobei das Ermitteln unter Verwendung der Sprachdaten, ob die mobile Einheit die gültige mobile Einheit ist, aufweist:
Ermitteln unter Verwendung der Adresse der mobilen Einheit, ob die Adresse für die die mobile Einheit innenhalb eines Adressbereichs liegt;
als Reaktion auf das Ermitteln unter Verwendung der Adresse der mobilen Einheit, dass die Adresse für die mobile Einheit innenhalb des Adressbereichs liegt, Ermitteln unter Verwendung der Sprachdaten, der Benutzerkennung und des Kennwortes, ob die mobile Einheit die gültige mobile Einheit ist.





Inventors:
Celi, Joseph jun., c/o IBM Corp. (Fla., Boca Raton, US)
Zurko, Mary Ellen, c/o IBM Corp. (Tex., Austin, US)
Gavagni, Brett, c/o IBM Corp. (Fla., Boca Raton, US)
Application Number:
DE112013002539T
Publication Date:
01/04/2018
Filing Date:
04/24/2013
Assignee:
International Business Machines Corporation (N.Y., Armonk, US)
International Classes:
H04L9/32; G10L17/24; G10L21/00; H04W12/08
Domestic Patent References:
DE102007014885A1N/A
Foreign References:
20030046083
20070055517
20110122827
Attorney, Agent or Firm:
Richardt Patentanwälte PartG mbB, 65185, Wiesbaden, DE
Claims:
1. Verfahren zum Validieren einer mobilen Einheit, wobei das Verfahren aufweist:
Empfangen einer Adresse der mobilen Einheit, einer Benutzerkennung und eines Kennwortes,
Empfangen von Sprachdaten von der mobilen Einheit, wobei die Sprachdaten eine Aufzeichnung einer Passphrase aufweisen, die von einem Benutzer an der mobilen Einheit gesprochen wurde;
Ermitteln unter Verwendung der Sprachdaten, ob die mobile Einheit eine gültige mobile Einheit ist; und
Senden eines Zugriffscodes an die mobile Einheit als Reaktion auf eine Feststellung, dass die mobile Einheit die gültige mobile Einheit ist, wobei das Ermitteln unter Verwendung der Sprachdaten, ob die mobile Einheit die gültige mobile Einheit ist, aufweist:
Ermitteln unter Verwendung der Adresse der mobilen Einheit, ob die Adresse für die die mobile Einheit innenhalb eines Adressbereichs liegt;
als Reaktion auf das Ermitteln unter Verwendung der Adresse der mobilen Einheit, dass die Adresse für die mobile Einheit innenhalb des Adressbereichs liegt, Ermitteln unter Verwendung der Sprachdaten, der Benutzerkennung und des Kennwortes, ob die mobile Einheit die gültige mobile Einheit ist.

2. Verfahren nach Anspruch 1, ferner aufweisend:
Auffordern des Benutzers, die Passphrase an der mobilen Einheit zu sprechen.

3. Verfahren nach Anspruch 1, wobei die Benutzerkennung, das Kennwort und die Sprachdaten im Wesentlichen gleichzeitig empfangen werden.

4. Verfahren nach Anspruch 1, ferner aufweisend:
Empfangen einer Einheitenkennung von der mobilen Einheit, wobei die Einheitenkennung die mobile Einheit eindeutig kennzeichnet; und wobei das Ermitteln unter Verwendung der Sprachdaten, ob die mobile Einheit die gültige mobile Einheit ist, aufweist:
Ermitteln unter Verwendung der Sprachdaten, der Benutzerkennung, des Kennwortes und der Einheitenkennung, ob die mobile Einheit die gültige mobile Einheit ist.

5. Verfahren nach Anspruch 4, wobei die Einheitenkennung ausgewählt ist aus einem Medienzugriffscode, einem Einheitenfingerabdruck und einer Prozessorkennung, wobei der Einheitenfingerabdruck Informationen über Software und Hardware auf der mobilen Einheit aufweist.

6. Verfahren nach einem der vorhergehenden Ansprüche, ferner aufweisend:
als Reaktion auf das Ablaufen eines Validierungszeitraums für die mobile Einheit das Auffordern des Benutzers, die mobile Einheit durch Sprechen der Passphrase erneut zu validieren.

7. Verfahren nach Anspruch 6, wobei der Validierungszeitraum durch einen Zeitstempel bezeichnet ist, der der mobilen Einheit zugewiesen wurde, als die mobile Einheit validiert wurde.

8. Computer, aufweisend:
einen Bus;
einen mit dem Bus verbundenen Prozessor;
ein mit dem Bus verbundenes computerlesbares Speichermedium;
eine Einheitendatenbank, eine Passphrasendatenbank, eine Datenbank validierter Einheiten, wobei die Einheitendatenbank eine Vielzahl von Einheitenkennungen aufweist, wobei die Passphrasendatenbank eine Vielzahl von Passphraseneinträgen aufweist, wobei jedem Passphraseneintrag eine Benutzerkennung, ein Kennwort, Sprachdaten und eine Liste von zugelassenen Diensten zugewiesen sind, wobei die Datenbank validierter Einheiten eine Vielzahl von validierten Einheiteneinträgen aufweist, wobei jedem Einheiteneintrag eine Benutzerkennung, ein Kennwort, eine Einheitenkennung und einen Zeitstempel zugwiesen sind; und
Programmcode zum Verwalten eines Dienstes, wobei der Programmcode auf einer computerlesbaren Speichereinheit gespeichert und so gestaltet ist, dass er durch die Prozessoreinheit ausgeführt wird, um Sprachdaten von einer mobilen Einheit zu empfangen, wobei die Sprachdaten eine Aufzeichnung einer Passphrase aufweisen, die durch den Benutzer an der mobilen Einheit gesprochen wurde; Ermitteln unter Verwendung der Sprachdaten, ob die mobile Einheit eine gültige mobile Einheit ist; und Senden eines Zugriffscodes an die mobile Einheit als Reaktion auf eine Feststellung, dass die mobile Einheit die gültige mobile Einheit ist.

9. Computer nach Anspruch 8, wobei der Programmcode ferner so gestaltet ist, dass er durch die Prozessoreinheit ausgeführt wird, um eine Benutzerkennung und ein Kennwort zu empfangen, und wobei dadurch, dass er so gestaltet ist, dass er durch die Prozessoreinheit ausgeführt wird, um unter Verwendung der Sprachdaten zu ermitteln, ob die mobile Einheit die gültige mobile Einheit ist, der Programmcode so gestaltet ist, dass er durch die Prozessoreinheit ausgeführt wird, um unter Verwendung der Sprachdaten, der Benutzerkennung und des Kennwortes zu ermitteln, ob die mobile Einheit die gültige mobile Einheit ist.

10. Computer nach Anspruch 9, wobei der Programmcode ferner so gestaltet ist, dass er durch die Prozessoreinheit ausgeführt wird, um von der mobilen Einheit eine Einheitenkennung zu empfangen, und wobei dadurch, dass er so gestaltet ist, dass er durch die Prozessoreinheit ausgeführt wird, um unter Verwendung der Sprachdaten zu ermitteln, ob die mobile Einheit die gültige mobile Einheit ist, der Programmcode so gestaltet ist, dass er durch die Prozessoreinheit ausgeführt wird, um unter Verwendung der Sprachdaten, der Benutzerkennung und des Kennwortes zu ermitteln, ob die mobile Einheit die gültige mobile Einheit ist, wobei die Einheitenkennung die mobile Einheit eindeutig kennzeichnet.

11. Computer nach Anspruch 10, wobei die Einheitenkennung ausgewählt ist aus einem Medienzugriffscode, einem Einheitenfingerabdruck und einer Prozessorkennung, wobei der Einheitenfingerabdruck Informationen über Software und Hardware auf der mobilen Einheit aufweist.

12. Computer nach Anspruch 8, wobei der Programmcode ferner so gestaltet ist, dass er durch die Prozessoreinheit ausgeführt wird, um den Benutzer aufzufordern, als Reaktion auf das Ablaufen des Validierungszeitraums für die mobile Einheit durch Sprechen der Passphrase die mobile Einheit erneut zu validieren.

13. Computerprogrammprodukt zum Verwalten einer mobilen Einheit, wobei das Computerprogrammprodukt aufweist:
ein computerlesbares nicht flüchtiges Speichermedium, das einen Programmcode aufweist, wobei der Programmcode aufweist:
ersten Programmcode zum Empfangen einer Adresse der mobilen Einheit, einer Benutzerkennung und eines Kennwortes;
zweiten Programmcode zum Empfangen von Sprachdaten von der mobilen Einheit, wobei die Sprachdaten eine Aufzeichnung einer Passphrase aufweisen, die von einem Benutzer an der mobilen Einheit gesprochen wurde;
dritten Programmcode zum Ermitteln unter Verwendung der Sprachdaten, ob die mobile Einheit eine gültige mobile Einheit ist; und
vierten Programmcode zum Senden einen Zugriffscode an die mobile Einheit als Reaktion auf eine Feststellung, dass die mobile Einheit die gültige mobile Einheit ist,, wobei der erste Programmcode, der zweite Programmcode, der dritte Programmcode und der vierte Programmcode auf dem computerlesbaren Speichermedium gespeichert sind,
wobei der dritte Programmcode zum Ermitteln unter Verwendung der Sprachdaten, ob die mobile Einheit eine gültige mobile Einheit ist, aufweist:
einen Programmcode zum Ermitteln, unter Verwendung der Adresse der mobilen Einheit, ob die Adresse für die mobile Einheit innenhalb eines Adressbereichs liegt; und
einen Programmcode zum Ermitteln als Reaktion auf das Ermitteln unter Verwendung der Adresse der mobilen Einheit, dass die Adresse für die mobile Einheit innenhalb des Adressbereichs liegt, unter Verwendung der Sprachdaten, der Benutzerkennung und des Kennwortes aufweist, ob die mobile Einheit die gültige mobile Einheit ist.

14. Computerprogrammprodukt nach Anspruch 13, ferner aufweisend:
fünften Programmcode zum Empfangen einer Einheitenkennung von der mobilen Einheit, wobei der fünfte Programmcode auf dem computerlesbaren Speichermedium gespeichert ist, wobei die Einheitenkennung die mobile Einheit eindeutig kennzeichnet; und
wobei der dritte Programmcode zum Ermitteln unter Verwendung der Sprachdaten, ob die mobile Einheit eine gültige mobile Einheit ist, einen Programmcode zum Ermitteln unter Verwendung der Sprachdaten, der Benutzerkennung, des Kennwortes und der Einheitenkennung aufweist, ob die mobile Einheit die gültige mobile Einheit ist, aufweist.

15. Computerprogrammprodukt nach Anspruch 14, wobei die Einheitenkennung ausgewählt ist aus einem Medienzugriffscode, einem Einheitenfingerabdruck und einer Prozessorkennung, wobei der Einheitenfingerabdruck Informationen über Software und Hardware auf der mobilen Einheit aufweist.

16. Computerprogrammprodukt nach Anspruch 13, ferner aufweisend:
einen fünften Programmcode zum Auffordern des Benutzers als Reaktion auf das Ablaufen eines Validierungszeitraums, die mobile Einheit durch Sprechen der Passphrase erneut zu validieren, wobei der fünfte Programmcode auf dem computerlesbaren Speichermedium gespeichert ist.

17. Computerprogrammprodukt nach Anspruch 13, wobei sich das computerlesbare Speichermedium in einem Datenverarbeitungssystem befindet und der Programmcode von einem entfernt angeordneten Datenverarbeitungssystem über ein Netzwerk auf das computerlesbare Speichermedium in dem Datenverarbeitungssystem heruntergeladen wird.

18. Computerprogrammprodukt nach Anspruch 17, wobei das computerlesbare Speichermedium ein erstes computerlesbares Speichermedium ist, wobei sich das erste computerlesbare Speichermedium in einem Server-Datenverarbeitungssystem befindet, und wobei der Programmcode über das Netzwerk auf das entfernt angeordnete Datenverarbeitungssystem zur Verwendung auf einem zweiten computerlesbaren Speichermedium in dem entfernt angeordneten Datenverarbeitungssystem heruntergeladen wird.

19. Verfahren zum Validieren einer mobilen Einheit nach einem der Ansprüche 1–7, wobei eine erste Gruppe von Diensten nutzbar für die mobile Einheit ist, wenn es unter Verwendung der Adresse der mobilen Einheit ermittelt, dass die Adresse für die mobile Einheit innenhalb des Adressbereichs liegt, und wobei eine zweite Gruppe von Diensten nutzbar für die mobile Einheit ist, wenn es unter Verwendung der Sprachdaten, der Benutzerkennung und des Kennwortes ermittelt, dass die mobile Einheit die gültige mobile Einheit ist, wobei die erste und die zweite Gruppe unterschiedlich sind.

Description:
TECHNISCHES GEBIET

Die vorliegende Erfindung betrifft allgemein ein verbessertes Datenverarbeitungssystem und insbesondere das Zugreifen auf ein Netzwerk-Datenverarbeitungssystem durch eine mobile Einheit.

HINTERGRUND

Es bestehen viele unterschiedliche Mechanismen zum Verwalten des Zugriffs auf Netzwerk-Datenverarbeitungssysteme. Insbesondere kann ein Zugriff auf verschiedene Dienste auf einem Netzwerk-Datenverarbeitungssystem realisiert sein.

Viele Dienste verlangen eine Benutzerkennung und ein Kennwort, um einen Benutzer zu erkennen. Die Authentifizierung gewährleistet, dass der Benutzer derjenige ist, von dem der Benutzer sagt, dass er der Benutzer sei. Auf der Grundlage der Authentifizierung kann einem Benutzer Zugriff auf ein Netzwerk-Datenverarbeitungssystem und außerdem Zugriff auf verschiedene Dienste auf dem Netzwerk-Datenverarbeitungssystem gewährt werden. Zum Beispiel kann ein Benutzer auf eMails, eine Datenbank, eine Tabellenkalkulation, einen Kalender und andere Dienste zugreifen. Unterschiedliche Benutzer können auf der Grundlage der Identität des Benutzers Zugriff auf unterschiedliche Dienste oder unterschiedliche Zugriffsebenen für bestimmte Dienste haben.

In einigen Fällen kann, wenn die Authentifizierung stattfindet, zusätzliche Sicherheit bereitgestellt sein, um zu gewährleisten, dass ein Benutzer derjenige ist, von dem der Benutzer sagt, dass er der Benutzer sei. Beispielsweise kann bei einigen Netzwerk-Datenverarbeitungssystemen ein Administrator eine Liste von Internetprotokoll-Adressbereichen aufstellen, von denen aus Authentifizierungen zulässig sind. Diese Listen können auch als „Positivlisten” bezeichnet sein. Ein Benutzer, der sich von einer Internetprotokolladresse zu authentifizieren versucht, die sich nicht in diesem Adressbereich befindet, wird vom Zugriff ausgeschlossen, selbst wenn dieser Benutzer authentifiziert ist.

Auf diese Weise kann Sicherheit bei einer Instanz vorhanden sein, bei der ein nichtberechtigter Benutzer eine Benutzerkennung und ein Kennwort für einen gültigen Benutzer erhalten hat. Diese Arten von Merkmalen können zusätzliche Sicherheitsebenen dadurch hinzufügen, dass sich das Datenverarbeitungssystem in einer kontrollierten Umgebung wie beispielsweise in einem Unternehmens-Internet befinden muss. Der Internetprotokoll-Adressbereich ist für das Internet bekannt. Auf diese Weise kann eine weitere Hürde bereitgestellt werden, bevor ein Zugriff auf das Netzwerk-Datenverarbeitungssystem zugelassen wird.

Infolgedessen kann die Nutzung einiger Netzwerk-Datenverarbeitungssysteme wie zum Beispiel mobiler Einheiten bei dieser Art von Sicherheit schwierig oder unmöglich sein. Die Internetprotokolladresse für eine mobile Einheit ist oft nicht einheitlich und ändert sich häufiger als die Datenverarbeitungssysteme, die sich auf einem Netzwerk-Datenverarbeitungssystem einer Organisation befinden.

Die DE 10 2007 014 885 A1 betrifft ein Verfahren zur Steuerung eines Nutzerzugriffs auf einen in einem Datennetz bereitgestellten Dienst, um in einer Datenbasis des Dienstes gespeicherte Nutzerdaten gegen unberechtigten Zugriff zu schützen, wobei das Verfahren aufweist: (a) Eingeben einer Sprachprobe des Nutzers in einer VoIP-Session an einem Nutzer-Datenendgerät, welches mindestens zeitweilig mit dem Datennetz verbunden ist, (b) Verarbeiten der Sprachprobe des Nutzers in einem ersten Verarbeitungsschritt, unter Nutzung eines dedizierten Client, der im Nutzer-Datenendgerät implementiert ist, um eine vorverarbeitete Sprachprobe oder ein aktuelles Stimmprofil des Nutzers zu erhalten, (c) weiteres Verarbeiten der vorverarbeiteten Sprachprobe oder des aktuellen Stimmprofils in einem zweiten Verarbeitungsschritt, einschließend einen Vergleichsschritt des aktuellen Stimmprofils mit einem in einer Datenbasis gespeicherten initialen Stimmprofil, und (d) Ausgeben eines Zugriffssteuersignals zur Gewährung oder Verweigerung eines Zugriffs auf den Dienst unter Berücksichtigung des Ergebnisses des Vergleichsschrittes, wobei ergänzend zu den Schritten (a) bis (d), die eine erste Authentisierungsprozedur bilden, zur Realisierung einer Zwei-Faktoren-Authentisierung eine zweite Authentisierungsprozedur ausgeführt wird, wobei die zweite Authentisierungsprozedur auf einem Passwort oder einer Nutzer-ID beruht, wobei ein durch den Nutzer ausgesprochenes Passwort oder eine Nutzer-ID mittels Spracherkennung vorverarbeitet wird und das Zugriffssteuersignal im Ansprechen auf entsprechende Ausgangssignale der ersten und zweiten Authentisierungsprozedur erzeugt wird und wobei sowohl die erste als auch die zweite Authentisierungsprozedur am Nutzer-Datenendgerät ausgeführt werden und das Zugriffssteuersignal über das Datennetz zu einem Authentisierungs-Server des Dienstes übertragen wird.

Die DE 10 2007 014 885 A1 betrifft ferner eine Anordnung zur Steuerung eines Nutzerzugriffs auf einen in einem Datennetz bereitgestellten Dienst, um in einer Datenbasis des Dienstes gespeicherte Nutzerdaten gegen unberechtigten Zugriff zu schützen, wobei die Anordnung ein Nutzer-Datenendgerät und mindestens eine zeitweilige Verbindung des Endgerätes mit einem Server des Dienstes über ein Datennetz aufweist, wobei das Nutzer-Datenendgerät aufweist: Spracheingabemittel zum Eingeben einer Sprachprobe des Nutzers, erste Verarbeitungsmittel, die mit einem Ausgang der Spracheingabemittel verbunden sind und einen dedizierten Client aufweisen, und zweite Verarbeitungsmittel, die mit einem Ausgang der ersten Verarbeitungsmittel verbunden sind und Vergleichermittel zum Vergleichen eines aktuellen Stimmprofils, welches aus der Sprachprobe des Nutzers errechnet wurde, mit einem initialen Stimmprofil, welches in einer Stimmprofil-Speichereinrichtung gespeichert ist, aufweisen, und Zugriffssteuersignal-Erzeugungsmittel, die mit einem Ausgang der zweiten Verarbeitungsmittel verbunden sind, zur Ausgabe eines Zugriffssteuersignals, und wobei die Anordnung zusätzliche Authentisierungsmittel aufweist, die ein Ausgangssignal liefern, welches in die Zugriffssteuersignal-Erzeugungsmittel eingegeben wird, um zusammen mit dem Ausgangssignal der Vergleichermittel verarbeitet zu werden, und wobei die zusätzlichen Authentisierungsmittel im Nutzer-Datenendgerät implementiert sind, wobei die zusätzlichen Authentisierungsmittel Spracherkennungsmittel zur Erkennung eines Passworts oder einer Nutzer-ID aufgrund einer Spracheingabe durch den Nutzer aufweisen.

Die US 2011/0 122 827 A1 betrifft ein Verfahren zum Initiieren eines Anrufs an einen Angerufenen unter Verwendung eines Mobiltelefons. Das Verfahren weist auf: Empfangen einer mit dem Angerufenen verbundenen Angerufenenkennung von einem Benutzer des Mobiltelefons; Übertragen einer Zugriffscodeanforderungsnachricht an einen Zugriffsserver, wobei die Zugriffscodeanforderungsnachricht die Angerufenenkennung enthält; Empfangen einer Zugriffscode-Antwortnachricht von dem Zugriffsserver als Antwort auf die Zugriffscodeanforderungsnachricht, wobei die Zugriffscode-Antwortnachricht einen Zugangscode enthält, der sich von der Angerufenenkennung unterscheidet und der Angerufenenkennung zugeordnet ist; und Initiieren eines Anrufs des Mobiltelefons unter Verwendung des Zugangscodes, um den Angerufenen zu identifizieren.

Die US 2011/0 122 827 A1 betrifft ferner ein Mobiltelefon. Das Mobiltelefon wiest auf: ein Mittel zum Empfangen einer mit dem Angerufenen verbundenen Angerufenenkennung von einem Benutzer des Mobiltelefons; ein Mittel zum Übertragen einer Zugriffscodeanforderungsnachricht an einen Zugriffsserver, wobei die Zugriffscodeanforderungsnachricht die Angerufenenkennung enthält; ein Mittel zum Empfangen einer Zugriffscode-Antwortnachricht von dem Zugriffsserver als Antwort auf die Zugriffscodeanforderungsnachricht, wobei die Zugriffscode-Antwortnachricht einen Zugangscode enthält, der sich von der Angerufenenkennung unterscheidet und der Angerufenenkennung zugeordnet ist; und ein Mittel zum Initiieren eines Anrufs des Mobiltelefons unter Verwendung des Zugangscodes, um den Angerufenen zu identifizieren.

Die US 2007/0 055 517 A1 betrifft ein Verfahren zum Authentifizieren eines anfordernden Benutzers als anerkannter Benutzer und ein System zum Durchführen des Verfahrens, wobei das Verfahren umfasst: Empfangen einer Anforderung zum Authentifizieren des anfordernden Benutzers als ein erkannter Benutzer; Erzeugen einer Einweg-Passphrase als Antwort auf die Anforderung; Senden der Einweg-Passphrase an den anfordernden Benutzer; Empfangen eines Audiosignals als Antwort auf die Einweg-Passphrase; Bestimmen, ob das Audiosignal eine Stimme des erkannten Benutzers repräsentiert, durch Vergleichen des Audiosignals mit einem Steuer-Audiosignal, das die Einweg-Pass-Phrase darstellt, die von dem erkannten Benutzer gesprochen wird; und Authentifizieren des anfordernden Benutzers als ein erkannter Benutzer bei einer Bedingung, in der bestimmt, dass das Audiosignal eine Stimme des erkannten Benutzers repräsentiert.

Die US 2003/0 046 083 A1 betrifft eine Spracherkennungstechnologie für Fernzugriffs-, Verifizierungs- und Identifikationsanwendungen. Die Spracherkennung wird verwendet, um die Sicherheitsstufe vieler Arten von Transaktionssystemen zu erhöhen, die zuvor ernsthafte Sicherheitsnachteile hatten. Die US 2003/0 046 083 A1 betrifft ferner ein allgemeines Spracherkennungssystem mit Kommunikation. Weiterhin sind verschiedene Arten von Spracherkennungsmethoden für die in der US 2003/0 046 083 A1 offenbarte Erfindung nützlich, wie z. B. ”einfache” Sicherheitsverfahren und Sicherheitssysteme, mehrstufige Sicherheitsverfahren und Sicherheitssysteme, mehrstufige Sicherheitsberechtigungsverfahren und Sicherheitsberechtigungssysteme, und zufällig aufgeforderte Sprach-Token-Verfahren und -Systeme.

KURZDARSTELLUNG

Die veranschaulichenden Ausführungsformen stellen ein Verfahren, eine Vorrichtung und ein Computerprogrammprodukt zum Validieren einer mobilen Einheit bereit. Von der mobilen Einheit werden Sprachdaten empfangen. Die Sprachdaten weisen eine Aufzeichnung einer Passphrase auf, die von einem Benutzer an der mobilen Einheit gesprochen wurde. Unter Verwendung der Sprachdaten wird eine Ermittlung darüber vorgenommen, ob es sich bei der mobilen Einheit um eine gültige mobile Einheit handelt. Ein Zugriffscode wird an die mobile Einheit als Reaktion auf eine Feststellung gesendet, dass es sich bei der mobilen Einheit um die gültige mobile Einheit handelt.

KURZBESCHREIBUNG DER ZEICHNUNGEN

Im Folgenden werden lediglich als Beispiel eine bevorzugte Ausführungsform bzw. Ausführungsformen der Erfindung unter Bezugnahme auf die beigefügten Zeichnungen beschrieben, wobei:

1 eine Veranschaulichung einer Einheitenvalidierungsumgebung gemäß einer veranschaulichenden Ausführungsform ist;

2 eine Veranschaulichung eines Datenverarbeitungssystems gemäß einer veranschaulichenden Ausführungsform ist;

3 eine Veranschaulichung eines Eintrags in einer Passphrasendatenbank gemäß einer veranschaulichenden Ausführungsform ist;

4 eine Veranschaulichung eines Eintrags in einer Datenbank validierter Einheiten gemäß einer veranschaulichenden Ausführungsform ist;

5 ein Flussdiagramm eines Prozesses zum Validieren einer Einheit gemäß einer veranschaulichenden Ausführungsform ist;

6 ein Flussdiagramm eines Prozesses zum Validieren einer Einheit gemäß einer veranschaulichenden Ausführungsform ist; und

7 ein Flussdiagramm eines Prozesses zum Validieren einer Einheit gemäß einer veranschaulichenden Ausführungsform ist.

AUSFÜHRLICHE BESCHREIBUNG

Wie dem Fachmann klar sein wird, können Aspekte der vorliegenden Erfindung in Form eines Systems, Verfahrens oder Computerprogrammprodukts verkörpert sein. Dementsprechend können Aspekte der vorliegenden Erfindung die Form einer vollständig in Hardware realisierten Ausführungsform, einer vollständig in Software realisierten Ausführungsform (einschließlich Firmware, residenter Software, Mikrocode usw.) oder einer Ausführungsform annehmen, die Software- und Hardwareaspekte kombiniert, die hierin allgemein als „Schaltung”, „Modul” oder „System bezeichnet werden. Des Weiteren können Aspekte der vorliegenden Erfindung die Form eines Computerprogrammprodukts annehmen, das in einem oder mehreren computerlesbaren Medien verkörpert ist, auf denen computerlesbarer Programmcode verkörpert ist.

Es können beliebige Kombinationen eines oder mehrerer computerlesbarer Medien verwendet werden. Das computerlesbare Medium kann ein computerlesbares Signalmedium oder ein computerlesbares Speichermedium sein. Zu computerlesbaren Speichermedien können beispielsweise, ohne darauf beschränkt zu sein, ein elektronisches, magnetisches, optisches oder elektromagnetisches System bzw. ein Infrarot- oder Halbleitersystem bzw. eine derartige Vorrichtung oder Einheit oder eine beliebige geeignete Kombination des Vorstehenden gehören. Zu den genaueren Beispielen (unvollständige Liste) computerlesbarer Speichermedien zählen unter anderem folgende: eine elektrische Verbindung mit einer oder mehreren Leitungen, eine tragbare Computerdiskette, eine Festplatte, ein Direktzugriffsspeicher (RAM), ein Nur-Lese-Speicher (ROM), ein löschbarer programmierbarer Nur-Lese-Speicher (EPROM oder Flash-Speicher), ein Lichtwellenleiter, ein tragbarer Nur-Lese-Speicher in Form einer Compact Disc (CD-ROM), eine optische Speichereinheit, eine magnetische Speichereinheit oder eine beliebige geeignete Kombination des Vorstehenden. Im Kontext des vorliegenden Dokuments kann ein computerlesbares Speichermedium jedes beliebige vergegenständlichte Medium sein, das ein Programm enthalten oder speichern kann, das von oder in Verbindung mit einem System, einer Vorrichtung oder einer Einheit zur Anweisungsverarbeitung genutzt werden kann.

Ein computerlesbares Signalmedium kann unter anderem ein im Basisband oder als Teil einer Trägerwelle übertragenes Datensignal mit darin verkörpertem computerlesbaren Programmcode aufweisen. Ein derartiges übertragenes Signal kann eine beliebige Vielfalt von Formen annehmen, einschließlich, ohne darauf beschränkt zu sein, einer elektromagnetischen oder optischen Form oder einer beliebigen geeigneten Kombination davon. Ein computerlesbares Signalmedium kann ein beliebiges computerlesbares Medium sein, bei dem es sich nicht um ein computerlesbares Speichermedium handelt und das ein Programm übertragen, senden oder transportieren kann, das von oder in Verbindung mit einem System, einer Vorrichtung oder einer Einheit zur Anweisungsverarbeitung genutzt werden kann.

Auf einem computerlesbaren Medium verkörperter Programmcode kann unter Verwendung eines beliebigen geeigneten Mediums, einschließlich und ohne darauf beschränkt zu sein, drahtloser, drahtgebundener Medien, Lichtwellenleitern, HF usw., oder unter Verwendung einer beliebigen geeigneten Kombination des Vorstehenden übertragen werden.

Computerprogrammcode zum Ausführen von Operationen bei Aspekten der vorliegenden Erfindung kann in einer beliebigen Kombination aus einer oder mehreren Programmiersprachen, darunter in einer objektorientierten Programmiersprache wie Java, Smalltalk, C++ oder dergleichen und in herkömmlichen prozeduralen Programmiersprachen wie „C” oder ähnlichen Programmiersprachen geschrieben sein. Der Programmcode kann vollständig auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Softwarepaket, teilweise auf dem Computer des Benutzers und teilweise auf einem entfernt angeordneten Computer oder vollständig auf dem entfernt angeordneten Computer oder Server ausgeführt werden. Beim letztgenannten Szenario kann der entfernt angeordnete Computer mit dem Computer des Benutzers über eine beliebige Art von Netzwerk verbunden sein, unter anderem über ein lokales Netzwerk (LAN) oder über ein Weitverkehrsnetzwerk (WAN), oder die Verbindung kann zu einem externen Computer hergestellt werden (beispielsweise über das Internet unter Nutzung eines Internet-Dienstanbieters (Internet Service Provider)).

Nachstehend werden Aspekte der vorliegenden Erfindung unter Bezugnahme auf Flussdiagramme und/oder Blockschemata von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten gemäß Ausführungsformen der Erfindung beschrieben. Es wird klar sein, dass jeder Block der Flussdiagramme und/oder der Blockschemata und Kombinationen von Blöcken in den Flussdiagrammen und/oder Blockschemata durch Computerprogrammanweisungen realisiert werden kann bzw. können. Diese Computerprogrammanweisungen können einem Prozessor eines Mehrzweckcomputers, eines Spezialcomputers oder anderen programmierbaren Datenverarbeitungsvorrichtungen bereitgestellt werden, um eine Maschine zu erzeugen, sodass die Anweisungen, die über den Prozessor des Computers oder andere programmierbare Datenverarbeitungsvorrichtungen ausgeführt werden, Mittel zum Realisieren der in einem Block bzw. in den Blöcken der Flussdiagramme und/oder der Blockschemata angegebenen Funktionen/Aktionen schaffen.

Diese Computerprogrammanweisungen können ebenfalls in einem computerlesbaren Medium gespeichert sein, das einen Computer, andere programmierbare Datenverarbeitungsvorrichtungen oder andere Einheiten anweisen kann, in einer bestimmten Weise zu funktionieren, sodass die im computerlesbaren Medium gespeicherten Anweisungen ein Erzeugnis schaffen, das die Anweisungen aufweist, die die in einem Block bzw. in den Blöcken der Flussdiagramme und/oder der Blockschemata angegebene Funktion/Aktion realisieren.

Die Computerprogrammanweisungen können auch in einen Computer, in andere programmierbare Datenverarbeitungsvorrichtungen oder in andere Einheiten geladen werden, um zu bewirken, dass auf dem Computer, auf anderen programmierbaren Vorrichtungen oder anderen Einheiten eine Reihe von Arbeitsschritten ausgeführt wird, um einen mittels Computer realisierten Prozess zu schaffen, sodass die Anweisungen, die auf dem Computer oder auf anderen programmierbaren Vorrichtungen ausgeführt werden, Prozesse zur Realisierung der in einem Block bzw. in den Blöcken der Flussdiagramme und/oder der Blockschemata angegebenen Funktionen/Aktionen bereitstellen.

Die unterschiedlichen veranschaulichenden Ausführungsformen erkennen an und berücksichtigen, dass es wünschenswert wäre, mobilen Einheiten eine Fähigkeit bereitzustellen, in Netzwerk-Datenverarbeitungssystemen zu arbeiten, die Adressbereichseinschränkungen aufweisen. Die unterschiedlichen veranschaulichenden Ausführungsformen erkennen an und berücksichtigen, dass die Internetprotokolladresse einer mobilen Einheit zur Verwendung bei Systemen unbrauchbar ist, die den Zugriff auf der Grundlage von Bereichen von Internetprotokolladressen beschränken.

Daher stellen unterschiedliche veranschaulichende Ausführungsformen einen anderen Mechanismus zum Erkennen einer Einheit und Ermitteln bereit, ob es sich bei der Einheit um eine vertrauenswürdige Einheit handelt, der der Zugriff erlaubt werden sollte. Bei einer veranschaulichenden Ausführungsform liegen ein Verfahren und eine Vorrichtung zum Validieren einer mobilen Einheit vor. Der Prozess empfängt Sprachdaten von einer mobilen Einheit. Die Sprachdaten weisen eine Aufzeichnung einer Phrase auf, die von einem Benutzer an der mobilen Einheit gesprochen wurde. Unter Verwendung der Sprachdaten wird eine Ermittlung darüber vorgenommen, ob es sich bei der mobilen Einheit um eine gültige mobile Einheit handelt. Ein Zugriffscode wird an die mobile Einheit als Reaktion auf eine Feststellung gesendet, dass es sich bei der mobilen Einheit um die gültige mobile Einheit handelt.

Unter Bezugnahme auf die Figuren und insbesondere unter Bezugnahme auf 1 ist eine Veranschaulichung einer Einheitenvalidierungsumgebung gemäß einer veranschaulichenden Ausführungsform abgebildet. Bei diesem veranschaulichenden Beispiel weist eine Einheitenvalidierungsumgebung 100 ein Netzwerk-Datenverarbeitungssystem 102 auf. Das Netzwerk-Datenverarbeitungssystem 102 ist ein Netzwerk aus Computern, in denen veranschaulichende Ausführungsformen realisiert sein können. Das Netzwerk-Datenverarbeitungssystem 102 kann als ein oder mehrere Netzwerke realisiert sein. Diese Netzwerke können auch unterschiedliche Arten von Netzwerken sein. Beispielsweise kann das Netzwerk-Datenverarbeitungssystem 102 ein Intranet, ein lokales Netzwerk, ein Weitverkehrsnetzwerk, das Internet oder eine andere geeignete Art von Netzwerk aufweisen.

Das Netzwerk-Datenverarbeitungssystem 102 enthält ein Netzwerk 104. Das Netzwerk 104 ist ein Medium, das die Datenübertragungsverbindungen zwischen verschiedenen Einheiten und Computern bereitstellt, die innerhalb der Netzwerk-Datenverarbeitungsumgebung 102 miteinander verbunden sind. Das Netzwerk 104 kann Verbindungen wie z. B. drahtgebundene oder drahtlose Datenübertragungsverbindungen, Lichtwellenleiter und/oder andere geeignete Arten von Medien aufweisen.

Bei dem beschriebenen Beispiel sind Server-Computer 106 und Client-Datenverarbeitungssysteme 108 mit dem Netzwerk 104 verbunden. Die Server-Computer 106 und die Client-Datenverarbeitungssysteme 108 sind Hardwareeinheiten, die auch Software aufweisen können.

Die Server-Computer 106 stellen einen Zugriff auf Dienste 110 bereit. Zu den Diensten 110 können zum Beispiel, ohne darauf beschränkt zu sein, eMails, Textverarbeitung, eine Tabellenkalkulation, eine Datenbank, ein Debitorenprogramm, eine Bildbearbeitung und/oder andere geeignete Arten von Diensten gehören. Die Dienste 110 können den Zugriff auf Informationen 112 bereitstellen. Zu den Informationen 112 können Programmcode, Anwendungen, Dateien und oder andere geeignete Arten von Informationen gehören.

Die Client-Datenverarbeitungssysteme 108 können verschiedene Arten von Datenverarbeitungssystemen aufweisen. Zum Beispiel können die Client-Datenverarbeitungssysteme 108, ohne darauf beschränkt zu sein, Computer 114 und mobile Einheiten 116 aufweisen. Die Computer 114 können Desktop-Computer oder andere Computer sein, die normalerweise nicht bewegt werden. Zu den mobilen Einheiten 116 können Notebook-Computer, Mobiltelefone, Tablets und/oder andere geeignete Arten von mobilen Einheiten gehören.

Bei diesen veranschaulichenden Beispielen ist ein Validierungsprozess 118 in einem Sicherheits-Server-Computer 119 in den Server-Computern 106 realisiert, um die Client-Datenverarbeitungssysteme 108 zu validieren, wenn die Client-Datenverarbeitungssysteme 108 versuchen, eine Verbindung mit dem Netzwerk-Datenverarbeitungssystem 102 herzustellen und darauf zuzugreifen. Insbesondere kann der Validierungsprozess 118 durchgeführt werden, wenn ein Client-Datenverarbeitungssystem versucht, eine Verbindung mit dem Netzwerk-Datenverarbeitungssystem 102 herzustellen, um auf die Dienste 110, Informationen 112 oder Kombinationen davon zuzugreifen. Bei diesen veranschaulichenden Beispielen kann sich der Validierungsprozess 118 auf einem oder mehreren Server-Computern 106 befinden. Bei diesen veranschaulichenden Beispielen kann der Validierungsprozess 118 auf einem Adressbereich 120 beruhen. Der Adressbereich 120 kann für Computer an einem bestimmten Ort bzw. an bestimmten Orten, für Computer innerhalb eines Internets oder für eine andere geeignete Auswahl ausgewählt werden. Bei diesen veranschaulichenden Beispielen kann die Verwendung des Adressbereiches 120 für die Computer 114 geeignet, aber in Verbindung mit den mobilen Einheiten 116 schwierig sein.

Der Validierungsprozess 118 kann auch einen Passphrasenprozess 122 aufweisen. Der Passphrasenprozess 122 kann eine zusätzliche Validierung in Ergänzung zur oder anstelle der Verwendung des Adressbereiches 120 bereitstellen. Der Passphrasenprozess 122 kann zum Validieren der mobilen Einheiten 116 nützlich sein, kann aber auch bei den Computern 114 oder anderen Einheiten innerhalb von Client-Datenverarbeitungssystemen 108 verwendet werden.

Bei diesem veranschaulichenden Beispiel kann sich ein Benutzer 124 einer mobilen Einheit 126 in den mobilen Einheiten 116 mit dem Passphrasenprozess 122 registrieren. Diese Registrierung kann Zugriff auf einen oder mehrere der Dienste 110 erhalten. Der Benutzer 124 kann die mobile Einheit 126 anmelden. Zu dieser Anmeldung kann das Aufzeichnen einer Passphrase 128 bei der mobilen Einheit 126 gehören, um Sprachdaten 130 zu bilden. Die Sprachdaten 130 können anschließend in einer Passphrasendatenbank 132 gespeichert werden.

Danach kann der Benutzer 124 eine Benutzerkennung 134 und ein Kennwort 136 übergeben, um den Benutzer 124 zu authentifizieren, wenn der Benutzer 124 versucht, über die mobile Einheit 126 auf einen Dienst in den Diensten 110 im Netzwerk-Datenverarbeitungssystem 102 zuzugreifen. Dieser Prozess kann unter Verwendung eines Agenten 125 auf der mobilen Einheit 126 stattfinden. Der Agent 125 kann zum Beispiel ein Browser, ein Betriebssystem, eine Anwendung oder eine andere geeignete Form von Programmcode sein.

Bei diesen veranschaulichenden Beispielen wird als Teil des Authentifizierungsprozesses auch eine Adresse 138 der mobilen Einheit 126 empfangen. Wenn die Adresse 138 der mobilen Einheit 126 nicht innerhalb des Adressbereiches 120 liegt, weist der Passphrasenprozess 122 darauf hin, dass die Validierung nicht stattgefunden hat.

Infolgedessen kann der Passphrasenprozess 122 den Benutzer 124 auffordern, die Passphrase 128 in die mobile Einheit 126 zu sprechen. Diese Aufforderung kann dadurch geschehen, dass der Passphasenprozess 122 eine Anforderung an den Agenten 125 sendet. Diese Aufforderung kann eine Anforderung von Sprachdaten und/oder ein Hinweis darauf sein, dass die mobile Einheit 126 im Verlauf des Prozesses unter Verwendung des Adressbereiches 120 nicht validiert wurde.

Bei diesem veranschaulichenden Beispiel zeichnet der Agent 125 in der mobilen Einheit 126 die durch den Benutzer 124 gesprochene Passphrase 128 auf, um Sprachdaten 140 zu bilden. Die Sprachdaten 140 werden anschließend durch den Agenten 145 an den Passphraseprozess 122 im Validierungsprozess 118 gesendet, der auf dem Sicherheits-Server-Computer 119 ausgeführt wird.

Der Passphasenprozess 122 ermittelt, ob die mobile Einheit 126 auf der Grundlage der Sprachdaten 140 zu validieren ist. Die Sprachdaten 140 werden mit den Sprachdaten 130 in der Passphrasendatenbank 132 verglichen. Insbesondere können die Sprachdaten 140 mit den Sprachdaten 130 in der Passphrasendatenbank 132 verglichen werden, die zuvor durch den Benutzer 124 an der mobilen Einheit 126 während der Registrierung aufgezeichnet wurden.

Wenn die mobile Einheit 126 validiert ist, kann eine Kennung der mobilen Einheit 126 in einer Datenbank 141 validierter Einheiten gespeichert werden. Zusätzlich kann ein Passcode 142 der mobilen Einheit 126 und/oder dem Benutzer 124 zugewiesen werden. Der Passcode 142 kann auch in der Datenbank 141 validierter Einheiten im Zusammenhang mit der mobilen Einheit 126 gespeichert werden. Der Passcode 142 wird an die mobile Einheit 126 zurückgegeben. Der Passcode 142 kann durch den Benutzer 124 angezeigt oder zur Verwendung beim Zugreifen auf das Netzwerk-Datenverarbeitungssystem 102 gespeichert werden. Insbesondere kann der Passcode 142 verwendet werden, um auf einen oder mehrere Dienste 110, Informationen 112 oder eine Kombination aus beidem zuzugreifen. Der Passcode 142 kann ohne Kenntnis des Benutzers 124 durch die mobile Einheit gespeichert und verwendet werden, oder der Benutzer 124 kann Zugriff auf den Passcode 142 haben. Wenn der Benutzer 124 Zugriff auf den Passcode 142 hat, kann der Benutzer 124 den Passcode 142 beim Zugreifen auf die Dienste 110, Informationen 112 oder andere geeignete Ressourcen eingeben.

Bei diesen veranschaulichenden Beispielen können weitere Kontrollen über die Verwendung der mobilen Einheiten 116 vorgenommen werden, indem nur bestimmten mobilen Einheiten in den mobilen Einheiten 116 erlaubt wird, auf das Netzwerk-Datenverarbeitungssystem 102 zuzugreifen. Zum Beispiel können Einschränkungen auf der Grundlage dessen vorgenommen werden, ob die mobile Einheit eine unternehmenseigene mobile Einheit ist, auf der Grundlage der Art der mobilen Einheit oder anderer geeigneter Randbedingungen. Bei diesen veranschaulichenden Beispielen kann diese zusätzliche Sicherheit oder Einschränkung durchgeführt werden, indem zusammen mit den Sprachdaten 130 auch eine Einheitenkennung 144 empfangen wird.

Die von der mobilen Einheit 126 empfangene Einheitenkennung 144 kann mit Einheitenkennungen 145 in einer Einheitendatenbank 146 verglichen werden. Dieser Vergleich wird vorgenommen, um zu ermitteln, ob eine Übereinstimmung zwischen der Einheitenkennung 144 mit einer Einheitenkennung innerhalb der Einheitenkennungen 145 in der Einheitendatenbank 146 vorliegt. Die Einheitenkennungen 145 sind Kennungen für Einheiten, die validiert werden können. Diese Validierung kann für die Dienste 110 vorgenommen werden. Ferner können die Einheitenkennungen 145 je nach der betreffenden Realisierungsform mit bestimmten Diensten in den Diensten 110 im Zusammenhang stehen.

Die Einheitenkennung 144 kann beispielsweise, ohne darauf beschränkt zu sein, eine International Mobile Equipment Identity (IMEI), eine Medienzugriffscode-Adresse (MAC-Adresse), eine Prozessorkennung, eine Modell- und Seriennummer, ein Einheitenfingerabdruck (device fingerprint) oder eine andere geeignete Art von Einheitenkennung sein. Eine IMEI-Nummer wird der Einheit durch den Einheitenhersteller zugewiesen und in den Nur-Lese-Speicher (ROM) der mobilen Einheit eingebrannt. Eine MAC-Adresse ist eine eindeutige Kennung, die Netzwerkschnittstellen zugewiesen ist. Eine Prozessorkennung ist eine eindeutige Kennung, die einer Prozessoreinheit zugewiesen ist. Bei der Modell- und Seriennummer kann es sich um Informationen zur Kennzeichnung der betroffenen Einheit handeln. Bei einem Einheitenfingerabdruck handelt es sich um Informationen über Software, Hardware oder eine Kombination aus beidem auf einer Einheit. Die Informationen können eine Zusammenfassung von Einstellungen für Hardware, Software oder eine Kombination aus beidem sein. In anderen Fällen kann der Einheitenfingerabdruck auch eine Kennzeichnung von Software, Hardware oder einer Kombination aus beidem sein, die auf einer Einheit vorliegen.

Infolgedessen kann der Zugriff auf das Netzwerk-Datenverarbeitungssystem 102 verweigert werden, wenn die Einheitenkennung 144 nicht mit einer Einheitenkennung in den Einheitenkennungen 145 in der Einheitendatenbank 146 übereinstimmt, obwohl die Sprachdaten 140 korrekt sein können. In einigen Fällen kann der Zugriff auf das Netzwerk-Datenverarbeitungssystem 102 bereitgestellt werden, jedoch nur auf einige der Dienste 110, Informationen 112 oder andere Kombinationen davon.

Bei einigen veranschaulichenden Beispielen kann ein Erfordernis vorliegen, die mobile Einheit 126 nach einer Zeitspanne erneut zu validieren. Bei diesen veranschaulichenden Beispielen kann diese erneute Validierung unter Verwendung der Datenbank 141 validierter Einheiten durchgeführt werden. Beispielsweise kann der mobilen Einheit 126 ein Zeitstempel 148 zugeordnet werden. Der Zeitstempel 148 kann in der Datenbank 141 validierter Einheiten oder auf der mobilen Einheiten 126 gespeichert werden. Ein anschließender Zugriff auf das Netzwerk-Datenverarbeitungssystem 102 kann unter Verwendung des Passcodes 142 durchgeführt werden, solange der Zeitstempel 148 für die mobile Einheit 126 nicht abgelaufen ist. Sobald der Zeitstempel 148 abgelaufen ist, kann der Benutzer 124 erneut aufgefordert werden, als Teil des Validierungsprozesses die Passphrase 128 auf der mobilen Einheit 126 aufzuzeichnen.

Die Veranschaulichung der Einheitenvalidierungsumgebung 100 in 1 ist nicht als physische oder architektonische Einschränkung der Art gedacht, in der unterschiedliche veranschaulichende Ausführungsformen realisiert sein können. Andere Komponenten können zusätzlich oder anstelle der veranschaulichten verwendet werden. Einige Komponenten können unnötig sein. Außerdem sind die Blöcke angegeben, um einige Funktionskomponenten zu veranschaulichen. Einige oder mehrere dieser Blöcke können bei der Realisierung in einer veranschaulichenden Ausführungsform kombiniert, aufgeteilt oder kombiniert und in unterschiedliche Blöcke aufgeteilt werden.

Obwohl der Passphrasenprozess 122 in Bezug auf die mobilen Einheiten 116 beschrieben wurde, kann dieser Prozess auch auf andere Client-Datenverarbeitungssysteme innerhalb des Client-Datenverarbeitungssystems 108 angewendet werden. Beispielsweise kann der Prozess auf die Computer 114 angewendet werden, die unter Umständen nicht wie die mobilen Einheiten 116 mobil sein sind. Als weiteres veranschaulichendes Beispiel kann es wünschenswert sein, vom Benutzer 124 zu verlangen, dass er nach einem bestimmten Zeitraum die mobile Einheit 126 erneut registriert. Ferner kann der Benutzer 124 bei einigen veranschaulichenden Beispielen die Benutzerkennung 134, das Kennwort 136 und die Sprachdaten 140 gleichzeitig senden.

Unter Bezugnahme auf 2 ist dort eine Veranschaulichung eines Datenverarbeitungssystems gemäß einer veranschaulichenden Ausführungsform abgebildet. Ein Datenverarbeitungssystem 200 kann verwendet werden, um in den Server-Computern 106 einen Computer, in den Computern 114 einen Computer, in den mobilen Einheiten 116 eine mobile Einheit oder andere Client-Datenverarbeitungssysteme oder Einheiten zu realisieren, die innerhalb des Netzwerk-Datenverarbeitungssystems 102 in 1 vorliegen können. Bei diesem veranschaulichenden Beispiel weist das Datenverarbeitungssystem 200 eine Datenübertragungsstruktur 202 auf, die die Datenübertragung zwischen einer Prozessoreinheit 204, einem Speicher 206, einem Permanentspeicher 208, einer Datenübertragungseinheit 210, einer Eingabe/Ausgabe-Einheit (E/A-Einheit) 212 und einer Anzeigeeinheit 214 bereitstellt. Bei diesen Beispielen kann die Datenübertragungsstruktur 202 ein Bus sein.

Die Prozessoreinheit 204 dient zur Ausführung von Anweisungen von Software, die in den Speicher 206 geladen werden kann. Bei der Prozessoreinheit 204 kann es sich je nach der jeweiligen Realisierungsform um eine Anzahl von Prozessoren, um einen Kern mit mehreren Prozessoren oder um eine andere Art von Prozessor handeln. Der Begriff „eine Anzahl” bezeichnet im hierin verwendeten Sinne unter Bezugnahme auf Element ein oder mehrere Elemente. Ferner kann die Prozessoreinheit 204 unter Verwendung einer Anzahl heterogener Prozessorsysteme realisiert sein, bei denen sich ein Hauptprozessor zusammen mit sekundären Prozessoren auf einem einzigen Chip befindet. Als weiteres veranschaulichendes Beispiel kann es sich bei der Prozessoreinheit 204 um ein symmetrisches Mehrprozessorsystem handeln, das mehrere Prozessoren desselben Typs enthält.

Der Speicher 206 und der Permanentspeicher 208 sind Beispiele von Speichereinheiten 216. Eine Speichereinheit ist ein beliebiges Hardwareteil, das auf zeitweiliger Grundlage und/oder permanenter Grundlage Informationen wie zum Beispiel, ohne darauf beschränkt zu sein, Daten, Programmcode in funktionsfähiger Form und/oder andere geeignete Informationen speichern kann. Die Speichereinheiten 216 bei diesen Beispielen können auch als „computerlesbare Speichereinheiten” bezeichnet sein. Der Speicher 206 kann bei diesen Beispielen unter anderem ein Direktzugriffsspeicher oder eine beliebige andere flüchtige oder nichtflüchtige Speichereinheit sein. Je nach der betreffenden Realisierungsform kann der Permanentspeicher 208 verschiedene Formen annehmen.

Der Permanentspeicher 208 kann zum Beispiel eine oder mehrere Komponenten oder Einheiten enthalten. Zum Beispiel kann es sich bei dem Permanentspeicher 208 um eine Festplatte, um einen Flash-Speicher, um eine wiederbeschreibbare optische Platte, um ein wiederbeschreibbares Magnetband oder um eine Kombination des Vorstehenden handeln. Die vom Permanentspeicher 208 genutzten Medien können außerdem auswechselbar sein. Zum Beispiel kann eine auswechselbare Festplatte als Permanentspeicher 208 verwendet werden.

Die Datenübertragungseinheit 210 stellt bei diesen Beispielen den Datenaustausch mit anderen Datenverarbeitungssystemen oder Datenverarbeitungseinheiten bereit. Bei diesen Beispielen ist die Datenübertragungseinheit 210 eine Netzwerkschnittstellenkarte. Die Datenübertragungseinheit 210 kann die Datenübertragung mithilfe physischer oder drahtloser oder mithilfe sowohl physischer als auch drahtloser Datenübertragungsverbindungen bereitstellen.

Die Eingabe/Ausgabe-Einheit 212 ermöglicht die Eingabe und Ausgabe von Daten mithilfe anderer Einheiten, die mit dem Datenverarbeitungssystem 200 verbunden sein können. Zum Beispiel kann die Eingabe/Ausgabe-Einheit 212 eine Verbindung für die Benutzereingabe über eine Tastatur, eine Maus oder eine andere geeignete Eingabeeinheit bereitstellen. Ferner kann die Eingabe/Ausgabe-Einheit 212 die Ausgabe zu einem Drucker senden. Die Anzeigeeinheit 214 stellt einen Mechanismus bereit, um einem Benutzer Informationen anzuzeigen.

Anweisungen für das Betriebssystem, Anwendungen und/oder Programme können sich in den Speichereinheiten 216 befinden, die über die Datenübertragungsstruktur 202 im Datenaustausch mit der Prozessoreinheit 204 stehen. Bei diesen veranschaulichenden Beispielen liegen die Anweisungen im Permanentspeicher 208 in einer funktionsfähigen Form vor. Diese Anweisungen können zur Verarbeitung durch die Prozessoreinheit 204 in den Speicher 206 geladen werden. Die Prozesse der unterschiedlichen Ausführungsformen können mithilfe von mittels Computer realisierten Anweisungen, die sich in einem Speicher wie beispielsweise dem Speicher 206 befinden, durch die Prozessoreinheit 204 durchgeführt werden.

Diese Anweisungen werden als „Programmcode”, „computernutzbarer Programmcode” oder „computerlesbarer Programmcode” bezeichnet, der durch einen Prozessor in der Prozessoreinheit 204 gelesen und verarbeitet werden kann. Der Programmcode kann bei den unterschiedlichen Ausführungsformen auf unterschiedlichen physischen oder computerlesbaren Speichermedien wie zum Beispiel im Speicher 206 oder im Permanentspeicher 208 verkörpert sein.

Ein Programmcode 218 befindet sich in einer funktionsfähigen Form auf einem selektiv auswechselbaren computerlesbaren Medium 220 und kann zur Ausführung durch die Prozessoreinheit 204 in das Datenverarbeitungssystem 200 geladen oder auf dieses übertragen werden. Der Programmcode 218 und das computerlesbare Medium 220 bilden bei diesen Beispielen ein Computerprogrammprodukt 222. Bei einem Beispiel kann das computerlesbare Medium 220 ein computerlesbares Speichermedium 224 oder ein computerlesbares Signalmedium 226 sein. Das computerlesbare Speichermedium 224 kann beispielsweise eine optische oder magnetische Platte aufweisen, die zwecks Übertragung auf eine Speichereinheit wie beispielsweise eine Festplatte, die einen Teil des Permanentspeichers 208 bildet, in ein Laufwerk oder in eine andere Einheit eingelegt oder dort abgelegt wird, das bzw. die einen Teil des Permanentspeichers 208 bildet.

Das computerlesbare Speichermedium 220 kann auch die Form eines Permanentspeichers wie beispielsweise einer Festplatte, eines USB-Sticks, oder eines Flash-Speichers annehmen, die bzw. der mit dem Datenverarbeitungssystem 200 verbunden ist. Bei einigen Beispielen kann das computerlesbare Speichermedium 224 nicht aus dem Datenverarbeitungssystem 200 entfernt werden. Bei diesen Beispielen ist das computerlesbare Speichermedium 224 eine physische oder materielle Speichereinheit, die zum Speichern von Programmcode 218 verwendet wird, und kein Medium, das den Programmcode 218 überträgt oder sendet. Das computerlesbare Speichermedium 224 wird auch als „computerlesbare materielle Speichereinheit” oder „computerlesbare physische Speichereinheit” bezeichnet. Anders ausgedrückt ist das computerlesbare Speichermedium 224 ein Medium, das eine Person anfassen kann.

Alternativ kann der Programmcode 218 unter Verwendung des computerlesbaren Signalmediums 226 zum Datenverarbeitungssystem 200 übertragen werden. Das computerlesbare Signalmedium 226 kann zum Beispiel ein übertragenes Datensignal sein, dass den Programmcode 218 enthält. Beispielsweise kann das computerlesbare Signalmedium 226 ein elektromagnetisches Signal, ein optisches Signal und/oder eine andere geeignete Art von Signal sein. Diese Signale können über Datenübertragungsverbindungen wie zum Beispiel drahtlose Datenübertragungsverbindungen, Lichtwellenleiterkabel, Koaxialkabel, eine Leitung und/oder eine beliebige andere Art von Datenübertragungsverbindung übermittelt werden. Anders ausgedrückt können die Datenübertragungsverbindung und/oder die Verbindung bei den veranschaulichenden Beispielen in physischer oder drahtloser Form vorliegen.

Bei einigen veranschaulichenden Ausführungsformen kann der Programmcode 218 über ein Netzwerk von einer anderen Einheit oder einem anderen Datenverarbeitungssystem mithilfe des computerlesbaren Signalmediums 226 in den Permanentspeicher 208 zur Verwendung innerhalb des Datenverarbeitungssystems 200 heruntergeladen werden. Beispielsweise kann der in einem computerlesbaren Speichermedium in einem Server-Datenverarbeitungssystem gespeicherte Programmcode von dem Server über ein Netzwerk in das Datenverarbeitungssystem 200 heruntergeladen werden. Das Datenverarbeitungssystem, das den Programmcode 218 bereitstellt, kann ein Server-Computer, ein Client-Computer oder eine andere Einheit sein, die den Programmcode 218 speichern und übermitteln kann.

Die unterschiedlichen veranschaulichten Komponenten des Datenverarbeitungssystems 200 sind nicht als Einschränkungen der Architektur in Bezug auf die Art und Weise gedacht, in der unterschiedliche Ausführungsformen realisiert werden können. Die unterschiedlichen veranschaulichenden Ausführungsformen können in einem Datenverarbeitungssystem realisiert werden, das Komponenten zusätzlich oder anstelle der Komponenten enthält, die im Zusammenhang mit dem Datenverarbeitungssystem 200 veranschaulicht sind. Andere in 2 dargestellte Komponenten können von den dargestellten veranschaulichenden Beispielen abweichen. Die unterschiedlichen Ausführungsformen können unter Verwendung jeder beliebigen Hardwareeinheit oder jedes beliebigen Systems realisiert werden, die bzw. das Programmcode ausführen kann. Um ein Beispiel zu nennen, kann das Datenverarbeitungssystem organische Komponenten aufweisen, die in anorganische Komponenten integriert sind, und es kann vollständig aus organischen Komponenten mit Ausnahme eines Menschen bestehen. Beispielsweise kann eine Speichereinheit aus einem organischen Halbleiter bestehen.

Bei einem weiteren veranschaulichenden Beispiel kann die Prozessoreinheit 204 die Form einer Hardwareeinheit annehmen, die Schaltungen aufweist, die für eine bestimmte Verwendung hergestellt oder gestaltet sind. Diese Art von Hardware kann Operationen durchführen, ohne dass Programmcode von einer Speichereinheit, die zur Durchführung der Operationen gestaltet werden muss, in einen Speicher geladen werden muss.

Wenn zum Beispiel die Prozessoreinheit 204 die Form einer Hardwareeinheit annimmt, kann die Prozessoreinheit 204 ein Schaltungssystem, eine anwendungsspezifische integrierte Schaltung (Application Specific Integrated Circuit, ASIC), eine programmierbare Logikeinheit oder eine andere geeignete Art von Hardware sein, die zur Durchführung einer Anzahl von Operationen gestaltet ist. Bei einer programmierbaren Logikeinheit ist die Einheit so gestaltet, dass die Anzahl von Operationen durchgeführt wird. Die Einheit kann zu einem späteren Zeitpunkt umgestaltet werden, oder sie kann permanent gestaltet sein, um die Anzahl von Operationen durchzuführen. Zu Beispielen programmierbarer Logikeinheiten gehören unter anderem ein programmierbares Logik-Array, eine programmierbare Array-Logik, ein Field Programmable Logic Array, ein Field Programmable Gate Array und andere geeignete Hardwareeinheiten. Bei dieser Art der Realisierungsform kann der Programmcode 218 weggelassen werden, da die Prozesse für die unterschiedlichen Ausführungsformen in einer Hardwareeinheit realisiert sind.

Bei noch einem weiteren veranschaulichenden Beispiel kann die Prozessoreinheit 204 unter Verwendung einer Kombination aus Prozessoren realisiert werden, die in Computern und Hardwareeinheiten zu finden sind. Die Prozessoreinheit 204 kann eine Anzahl von Hardwareeinheiten und eine Anzahl von Prozessoren aufweisen, die so gestaltet sind, dass der Programmcode 218 ausgeführt wird. Bei diesem abgebildeten Beispiel können einige der Prozesse in der Anzahl von Hardwareeinheiten realisiert sein, während andere Prozesse in der Anzahl von Prozessoren realisiert sein können.

Bei einem weiteren Beispiel kann ein Bussystem verwendet werden, um die Datenübertragungsstruktur 202 zu realisieren, und kann einen oder mehrere Busse wie beispielsweise einen Systembus oder einen Eingabe/Ausgabe-Bus aufweisen. Selbstverständlich kann das Bussystem mithilfe einer beliebigen geeigneten Art von Architektur realisiert werden, die eine Übertragung von Daten zwischen unterschiedlichen Komponenten oder Einheiten bereitstellt, die mit dem Bussystem verbunden sind.

Darüber hinaus kann eine Datenübertragungseinheit eine Anzahl von Einheiten aufweisen, die Daten senden, Daten empfangen oder Daten senden und empfangen. Bei einer Datenübertragungseinheit kann es sich zum Beispiel um einen Modem oder einen Netzwerkadapter, um zwei Netzwerkadapter oder um Kombinationen davon handeln. Ferner kann es sich bei einem Speicher zum Beispiel um den Speicher 206 oder um einen Cache handeln, wie er beispielsweise in einer Schnittstelle und in einem Speichercontroller-Hub zu finden ist, die in der Datenübertragungsstruktur 202 vorliegen können.

Unter Bezugnahme auf 3 ist dort eine Veranschaulichung eines Eintrags in einer Passphrasendatenbank gemäß einer veranschaulichenden Ausführungsform abgebildet. Bei diesem veranschaulichenden Beispiel ist ein Eintrag 300 ein Beispiel eines Eintrags aus der Passphrasendatenbank 132 in 1. Bei diesem veranschaulichenden Beispiel weist der Eintrag 300 eine Benutzerkennung 302, ein Kennwort 304, Sprachdaten 306 und Dienste 308 auf. Selbstverständlich können je nach der jeweiligen Realisierungsform im Eintrag 300 andere Informationen vorliegen.

Die Benutzerkennung 302 ist bei diesem Beispiel eine Benutzerkennung für den Benutzer 124. Das Kennwort 304 ist ein Kennwort, das normalerweise durch den Benutzer 124 verwendet wird, um den Benutzer 124 zu authentifizieren. Beispielsweise kann die Benutzerkennung 302 die Benutzerkennung 134 sein, und das Kennwort 304 kann das Kennwort 136 sein. Bei diesem veranschaulichenden Beispiel können die Sprachdaten 306 die Sprachdaten 130 in 1 sein. Die Sprachdaten 306 sind Sprachdaten, die durch den Benutzer 124 beim Sprechen der Passphrase 128 während der Registrierung der mobilen Einheit 126 in 1 erzeugt wurden.

Die Dienste 308 bezeichnen Dienste, auf die der Benutzer 124 zugreifen kann. Bei einigen veranschaulichenden Beispielen können sich diese Dienste von Diensten unterscheiden, auf die der Benutzer 124 zugreift, wenn der Benutzer 124 die Sprachdaten 306 nicht sendet. Beispielsweise kann dem Benutzer 124 eine Gruppe von Diensten aus den Diensten 110 bereitgestellt werden, wenn der Benutzer 124 eine Einheit verwendet, die innerhalb des Adressbereiches 120 liegt. Wenn der Benutzer 124 eine mobile Einheit 126 verwendet, die nicht innerhalb des Adressbereiches 120 liegt, kann eine andere Gruppe von Diensten aus den Diensten 110 bereitgestellt werden. Bei diesem veranschaulichenden Beispiel sind diese Dienste durch die Dienste 308 bezeichnet.

Unter Bezugnahme auf 4 ist dort ein Eintrag in einer Datenbank validierter Einheiten gemäß einer veranschaulichenden Ausführungsform abgebildet. Bei diesem veranschaulichenden Beispiel ist ein Eintrag 400 ein Beispiel eines Eintrags in der Datenbank 141 validierter Einheiten in 1.

Der Eintrag 400 weist wie abgebildet eine Benutzerkennung 402, einen Passcode 404, eine Einheitenkennung 406 und einen Zeitstempel 408 auf. Die Benutzerkennung 402 kann zum Beispiel die Benutzerkennung 134 für den Benutzer 124 in 1 sein. Der Passcode 404 kann zum Beispiel der Passcode 142 in 1 sein. Die Gerätekennung 406 kann die Gerätekennung 144 in 1 sein. Der Zeitstempel 408 kann der Zeitstempel 148 in 1 sein.

Bei diesen veranschaulichenden Beispielen ist der Eintrag 400 ein Beispiel eines Eintrags, der erzeugt werden kann, wenn eine Einheit wie zum Beispiel die mobile Einheit 126 in 1 durch den Validierungsprozess 118 in 1 validiert wird. Bei diesen veranschaulichenden Beispielen können die Benutzerkennung 402 und der Passcode 404 verwendet werden, um von der mobilen Einheit 126 auf die Dienste 110 zu zugreifen. Der Passcode 404 wird verwendet, wenn die mobile Einheit 126 nicht innerhalb des Adressbereiches 120 liegt. Der Passcode 404 kann zusätzlich oder anstelle des Kennwortes und der Benutzerkennung verwendet werden, die normalerweise durch den Benutzer 124 genutzt werden.

Bei diesen veranschaulichenden Beispielen kann im Eintrag 400 auch die Einheitenkennung 406 verwendet werden, wenn weitere Einschränkungen erwünscht sind. Die Einheitenkennung 406 kennzeichnet eine bestimmte Einheit wie zum Beispiel die mobile Einheit 126 eindeutig. Wenn der Benutzer 124 eine andere Einheit verwendet, die nicht innerhalb des Adressbereiches 120 liegt, kann auf diese Weise der Zugriff verweigert werden, selbst wenn der Benutzer 124 unter Umständen den Passcode 404 hat. Der Zeitstempel 408 kann verwendet werden, um zu ermitteln, ob der Benutzer 124 die mobile Einheit 126 durch Sprechen der Passphrase 128 erneut validieren muss. Wenn der Zeitstempel 408 abläuft, ist der Passcode 404 bei diesen veranschaulichenden Beispielen nicht mehr gültig. Selbstverständlich ist es möglich, den Zeitstempel 408 je nach der betreffenden Realisierungsform nicht zu verwenden, oder er kann auf einen Wert gesetzt werden, der nicht abläuft.

Unter Bezugnahme auf 5 ist dort ein Flussdiagramm eines Prozesses zum Validieren einer Einheit gemäß einer veranschaulichenden Ausführungsform abgebildet. Der in 5 veranschaulichte Prozess kann in der Einheitenvalidierungsumgebung 100 in 1 realisiert sein. Insbesondere kann dieser Prozess unter Verwendung des Validierungsprozesses 118 in 1 realisiert sein.

Der Prozess empfängt eine Anforderung zur Authentifizierung eines Benutzers (Schritt 500). Diese Anforderung kann eine Benutzerkennung und ein Kennwort aufweisen. Bei diesen veranschaulichenden Beispielen kann das Kennwort die Form des Kennwortes 136 oder des Passcodes 142 in 1 annehmen. Außerdem kann die Anforderung eine Adresse für die Einheit aufweisen, von der die Anforderung erzeugt wurde.

Es wird eine Ermittlung darüber vorgenommen, ob die Adresse für die Einheit innerhalb eines Adressbereiches liegt (Schritt 502). Wenn die Adresse der Einheit nicht innerhalb eines Adressbereiches liegt, in dem der Zugriff zulässig ist, wird eine Ermittlung darüber vorgenommen, ob das Kennwort ein Passcode ist, der den Zugriff auf die Einheit zulässt (Schritt 504). In Schritt 504 kann das Kennwort ein zuvor an den Benutzer 124 gesendeter Passcode wie zum Beispiel der Passcode 142 sein, wenn die Einheit nicht innerhalb eines Adressbereiches liegt, für den der Zugriff normalerweise zulässig ist.

Unter erneuter Bezugnahme auf Schritt 504 weist der Prozess darauf hin, dass die Einheit, wenn das Kennwort ein Passcode ist, der den Zugriff auf die Einheit zulässt, validiert ist (Schritt 506), worauf der Prozess anschließend endet. Im Zusammenhang mit diesem Hinweis kann der Zugriff auf einen oder mehrere Dienste freigegeben sein. Wenn das Kennwort kein Passcode ist, der den Zugriff auf die Einheit zulässt, weist der Prozess darauf hin, dass die Einheit nicht validiert ist (Schritt 508), worauf der Prozess anschließend endet.

Unter erneuter Bezugnahme auf Schritt 502 ermittelt der Prozess anschließend, ob die Benutzerkennung und das Kennwort korrekt sind (Schritt 510), wenn die Adresse der Einheit innerhalb eines Adressbereiches liegt. In Schritt 510 wird eine Ermittlung in Bezug auf das Kennwort vorgenommen, das normalerweise vom Benutzer 124 anstelle eines Passcodes verwendet wird. Beispielsweise kann das in Schritt 510 geprüfte Kennwort das Kennwort 136 anstelle des Passcodes 142 sein. Wenn die Benutzerkennung und das Kennwort korrekt sind, geht der Prozess zu Schritt 506 über. Andernfalls geht der Prozess wie oben beschrieben zu Schritt 508 über.

Unter Bezugnahme auf 6 ist dort ein Flussdiagramm eines Prozesses zum Validieren einer Einheit gemäß einer veranschaulichenden Ausführungsform abgebildet. Dieser Prozess kann in der Einheitenvalidierungsumgebung 100 in 1 realisiert sein. Insbesondere kann der Prozess im Passphrasenprozess 122 im Validierungsprozess 118 realisiert sein, der auf dem Sicherheits-Server-Computer 119 in 1 ausgeführt wird. Dieser Prozess kann ausgelöst werden, wenn eine Einheit eine Adresse aufweist, die nicht innerhalb eines Adressbereiches liegt und das Kennwort kein Passcode ist, der den Zugriff auf die Einheit zulässt, die eine Adresse außerhalb des Adressbereiches aufweist.

Der Prozess beginnt, indem der Benutzer aufgefordert wird, eine Passphrase in die mobile Einheit zu sprechen (Schritt 600). Der Prozess empfängt anschließend Sprachdaten von der mobilen Einheit (Schritt 602). Der Prozess empfängt außerdem eine Benutzerkennung und ein Kennwort (Schritt 604). Es wird eine Ermittlung darüber vorgenommen, ob das Kennwort zu der Benutzerkennung korrekt ist (Schritt 606).

Wenn das Kennwort zu der Benutzerkennung korrekt ist, wird eine Ermittlung darüber vorgenommen, ob die Sprachdaten mit dem in der Benutzerkennung bezeichneten Benutzer übereinstimmen (Schritt 608). Bei Vorliegen einer Übereinstimmung wird die Einheit anschließend als „validiert” gekennzeichnet (Schritt 610). Der Prozess erzeugt einen Passcode (Schritt 614). Der Prozess sendet danach den Passcode an die Einheit (Schritt 616), worauf der Prozess anschließend endet.

Unter erneuter Bezugnahme auf Schritt 608 wird die Einheit als „nicht validiert” (Schritt 612) gekennzeichnet, wenn keine Übereinstimmung vorliegt, worauf der Prozess anschließend endet. Unter erneuter Bezugnahme auf Schritt 606 geht, wenn das Kennwort zu der Benutzerkennung falsch ist, der Prozess zu Schritt 612 über, um darauf hinzuweisen, dass die Einheit nicht validiert ist.

Unter Bezugnahme auf 7 ist dort ein Flussdiagramm eines Prozesses zum Validieren einer Einheit gemäß einer veranschaulichenden Ausführungsform abgebildet. Der in 7 veranschaulichte Prozess kann in der Einheitenvalidierungsumgebung 100 in 1 realisiert sein. Insbesondere kann der Prozess im Agenten 125 realisiert sein, der auf der mobilen Einheit 126 ausgeführt wird.

Der Prozess beginnt, indem eine Benutzerkennung und ein Kennwort für einen Benutzer empfangen werden (Schritt 700). Der Prozess sendet danach die Benutzerkennung und das Kennwort an einen Validierungsprozess, um den Benutzer zu authentifizieren (Schritt 702). Daraufhin empfängt der Prozess eine Antwort (Schritt 704). Es wird eine Ermittlung darüber vorgenommen, ob der Benutzer authentifiziert wurde (Schritt 706). Wenn der Benutzer nicht authentifiziert wurde, fordert der Prozess den Benutzer auf, eine Passphrase in die mobile Einheit zu sprechen (Schritt 708). Danach erzeugt der Prozess Sprachdaten aus der Passphrase, die durch den Benutzer in die mobile Einheit gesprochen wurde (Schritt 710).

Der Prozess sendet die Sprachdaten dann an den Validierungsprozess (Schritt 712). Eine Antwort wird empfangen (Schritt 714). Es wird eine Ermittlung darüber vorgenommen, ob die Einheit validiert wurde (Schritt 716). Wenn die Einheit validiert wurde, zeigt der Prozess einen Passcode an, der in der Antwort empfangen wurde (Schritt 718), worauf der Prozess anschließend endet. Bei einigen veranschaulichenden Beispielen kann der Passcode anstelle der oder zusätzlich zur Anzeige gespeichert werden.

In Schritt 716 endet der Prozess, wenn die Einheit nicht validiert ist. Unter erneuter Bezugnahme auf Schritt 706 endet der Prozess, wenn der Benutzer authentifiziert wurde.

Somit stellen die veranschaulichenden Ausführungsformen ein Verfahren, eine Vorrichtung und ein Computerprogrammprodukt zum Validieren einer mobilen Einheit bereit. Von der mobilen Einheit werden Sprachdaten empfangen. Die Sprachdaten weisen eine Aufzeichnung einer Passphrase auf, die von einem Benutzer an der mobilen Einheit gesprochen wurde. Unter Verwendung der Sprachdaten wird eine Ermittlung darüber vorgenommen, ob es sich bei der mobilen Einheit um eine gültige mobile Einheit handelt. Ein Zugriffscode wird an die mobile Einheit als Reaktion auf eine Feststellung übergeben, dass es sich bei der mobilen Einheit um die gültige mobile Einheit handelt.

Auf diese Weise können die unterschiedlichen veranschaulichenden Ausführungsformen nicht auf einer Positivliste aufgeführter Einheiten den Zugriff auf ein Netzwerk-Datenverarbeitungssystem ermöglichen. Insbesondere können die Einheiten unter Umständen auf verschiedene Dienste zugreifen, die normalerweise nicht zulässig sind, wenn sich die Einheit nicht auf einer Positivliste befindet. Auf diese Weise kann eine zusätzliche Sicherheitsebene realisiert werden, um Einheiten wie zum Beispiel mobilen Einheiten der Zugriff auf Dienste auf einem Netzwerk-Datenverarbeitungssystem zu ermöglichen.

Die Beschreibungen der verschiedenen Ausführungsformen der vorliegenden Erfindung sollen der Veranschaulichung dienen, sind jedoch nicht als vollständig oder auf die Ausführungsformen in der offenbarten Form beschränkt gedacht. Für den Fachmann sind viele Modifikationen und Variationen denkbar, ohne dass diese eine Abweichung vom Schutzbereich und Gedanken der beschriebenen Ausführungsform darstellen würden. Die hier verwendete Terminologie wurde gewählt, um die Grundgedanken der Ausführungsform, die praktische Anwendung bzw. die technische Verbesserung gegenüber den auf dem Markt vorgefundenen Technologien auf bestmögliche Weise zu erläutern bzw. anderen mit entsprechenden Fachkenntnissen das Verständnis der hierin offenbarten Ausführungsformen zu ermöglichen.

Die Flussdiagramme und Blockschemata in den Figuren veranschaulichen die Architektur, Funktionalität und Wirkungsweise möglicher Realisierungsformen von Systemen, Verfahren und Computerprogrammprodukten gemäß den verschiedenen Ausführungsformen der vorliegenden Erfindung. Dementsprechend kann jeder Block in den Flussdiagrammen oder Blockschemata ein Modul, ein Segment oder einen Teil des Codes darstellen, der eine oder mehrere ausführbare Anweisungen zum Realisieren der angegebenen Logikfunktion bzw. Logikfunktionen aufweist.

Außerdem sollte beachtet werden, dass bei einigen alternativen Realisierungsformen die in dem Block angegebenen Funktionen in einer anderen als der in den Figuren angegebenen Reihenfolge ausgeführt werden können. Beispielsweise können zwei hintereinander aufgeführte Blöcke tatsächlich im Wesentlichen gleichzeitig durchgeführt werden, oder die Blöcke können je nach der damit verbundenen Funktionalität manchmal in umgekehrter Reihenfolge ausgeführt werden. Darüber hinaus ist anzumerken, dass jeder Block der Blockschemata und/oder Flussdiagramme sowie Kombinationen von Blöcken in den dargestellten Blockschemata und/oder Flussdiagrammen mithilfe von bestimmten Zwecken dienenden, hardwaregestützten Systemen oder mithilfe von Kombinationen aus bestimmten Zwecken dienender Hardware und Computeranweisungen realisiert werden können, die die angegebenen Funktionen bzw. Aktionen durchführen.