DE102006042953A1 - Control device for e.g. virtual private network gateway, has safety device connected between communication devices to control access of communication devices over communication network based on control signal - Google Patents

Control device for e.g. virtual private network gateway, has safety device connected between communication devices to control access of communication devices over communication network based on control signal Download PDF

Info

Publication number
DE102006042953A1
DE102006042953A1 DE200610042953 DE102006042953A DE102006042953A1 DE 102006042953 A1 DE102006042953 A1 DE 102006042953A1 DE 200610042953 DE200610042953 DE 200610042953 DE 102006042953 A DE102006042953 A DE 102006042953A DE 102006042953 A1 DE102006042953 A1 DE 102006042953A1
Authority
DE
Germany
Prior art keywords
control
communication
communication device
access
control signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE200610042953
Other languages
German (de)
Inventor
Franz Köbinger
Andreas Köpke
Thomas Talanis
Thomas Tröster
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE200610042953 priority Critical patent/DE102006042953A1/en
Publication of DE102006042953A1 publication Critical patent/DE102006042953A1/en
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

The control device (101) has a safety device (103) connected between communication devices (105, 107) to control the access of the communication devices over a communication network (117) based on a control signal. The control device is formed to generate the control signal based on an authorization status. The control signal indicates whether the communication device (105) accesses or partially accesses the communication device (107). The control device receives an information signal from the communication device (105) over the communication network. Independent claims are also included for the following: (1) a control method for controlling a safety device (2) a safety method for controlling the access of a communication device to another communication device over a communication network (3) a computer program for performing a method for controlling a safety device.

Description

Die vorliegende Erfindung bezieht sich auf die Steuerung von Sicherheitseinrichtungen wie z. B. Firewalls in einem Kommunikationsnetzwerk.The The present invention relates to the control of safety devices such as B. firewalls in a communication network.

Sollten mehrere Netzwerkteilnehmer miteinander über ein Kommunikationsnetzwerk kommunizieren, ist es aus Sicherheitsgründen wichtig, den Zugriff eines Netzwerkteilnehmers auf einen anderen Netzwerkteilnehmer zu regeln, beispielsweise zuzulassen oder nicht zuzulassen. Die Netzwerkteilnehmer (z. B. Hardware wie Personal Computer oder Bediengeräte) an den Netzwerken wie z. B. LAN (Local Area Network), WLAN (Wireless LAN) oder WAN (Wide Area Network) haben heutzutage im Netzwerk entsprechend ihrer Funktion, ihrem Standort oder ihrer Zugehörigkeit zu einer sicherheitstechnischen Gruppe meist einen vollen Zugriff auf andere Geräte. In einem derartigen Netzwerk-Szenario identifiziert sich das Client-Gerät üblicherweise anhand einer Adresse, z. B. MAC (Media Access Control)-Adresse bzw. IP (Internet Protocol)-Adresse oder durch ein Maschinenzertifikat. Die Identität des Client-Gerätes wird durch entsprechende Einrichtungen wie z. B. eine Firewall oder ein VPN (Virtual Private Network)-Gateway während der Kommunikation über das Netzwerk geprüft. Ist die Übereinstimmung erfolgreich überprüft worden und liegt eine Berechtigung für einen Zugriff auf einen oder mehrere Netzwerkteilnehmer bzw. Netzwerke vor, so wird der Zugriff gewährt. Üblicherweise hat eine Hardware immer Zugriff auf alle für sie zugelassenen Geräte und Netzwerke unabhängig vom angemeldeten Benutzer. Dies ist jedoch ein hohes Risiko für die IT-Sicherheit eines Netzwerkes. Das Client-Gerät bekommt beispielsweise maschinenspezifische Rechte, die eigentlich den Benutzern der Maschine zugeordnet sind. Durch die maschinenspezifische Freischaltung der Netzwerke verlagert sich der benutzerspezifische Zugriffsschutz in das Zielsystem. Dies ist jedoch problematisch, weil dadurch die Zielgeräte für Attacken (z. B. für DoS-Attacken) anfällig werden.Should several network participants with each other via a communication network For safety reasons, it is important to have access to one Network participant to another network participant, for example, to allow or not to allow. The network participants (eg hardware such as personal computers or HMI devices) to the Networks such. LAN (Local Area Network), WLAN (Wireless LAN) or WAN (Wide Area Network) have these days in the network accordingly their function, their location or their affiliation to a safety group usually full access to other devices. In such a network scenario the client device typically identifies itself by an address, z. B. MAC (Media Access Control) address or IP (Internet Protocol) address or by a machine certificate. The identity of the client device becomes by appropriate facilities such. B. a firewall or a VPN (Virtual Private Network) gateway while communicating over the Network checked. Is the match successfully checked and there is an authorization for Access to one or more network participants or networks before, the access is granted. Usually Hardware always has access to all devices and networks allowed for it independently by the logged in user. However, this is a high risk for the IT security of one Network. The client device gets, for example, machine-specific rights that actually assigned to the users of the machine. By the machine-specific Activation of the networks shifts the user-specific access protection into the target system. However, this is problematic, because thereby the target devices for attacks (eg. For example DoS attacks) become.

Eine weitere Schwachstelle der maschinenspezifischen Berechtigung ist die Berechtigungsdauer. Sie wird unabhängig von der Anmeldung des Benutzers (z. B. statisch gemäß einer Firewall-Regel) erteilt. Daher ist es möglich, die Berechtigung eines Netzwerkteilnehmers für lange Zeit unentdeckt zu übernehmen (z. B. durch eine gefälschte IP-Adresse).A Another vulnerability of the machine-specific authorization the authorization period. It will be independent of the application of the User (eg statically according to a Firewall rule). Therefore, it is possible to have the authority of a network participant for long To take time undetected (eg by a fake IP address).

Bisher ist keine einfache Technik bekannt, die benutzer- und rollenspezifisch die Berechtigung für den Zugriff auf Netzwerkressourcen regelt. Typischerweise werden vorgelagerte Sicherheitseinrichtungen (Security-Einrichtungen) wie z. B. Firewalls oder VPN-Router eingesetzt, die den Datenverkehr zwischen den Geräten unabhängig vom Benutzer und statisch regeln. Die Rechte des angemeldeten Benutzers werden üblicherweise im Zielsystem durch das Betriebssystem selber oder applikativ in den Softwarekomponenten geregelt.So far There is no simple technique known to be user and role specific the permission for controls access to network resources. Typically upstream security facilities (security facilities) such as z. As firewalls or VPN routers used, the traffic between the devices independently by the user and statically govern. The rights of the logged in user become common in the target system by the operating system itself or applicatively in regulated by the software components.

Eine anwenderspezifische Freischaltung einer Firewall könnte sich beispielsweise durch das folgende Vorgehen auszeichnen: der Client will eine Verbindung zu einem geschützten Gerät hinter einer Firewall aufbauen; die Firewall fragt bei einer Zentrale oder in ihrer lokalen Datenbasis nach einer Berechtigung; liegt eine Berechtigung vor, so entscheidet die Firewall, die Verbindung zuzulassen; liegt keine Berechtigung vor, so wird die Verbindung nicht zugelassen. Nachteilig an diesem Konzept wäre jedoch, dass die Firewall notwendigerweise Kenntnisse über die Autorisierungen oder Authentifizierungen haben müsste. Dadurch wäre die Komplexität einer derartigen Firewall hoch.A user-specific activation of a firewall could be For example, distinguish by the following procedure: the client wants to connect to a protected device behind a firewall; the firewall asks at a central office or in their local database after a permission; If there is an authorization, it is decided the firewall to allow the connection; there is no authorization before, the connection is not allowed. A disadvantage of this Concept would be however, that the firewall necessarily has knowledge of the Authorizations or authentications would have to. This would be the complexity of such Firewall up.

Es ist die Aufgabe der Erfindung, ein einfaches Konzept zum Steuern bzw. zum Regeln eines Zugriffs einer Kommunikationseinrichtung über ein Kommunikationsnetzwerk auf eine weitere Kommunikationseinrichtung über eine Sicherheitseinrichtung wie z. B. eine Firewall zu schaffen.It The object of the invention is a simple concept for controlling or for regulating access of a communication device via a communication network to another communication device via a security device such as z. B. to create a firewall.

Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst.These The object is solved by the features of the independent claims.

Die Erfindung schafft eine Steuereinrichtung zum Steuern einer Sicherheitseinrichtung, die beispielsweise in einem Kommunikationsnetzwerk zwischen einer ersten Kommunikationseinrichtung und einer zweiten Kommunikationseinrichtung angeordnet ist. Die Sicherheitseinrichtung regelt bzw. steuert ansprechend auf ein Steuersignal den Zugriff der ersten Kommunikationseinrichtung über das Kommunikationsnetzwerk auf die zweite Kommunikationseinrichtung. Beispielsweise handelt es sich bei der Sicherheitseinrichtung um eine Firewall oder um ein VPN-Gateway.The Invention provides a control device for controlling a safety device, For example, in a communication network between a first communication device and a second communication device is arranged. The safety device controls or controls responsively to a control signal, the access of the first communication device via the Communication network to the second communication device. For example, the safety device is um a firewall or a VPN gateway.

Bevorzugt sind die Steuereinrichtung und die Sicherheitseinrichtung separate Einheiten, wobei die Steuereinrichtung beispielsweise über das Kommunikationsnetzwerk das Steuersignal zu der Sicherheitseinrichtung sendet, um diese zu steuern. Die Sicherheitseinrichtung kann in Abhängigkeit von dem Steuersignal den Zugriff der ersten Kommunikationseinrichtung auf die zweite Kommunikationseinrichtung zulassen, teilweise zulassen (z. B. nur für bestimmte Ressourcen) oder nicht zulassen.Prefers the control device and the safety device are separate Units, wherein the control device, for example via the Communication network, the control signal to the safety device sends to control them. The safety device can in dependence from the control signal, the access of the first communication device allow on the second communication device, partially allow (eg only for certain Resources) or not.

Gemäß einem Aspekt empfängt die Steuereinrichtung über das Kommunikationsnetzwerk ein Informationssignal, das einen Berechtigungsstatus anzeigt oder dem in der Steuereinrichtung anhand einer Datenbasis ein Berechtigungsstatus zugewiesen wird. Ferner kann die Steuereinrichtung ansprechend auf den Berechtigungsstatus das Steuersignal erzeugen und über das Kommunikationsnetzwerk aussenden. Der Berechtigungsstatus kann mit der ersten Kommunikationseinrichtung und/oder mit einem Benutzer, der die erste Kommunikationseinrichtung bedient, zusammenhängen und zeigt beispielsweise an, ob der Benutzer und/oder die erste Kommunikationseinrichtung auf die zweite Kommunikationseinrichtung zugreifen dürfen.According to one aspect, the control device receives via the communication network an information signal which indicates an authorization status or to which an authorization status is assigned in the control device on the basis of a database. Furthermore, the control device may be appealing on the authorization status generate the control signal and send out via the communication network. The authorization status may be related to the first communication device and / or to a user operating the first communication device and indicates, for example, whether the user and / or the first communication device may access the second communication device.

Die Erfindung schafft ferner eine Sicherheitseinrichtung zum Regeln des Zugriffs einer ersten Kommunikationseinrichtung über ein Kommunikationsnetzwerk auf eine zweite Kommunikationseinrichtung ansprechend auf ein Steuersignal. Die Sicherheitseinrichtung kann beispielsweise Merkmale aufweisen, wie sie vorstehend bereits beschrieben wurden.The The invention further provides a safety device for controlling the access of a first communication device via a Communication network to a second communication device in response to a control signal. The safety device can For example, have features as already described above were.

Die Erfindung schafft ferner ein Kommunikationssystem mit einer Steuereinrichtung und einer Sicherheitseinrichtung gemäß der vorliegenden Erfindung.The The invention further provides a communication system with a controller and a safety device according to the present invention.

Die vorliegende Erfindung schafft ferner ein Steuerverfahren zum Steuern einer Sicherheitseinrichtung und ein Sicherheitssystem zum Regeln des Zugriffs einer ersten Kommunikationseinrichtung über ein Kommunikationsnetzwerk auf eine zweite Kommunikationseinrichtung.The The present invention further provides a control method for controlling a safety device and a safety system for regulating the access of a first communication device via a Communication network to a second communication device.

Die vorliegende Erfindung schafft ferner ein Computer-Programm zum Ausführen eines erfindungsgemäßen Verfahrens, wenn das Computer-Programm auf einem Computer abläuft.The The present invention further provides a computer program for executing a computer program inventive method, when the computer program runs on a computer.

Weitere Ausführungsbeispiele werden Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert.Further embodiments will be explained in more detail with reference to the accompanying drawings.

Es zeigen:It demonstrate:

1 ein Kommunikationssystem gemäß einem Aspekt der Erfindung und 1 a communication system according to one aspect of the invention and

2 ein Kommunikationssystem gemäß einem weiteren Aspekt der Erfindung. 2 a communication system according to another aspect of the invention.

Das in 1 dargestellte Kommunikationssystem umfasst eine Steuereinrichtung 101 und eine Sicherheitseinrichtung 103, beispielsweise eine Firewall, die zwischen einer ersten Kommunikationseinrichtung 105 und einer zweiten Kommunikationseinrichtung 107 angeordnet ist. Die Sicherheitseinrichtung 103 regelt, insbesondere reglementiert, den Zugriff auf die zweite Kommunikationseinrichtung 107 und beispielsweise auf eine weitere Kommunikationseinrichtung 109.This in 1 illustrated communication system comprises a control device 101 and a safety device 103 , For example, a firewall between a first communication device 105 and a second communication device 107 is arranged. The safety device 103 regulates, in particular regulated, access to the second communication device 107 and for example to another communication device 109 ,

Optional ist eine weitere Sicherheitseinrichtung 111 vorgesehen, die den Zugriff auf weitere Kommunikationseinheiten 113 und 115 regelt. Die Kommunikation findet über ein Kommunikationsnetzwerk 117 statt.Optionally, another safety device 111 provided that access to further communication units 113 and 115 regulates. The communication takes place via a communication network 117 instead of.

Erfindungsgemäß kann der Netzwerkzugriff einer Hardware wie der ersten Kommunikationseinrichtung 105 am Netzwerk durch den Benutzer der Hardware oder durch die Art der Hardware bestimmt werden. Dabei kann die Hardware selbst, soweit ihre Rolle dies vorsieht, selbst einen Benutzer darstellen und eine eigene Identität aufweisen.According to the invention, the network access of a hardware such as the first communication device 105 determined on the network by the user of the hardware or by the type of hardware. In this case, the hardware itself, as far as its role foresees, can represent a user and have its own identity.

Die Sicherheitseinrichtungen 103, 111 (Security-Einrichtungen) sind dazu vorgesehen, den Datenverkehr zwischen den Netzwerkteilnehmern zu kontrollieren und/oder zu steuern. Auf der Basis dieser Struktur wird das folgende Szenario umgesetzt:
Ein Benutzer meldet sich beispielsweise an der ersten Kommunikationseinrichtung 105 an. Über einen Informationsmechanismus 119 (beispielsweise ein Kommunikationsprotokoll) wird eine oder mehrere Steuereinrichtungen 101 (Sicherheitskomponenten) mit Netzwerkzugriff darüber informiert, dass ein bestimmter Benutzer sich auf einer Hardware angemeldet hat. Auf der Basis von beispielsweise einer Wissensbasis (z. B. einer Datenbank) kann die Steuereinrichtung 101 aufgrund des Wissens über den Benutzer bezogen auf eine oder mehrere Informationen eine Entscheidung treffen, auf welche Netzwerkteilnehmer die erste Kommunikationseinrichtung 105 zugreifen darf. Bei den Informationen kann es sich um Berechtigungen, Aufgaben, Gerätedaten, Orts- und/oder Zeitinformationen oder um allgemeine oder spezielle Personen handeln.The safety devices 103 . 111 (Security devices) are intended to control the traffic between the network participants and / or to control. Based on this structure, the following scenario is implemented:
For example, a user logs on to the first communication device 105 at. About an information mechanism 119 (For example, a communication protocol) is one or more control devices 101 (Security components) with network access informing that a particular user has logged on to a hardware. On the basis of, for example, a knowledge base (eg a database), the control device 101 based on the knowledge about the user based on one or more information, make a decision on which network participants the first communication device 105 may access. The information may be permissions, tasks, device data, location and / or time information, or general or special persons.

Die Steuereinrichtung 101 hat z. B. die Kenntnis darüber, welche Sicherheitseinrichtung 103 oder 111, den Datenverkehr zu den entsprechenden Netzwerkteilnehmern 107, 109 bzw. 113 oder 115 regelt. Die Steuereinrichtung 101 sendet beispielsweise automatisch ein Steuersignal 121 umfassend beispielsweise Konfigurationsinformationen an die Sicherheitseinrichtung(en) 103 und 111, so dass die erste Kommunikationseinrichtung 105 Zugriffsmöglichkeit auf den Netzwerkteilnehmer 107 hat. Meldet sich der Benutzer an der ersten Kommunikationseinrichtung 105 ab, kann mit dem gleichen Verfahren die Berechtigung der ersten Kommunikationseinrichtung 105, auf den Netzwerkteilnehmer 107 zuzugreifen, entsprechend der vordefinierten Berechtigungen zurückgesetzt werden.The control device 101 has z. B. the knowledge about which safety device 103 or 111 , the traffic to the appropriate network participants 107 . 109 respectively. 113 or 115 regulates. The control device 101 for example, automatically sends a control signal 121 includes, for example, configuration information to the security device (s) 103 and 111 , so the first communication device 105 Access to the network participant 107 Has. The user logs on to the first communication device 105 can, with the same procedure, the authorization of the first communication device 105 , on the network participant 107 to be reset according to the predefined permissions.

Im Netzwerk kann sich beispielsweise eine oder mehrere Steuereinrichtungen 101 befinden, die die Berechtigungen von Geräten im Netzwerk zentral und abhängig von den jeweils angemeldeten Benutzern verwalten und/oder steuern können. Unabhängig von den Möglichkeiten eines entsprechenden Gerätes ist eine benutzerbezogene Berechtigungsverwaltung und Netzwerkzugriffssteuerung möglich. So kann das erfindungsgemäße Verfahren auch auf Geräte angewendet werden, die nicht über entsprechende Möglichkeiten im Betriebssystem verfügen.In the network, for example, one or more control devices 101 which can centrally manage and / or control the permissions of devices on the network, depending on the users logged in. Regardless of the possibilities of a corresponding device, a user-related authorization ver administration and network access control possible. Thus, the inventive method can also be applied to devices that do not have appropriate capabilities in the operating system.

Erfindungsgemäß wird bereits durch eine einzige Steuereinrichtung 101 und eine einzige Sicherheitseinrichtung 103 ein gleichzeitiger Schutz mehrerer Netzwerkteilnehmer 107 und 109 ermöglicht, so dass signifikante Einsparungen beim Aufbau von sicheren Netzwerken erzielbar sind. Ist kein Benutzer auf einem Gerät angemeldet, so kann der Zugriff auf das Netzwerk derart eingeschränkt werden, dass sowohl von als auch zu einem Gerät keine Daten übertragen werden können, so dass keine sicherheitsrelevante Lücke durch „unbetraute" oder „unbeobachtete" Geräte entstehen kann.According to the invention is already by a single control device 101 and a single safety device 103 a simultaneous protection of several network participants 107 and 109 enabling significant savings to be made in building secure networks. If no user is logged on to a device, the access to the network can be restricted in such a way that no data can be transmitted from and to a device, so that no security-relevant gap can be created by "untethered" or "unobserved" devices.

Im Netzwerk können ferner vorteilhaft Berechtigungen verändert werden, ohne direkt auf alle Geräte, die ein Benutzer potentiell benutzen könnte, zugreifen zu müssen. Darüber hinaus können weitere Benutzer hinzugefügt bzw. entfernt werden, ohne dass mehrere Netzwerkkomponenten umkonfiguriert werden müssen, da dazu nur die Steuereinrichtung 101 umkonfiguriert wird. Alle weiteren Aufgaben nimmt die Steuereinrichtung 101 selbstständig und bei Bedarf vor. Es ist ferner möglich, durch eine Kombination der Steuereinrichtung 101 und der Sicherheitseinrichtung 103 einen authentifizierten Zugriff auf einen oder mehrere Netzwerkteilnehmer zu realisieren, auch wenn diese selbst keine Authentifizierung unterstützen.Privileges can also advantageously be changed in the network without having to directly access all devices that a user could potentially use. In addition, additional users can be added or removed without having to reconfigure multiple network components, as only the controller does 101 is reconfigured. All other tasks are taken by the controller 101 independently and as needed. It is also possible, by a combination of the control device 101 and the safety device 103 to realize an authenticated access to one or more network participants, even if they themselves do not support authentication.

2 veranschaulicht die Struktur eines Kommunikationssystems gemäß einem weiteren Aspekt. Die erste Kommunikationseinrichtung 105 umfasst beispielsweise einen Domain-Controller 201, wobei die Authentifizierung mit herkömmlichen Mitteln durchgeführt werden kann. Die beispielsweise automatisierte Meldung der Identität des Anwenders kann über einen sicheren Kanal 203 zu der Steuereinrichtung 101 übertragen werden. Der sichere Kanal 203 kann durch ein Software-Modul realisiert sein. Die Steuereinrichtung 101 schaltet mittels des Steuersignals 205 die Firewall 103 frei, so dass über das Kommunikationsnetzwerk 117 der Zugriff auf die zweite Kommunikationseinrichtung 107 erfolgt. In dem in 2 dargestellten Netzwerkszenario können ferner an das Kommunikationsnetzwerk 117 ein NAT-Router 207, ein Switch 209 und über den Switch 209 weitere Kommunikationseinrichtungen 211 und 213 angeschlossen werden. 2 illustrates the structure of a communication system according to another aspect. The first communication device 105 includes, for example, a domain controller 201 wherein the authentication can be performed by conventional means. For example, the automated notification of the identity of the user can be done over a secure channel 203 to the controller 101 be transmitted. The secure channel 203 can be realized by a software module. The control device 101 switches by means of the control signal 205 the firewall 103 free, so over the communication network 117 the access to the second communication device 107 he follows. In the in 2 illustrated network scenario can also to the communication network 117 a NAT router 207 , a switch 209 and over the switch 209 further communication devices 211 and 213 be connected.

Die Steuereinrichtung 101 kann beispielsweise ein aktives Management durch temporäres Ändern von Filterregeln für IP- oder MAC-Adressen betreiben. Ferner kann die Steuereinrichtung 101 auf der Basis von Benutzer- und Rollen-basierten Regeln zur Freischaltung der Sicherheitseinrichtungen 103, 207 und 209 im Netzwerk 117 die jeweilige Sicherheitseinrichtung 103, 207, 209, steuern. Dabei weisen der Switch 209 und der NAT-Router 207 beispielsweise die Funktionalität der erfindungsgemäßen Sicherheitseinrichtung 103 auf.The control device 101 can, for example, operate an active management by temporarily changing filtering rules for IP or MAC addresses. Furthermore, the control device 101 based on user- and role-based rules for activating the security devices 103 . 207 and 209 in the network 117 the respective safety device 103 . 207 . 209 , Taxes. In this case, the switch 209 and the NAT router 207 For example, the functionality of the safety device according to the invention 103 on.

Das erfindungsgemäße Konzept löst das Problem der Authentifizierung zur Regelung der Freischaltung von Netzwerkressourcen zentral-, rollen- und anwenderspezifisch. Der erfindungsgemä ße zentrale Ansatz kann beispielsweise im Bereich der Automatisierungstechnik eingesetzt werden, da die Automatisierungsnetzwerke in zentralen Projekten konfiguriert und parametriert werden. Die „Online-Sicht" eines Projektes verlangt, dass das Client-Gerät (beispielsweise die erste Kommunikationseinrichtung 105) den Zugriff auf alle Zielgeräte bekommt. Dieser Umstand wird erfindungsgemäß dadurch gelöst, dass die Authentifizierung der Benutzer beispielsweise lokal durchgeführt werden kann. Die Identität der Benutzer wird transparent über den sicheren Kanal 203 an die Zentrale 101 weitergegeben. Die Zentrale 101 (CSS) verwaltet die Rollen und die Rechte und wird selber aktiv, um die Netzwerkressourcen freizuschalten. Dies erfolgt beispielsweise unmittelbar nach der Anmeldung des Anwenders im Netzwerk.The inventive concept solves the problem of authentication to control the activation of network resources central, role and user-specific. The inventive central approach can be used, for example, in the field of automation technology, since the automation networks are configured and parameterized in centralized projects. The "online view" of a project requires that the client device (for example, the first communication device 105 ) gets access to all target devices. This circumstance is inventively achieved in that the authentication of the user can be performed locally, for example. The identity of the user becomes transparent over the secure channel 203 to the central office 101 passed. The central office 101 (CSS) manages the roles and rights and becomes active itself to unlock the network resources. This happens, for example, immediately after the user logs in to the network.

Nach einer Initialisierung des Systems sind die Netzwerkressourcen zunächst beispielsweise für alle Anwender gesperrt. Die Freischaltung wird nur für angemeldete Benutzer vorgenommen. Die Dauer der Freischaltung ist beispielsweise an die Abmeldung gekoppelt. Um mögliche Sicherheits-Löcher aufgrund eines Absturzes oder Reboots zu schließen, können die Ressourcen nach einer konfigurierbaren Zeit (z. B. 10 Minuten), wieder geschlossen werden. Die Sicherheitseinrichtungen werden bevorzugt nicht mit Policy-Regeln und User-Management sowie Access-Control belastet, sondern werden zentral verwaltet.To initialization of the system, the network resources are initially, for example for all User locked. The activation is made only for registered users. The duration of the activation is, for example, the logoff coupled. To possible Security holes due to close a crash or reboot, the resources may be after one configurable time (eg 10 minutes), be closed again. The security devices are preferably not with policy rules and user management as well as access control are charged, but become centrally managed.

Die Steuereinrichtung 101 ermöglicht eine automatisierte zentrale Netzwerk-Freischaltung anhand der Benutzeridentität und seiner Rolle im Netzwerk. Die Freischaltung ist beispielsweise für den Benutzer völlig transparent. Die Sicherheitseinrichtungen 103, 207 und 209 (Switch, Router, Firewall etc.) können einfach aufgebaut sein und kostengünstig gehalten werden, weil die Implementierungen von Netzwerk-Security-Policy und von User-Management dort nicht notwendig sind.The control device 101 enables automated centralized network activation based on user identity and its role in the network. The activation is completely transparent to the user, for example. The safety devices 103 . 207 and 209 (Switch, Router, Firewall, etc.) can be simple and cost-effective, because the implementations of network security policy and user management are not necessary there.

Erfindungsgemäß parametrisiert die Zentrale 101 beispielsweise die Firewall 103 vor dem Verbindungswunsch temporär um, da der Benutzer sich vor seinem Verbindungswunsch bei der Zentrale 101 gemeldet hat. Hierdurch wird erreicht, dass die Firewall 103 keine Kenntnis über jedwede Autorisierung oder Authentifizierung haben muss, so dass die Firewalls entschieden einfacher aufgebaut werden können und dass zusätzlich eine Erhöhung der Sicherheit erreicht wird.According to the invention, the control panel is parameterized 101 for example, the firewall 103 before the connection request temporarily, because the user before his connection request at the headquarters 101 has reported. This will ensure that the firewall 103 have no knowledge about any authorization or authentication, so the firewalls can be made decidedly simpler and that in addition an increase in security is achieved.

Erfindungsgemäß werden die Vorteile eines authentifizierenden Gateways und eines zentralen Security-Policy-Managers oder eines Firewall-Managers kombiniert, wobei nur eine Authentifizierung im Benutzergerät ausgeführt wird. Die Zuordnung der Berechtigung und entsprechende Freischaltung von Netzwerkressourcen wird anwender- und rollenspezifisch durch den zentralen Security-Server 101 (CSS) durchgeführt. Erfindungsgemäß führt der CSS 101 die Freischaltung durch, indem die Parametrierung der Firewall für die Dauer der Anmeldung geändert wird. Dadurch wird optimal gehandelt, denn proprietäre Freischaltungsprotokolle, die in einer komplexen Umgebung notwendig sind, müssen nur einmal im CSS 101 realisiert werden.According to the invention, the advantages of an authenticating gateway and a central security policy manager or a firewall manager are combined, with only one authentication being carried out in the user device. The assignment of the authorization and corresponding activation of network resources becomes user- and role-specific by the central security server 101 (CSS). According to the CSS leads 101 the activation by changing the configuration of the firewall for the duration of the logon. This is the best way to act because proprietary unlock protocols that are necessary in a complex environment need only be done once in the CSS 101 will be realized.

Claims (14)

Steuereinrichtung (101) zum Steuern einer Sicherheitseinrichtung (103), wobei die Sicherheitseinrichtung (103) zwischen einer ersten Kommunikationseinrichtung (105) und einer zweiten Kommunikationseinrichtung (107) angeordnet ist und ausgebildet ist, ansprechend auf ein Steuersignal den Zugriff der ersten Kommunikationseinrichtung (105) über ein Kommunikationsnetzwerk auf die zweite Kommunikationseinrichtung (107) zu regeln, und wobei die Steuereinrichtung (101) ausgebildet ist, das Steuersignal in Abhängigkeit von einem Berechtigungsstatus zu erzeugen.Control device ( 101 ) for controlling a security device ( 103 ), the safety device ( 103 ) between a first communication device ( 105 ) and a second communication device ( 107 ) is arranged and designed, in response to a control signal, the access of the first communication device ( 105 ) via a communication network to the second communication device ( 107 ), and wherein the control device ( 101 ) is adapted to generate the control signal in dependence on an authorization status. Steuereinrichtung (101) gemäß Anspruch 1, die ferner ausgebildet ist, um das Steuersignal über das Kommunikationsnetzwerk auszusenden.Control device ( 101 ) according to claim 1, further adapted to transmit the control signal via the communication network. Steuereinrichtung (101) gemäß Anspruch 1 oder 2, wobei die Steuereinrichtung (101) ausgebildet ist, über das Kommunikationsnetzwerk ein Informationssignal von der ersten Kommunikationseinrichtung (105) zu empfangen, dem der Berechtigungsstatus zugewiesen ist, und ansprechend auf den Berechtigungsstatus das Steuersignal zu erzeugen.Control device ( 101 ) according to claim 1 or 2, wherein the control device ( 101 ) is formed, via the communication network, an information signal from the first communication device ( 105 ) to which the authorization status is assigned, and to generate the control signal in response to the authorization status. Steuereinrichtung (101) gemäß einem der Ansprüche 1 bis 3, wobei der Berechtigungsstatus mit der ersten Kommunikationseinrichtung (105) oder mit einem Benutzer der der ersten Kommunikationseinrichtung (105) zusammenhängt.Control device ( 101 ) according to one of claims 1 to 3, wherein the authorization status with the first communication device ( 105 ) or with a user of the first communication device ( 105 ). Steuereinrichtung (101) gemäß einem der Ansprüche 1 bis 4, wobei das Steuersignal anzeigt, ob die erste Kommunikationseinrichtung (105) auf die zweite Kommunikationseinrichtung (107) zugreifen, teilweise zugreifen oder nicht zugreifen kann.Control device ( 101 ) according to one of claims 1 to 4, wherein the control signal indicates whether the first communication device ( 105 ) to the second communication device ( 107 ), partially access or can not access. Sicherheitseinrichtung (103) zum Regeln des Zugriffs einer ersten Kommunikationseinrichtung (105) über ein Kommunikationsnetzwerk auf eine zweite Kommunikationseinrichtung (107), wobei die Sicherheitseinrichtung (103) ausgebildet ist, den Zugriff ansprechend auf ein Steuersignal zu Regeln.Safety device ( 103 ) for controlling the access of a first communication device ( 105 ) via a communication network to a second communication device ( 107 ), the safety device ( 103 ) is configured to control the access in response to a control signal. Sicherheitseinrichtung (103) gemäß Anspruch 6, die ausgebildet ist, das Steuersignal über ein Kommunikationsnetzwerk zu empfangen.Safety device ( 103 ) according to claim 6, which is adapted to receive the control signal via a communication network. Sicherheitseinrichtung (103) gemäß Anspruch 6, die ausgebildet ist, um ansprechend auf das Steuersignal den Zugriff der ersten Kommunikationseinrichtung (105) auf die zweite Kommunikationseinrichtung (107) zumindest teilweise zuzulassen oder nicht zuzulassen.Safety device ( 103 ) according to claim 6, which is arranged to control the access of the first communication device in response to the control signal ( 105 ) to the second communication device ( 107 ) at least partially allow or not. Sicherheitseinrichtung (103) gemäß einem der Ansprüche 6 bis 8, wobei die Sicherheitseinrichtung (103) eine Firewall ist.Safety device ( 103 ) according to one of claims 6 to 8, wherein the safety device ( 103 ) is a firewall. Kommunikationssystem mit einer Steuereinrichtung (101) gemäß einem der Ansprüche 1 bis 5 und einer Sicherheitseinrichtung (103) gemäß einem der Ansprüche 6 bis 9.Communication system with a control device ( 101 ) according to one of claims 1 to 5 and a safety device ( 103 ) according to one of claims 6 to 9. Steuerverfahren zum Steuern einer Sicherheitseinrichtung (103), wobei die Sicherheitseinrichtung (103) zwischen einer ersten Kommunikationseinrichtung (105) und einer zweiten Kommunikationseinrichtung (107) angeordnet ist und ansprechend auf ein Steuersignal den Zugriff der ersten Kommunikationseinrichtung (105) über ein Kommunikationsnetzwerk (117) auf die zweite Kommunikationseinrichtung (107) regelt, wobei das Steuersignal in Abhängigkeit von einem Berechtigungsstatus erzeugt wird.Control method for controlling a safety device ( 103 ), the safety device ( 103 ) between a first communication device ( 105 ) and a second communication device ( 107 ) and in response to a control signal accessing the first communication device ( 105 ) via a communication network ( 117 ) to the second communication device ( 107 ), wherein the control signal is generated in response to an authorization status. Sicherheitsverfahren zum Regeln des Zugriffs einer ersten Kommunikationseinrichtung über ein Kommunikationsnetzwerk auf eine zweite Kommunikationseinrichtung, wobei der Zugriff ansprechend auf ein Steuersignal geregelt wird.Security method for controlling the access of a first communication device via a communication network to a second communication device, wherein the access is responsive is controlled to a control signal. Kommunikationsverfahren mit einem Steuerverfahren gemäß Anspruch 11 und einem Sicherheitsverfahren gemäß Anspruch 12.Communication method with a tax procedure according to claim 11 and A security method according to claim 12. Computer-Programm zum Ausführen eines der Verfahren gemäß einem der Ansprüche 11 bis 13, wenn das Computer-Programm auf einem Computer abläuft.Computer program for performing one of the methods according to one the claims 11 to 13 when the computer program runs on a computer.
DE200610042953 2006-09-13 2006-09-13 Control device for e.g. virtual private network gateway, has safety device connected between communication devices to control access of communication devices over communication network based on control signal Ceased DE102006042953A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200610042953 DE102006042953A1 (en) 2006-09-13 2006-09-13 Control device for e.g. virtual private network gateway, has safety device connected between communication devices to control access of communication devices over communication network based on control signal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200610042953 DE102006042953A1 (en) 2006-09-13 2006-09-13 Control device for e.g. virtual private network gateway, has safety device connected between communication devices to control access of communication devices over communication network based on control signal

Publications (1)

Publication Number Publication Date
DE102006042953A1 true DE102006042953A1 (en) 2008-03-27

Family

ID=39104681

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200610042953 Ceased DE102006042953A1 (en) 2006-09-13 2006-09-13 Control device for e.g. virtual private network gateway, has safety device connected between communication devices to control access of communication devices over communication network based on control signal

Country Status (1)

Country Link
DE (1) DE102006042953A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001069907A1 (en) * 2000-03-14 2001-09-20 Telefonaktiebolaget Lm Ericsson (Publ) Cost control in a telecommunications system
DE10132648A1 (en) * 2001-07-05 2003-01-16 Indevis It Consulting And Solu Authentication of access to a data processing network, especially an Internet based network, whereby authentication is provided that allows encrypted Internet querying
US20050005129A1 (en) * 2003-07-01 2005-01-06 Oliphant Brett M. Policy-protection proxy

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001069907A1 (en) * 2000-03-14 2001-09-20 Telefonaktiebolaget Lm Ericsson (Publ) Cost control in a telecommunications system
DE10132648A1 (en) * 2001-07-05 2003-01-16 Indevis It Consulting And Solu Authentication of access to a data processing network, especially an Internet based network, whereby authentication is provided that allows encrypted Internet querying
US20050005129A1 (en) * 2003-07-01 2005-01-06 Oliphant Brett M. Policy-protection proxy

Similar Documents

Publication Publication Date Title
EP1715395B1 (en) System for secure remote access
DE102016124383B4 (en) Computer system architecture and computer network infrastructure comprising a plurality of such computer system architectures
DE602004005461T2 (en) Mobile authentication for network access
EP2250598B1 (en) Client/server system for communicating according to the standard protocol opc ua and having single sign-on mechanisms for authenticating, and method for performing single sign-on in such a system
DE112020000538T5 (en) FINE-GRAINED TOKEN-BASED ACCESS CONTROL
DE102007012749A1 (en) Method and system for providing services to terminals
DE102007025162A1 (en) Alarm-controlled access control in a corporate network
EP1417820B1 (en) Method and computer system for securing communication in networks
EP3970337A1 (en) Method for selectively configuring a container, and network arrangement
WO2008022606A1 (en) Method for authentication in an automation system
EP2304558B1 (en) System and method for remote communication between a central computer and a machine controller
WO2013017394A1 (en) Access control for data or applications of a network
EP3151503B1 (en) Method and system for authenticating a surrounding web application with an embedded web application
EP3191902A1 (en) Method for accessing functions of an embedded device
DE102014101835A1 (en) Method for communication between secure computer systems and computer network infrastructure
DE102006042953A1 (en) Control device for e.g. virtual private network gateway, has safety device connected between communication devices to control access of communication devices over communication network based on control signal
WO2008006889A2 (en) Method and arrangement for creating networks for accessing a public network
DE10319365A1 (en) Computer system for a vehicle and method for controlling the data traffic in such a computer system
DE102019114541A1 (en) FRAMEWORK FOR EXTENDED NETWORK ACCESS CONTROL (eNAC)
EP2436166B1 (en) Service interface
DE10146397B4 (en) Method, computer program, data carrier and data processing device for configuring a firewall or a router
DE102018131124B4 (en) Router with registration functionality and suitable access control procedure
BE1026835B1 (en) Router with registration functionality and suitable access control procedure
WO2023156285A1 (en) Zero trust security for an operational technology network transport protocol
DE19645006A1 (en) Data communication system between computers

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection