DE102014114432A1 - A method, apparatus and computer program for controlling access to a service within a network - Google Patents
A method, apparatus and computer program for controlling access to a service within a network Download PDFInfo
- Publication number
- DE102014114432A1 DE102014114432A1 DE102014114432.5A DE102014114432A DE102014114432A1 DE 102014114432 A1 DE102014114432 A1 DE 102014114432A1 DE 102014114432 A DE102014114432 A DE 102014114432A DE 102014114432 A1 DE102014114432 A1 DE 102014114432A1
- Authority
- DE
- Germany
- Prior art keywords
- service
- record
- user
- access
- authorized user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Ausführungsbeispiele beziehen sich auf ein Verfahren zum Kontrollieren eines Zugriffs auf einen Service (100) innerhalb eines Netzwerkes, umfassend ein Empfangen (110) eines Datensatzes (200), der eine Berechtigung anzeigt, auf zumindest einen Service zuzugreifen, sowie ein Identifizieren eines berechtigten Benutzers (120), für den der Datensatz (200) erstellt wurde. Es wird überprüft (130), ob der Datensatz (200) ausgehend von dem berechtigten Benutzer empfangen wurde. Ein Gewähren des Zugriffs auf den Service (140) erfolgt, wenn der Datensatz ausgehend von dem berechtigten Benutzer empfangen wurde.Embodiments relate to a method for controlling access to a service (100) within a network, comprising receiving (110) a record (200) indicating authorization to access at least one service, and identifying an authorized user (100); 120) for which the record (200) was created. It is checked (130) whether the record (200) was received from the authorized user. Granting access to the service (140) occurs when the record has been received from the authorized user.
Description
Technisches Gebiet Technical area
Ausführungsbeispiele der vorliegenden Erfindung beziehen sich auf ein Verfahren zum Kontrollieren eines Zugriffs auf einen Service innerhalb eines Netzwerkes und auf ein Verfahren zum Zugreifen auf einen Service in einem Netzwerk. Embodiments of the present invention relate to a method of controlling access to a service within a network and to a method of accessing a service in a network.
Hintergrund background
Innerhalb eines Netzwerkes von Computern oder digitalen Geräten werden häufig unterschiedliche Services bzw. Funktionalitäten von mehreren Benutzern oder Clients gleichzeitig oder konkurrierend genutzt. Beispiele für solche Services oder Dienste sind der Zugriff auf Speicher, der Zugriff auf Drucker, Zugriff auf einen SMTP-Service oder dergleichen. Beispiele für Protokolle, über die ein Zugriff auf solche Services abgewickelt wird, sind Server Message Block (SMB) oder Common Internet File System (CIFS). Um einen von einem Host-Rechner oder allgemein von einer anderen Identität im Netzwerk angebotenen Service nutzen zu können, ist es meist erforderlich, dass sich der Benutzer gegenüber dem Anbieter des Service authentifiziert bzw. als zur Nutzung des Service berechtigt ausweist. Eine bekannte Möglichkeit der Authentifizierung bzw. des Nachweises der Berechtigung ist die Eingabe eines Benutzernamens und eines dazugehörigen Passworts, so dass der Anbieter des Service prüfen kann, ob das eingegebene Passwort zu dem im Netzwerk für den Benutzernamen hinterlegten Passwort passt, um dann den Zugriff auf den angebotenen Service zu gewähren. Within a network of computers or digital devices, different services or functionalities are often used concurrently or concurrently by multiple users or clients. Examples of such services include access to memory, access to printers, access to an SMTP service, or the like. Examples of protocols used to access such services are Server Message Block (SMB) or Common Internet File System (CIFS). In order to be able to use a service offered by a host computer or in general by another identity in the network, it is usually necessary for the user to be authenticated to the provider of the service or to be authorized to use the service. A well-known possibility of authentication or proof of authorization is the input of a user name and a corresponding password, so that the provider of the service can check whether the entered password matches the password stored in the network for the password, then access to grant the offered service.
Um nicht bei jedem Dateizugriff bzw. bei jedem Druckauftrag eine derartige zeitaufwendige Benutzerauthentifizierung durchführen zu müssen, haben sich Single-Sign-On-Authentifizierungsverfahren (SSO) etabliert, bei denen ein Benutzer lediglich einmal den Authentifizierungsmechanismus durchlaufen muss, wohingegen nachfolgende Authentifizierungen gegenüber den Services im Netzwerk automatisch erfolgen und dabei auf Datensätzen basieren, die eine Berechtigung des Benutzers anzeigen, auf zumindest einen Service zuzugreifen. Bei SSO-Verfahren authentifiziert sich ein Client oder Benutzer zunächst gegenüber einem SSO-Authentifizierungsdienst, der weiterhin als SAS bezeichnet wird. Die Authentifizierung gegenüber dem SAS kann durch verschiedene Authentifizierungsverfahren erfolgen, beispielsweise durch die bereits genannte Kombination aus Benutzernamen und Passwort, mittels einer Smartcard, oder über andere Authentifizierungsverfahren. Nach einer erfolgreichen Authentifizierung (im Folgenden auch als SAS AuthN bezeichnet), steht dem Client ein Authentifizierungstoken für die im Netzwerk verfügbaren Services zur Verfügung. Dieses wird folgend auch als Service-Authentifizierungs-Token (SAT) bezeichnet. Allgemein kann ein Service-Authentifizierungs-Token als ein Datensatz bezeichnet werden, das eine Berechtigung anzeigt, auf zumindest einen Service zuzugreifen. Die konkrete Information, die in dem Datensatz enthalten ist, kann sich unterscheiden. Bei einigen Authentifizierungsverfahren, wie beispielsweise LAN Manager (LM) LM oder NT LAN Manager (NTLM) enthalten die Datensätze einen Hash-Wert oder einen von dem Hash-Wert abgeleitete Information. Der Hash-Wert wird aus einem bei der Anmeldung eingegebenen Passwort oder aus Zufallszahlen erzeugt. In order not to have to perform such time-consuming user authentication with every file access or every print job, single sign-on authentication methods (SSO) have become established, in which a user only has to go through the authentication mechanism once, whereas subsequent authentications to the services in the Network automatically, based on records that indicate a user's permission to access at least one service. In SSO procedures, a client or user first authenticates to an SSO authentication service, which is still referred to as SAS. The authentication with respect to the SAS can be carried out by various authentication methods, for example by the already mentioned combination of user name and password, by means of a smart card, or by other authentication methods. After a successful authentication (also referred to as SAS AuthN in the following), the client has an authentication token available for the services available on the network. This is also referred to below as a service authentication token (SAT). In general, a service authentication token may be referred to as a record indicating an authorization to access at least one service. The specific information contained in the record may differ. In some authentication methods, such as LAN Manager (LM) LM or NT LAN Manager (NTLM), the records contain a hash value or information derived from the hash value. The hash value is generated from a password entered during login or from random numbers.
Andere Verfahren, wie beispielsweise Kerberos, können auf einem Datensatz basieren, dessen Inhalt verschlüsselt ist. Bei Kerberos umfasst beispielsweise ein Ticket-Granting-Ticket (TGT) genannter Datensatz, der verwendet wird, um sogenannte Service-Tickets zum Nutzen eines Services im Netzwerk zu erhalten, beispielsweise einen Sitzungsschlüssel zur verschlüsselten Kommunikation mit einem autorisierenden Server sowie die User-ID desjenigen Benutzers, der die Berechtigung zum Nutzen von Services im Netzwerk besitzt. Bei Kerberos ist die Information innerhalb des Datensatzes ferner mit dem Schlüssel des autorisierenden Servers, des sogenannten Key Distribution Centers (KDC), verschlüsselt. Other techniques, such as Kerberos, may be based on a record whose contents are encrypted. In the case of Kerberos, for example, a ticket granting ticket (TGT) comprises a record used to obtain so-called service tickets for the benefit of a service on the network, such as a session key for encrypted communication with an authoritative server and the user ID of the same A user who has the authority to use services on the network. With Kerberos, the information within the record is further encrypted with the key of the authoritative server, the so-called Key Distribution Center (KDC).
Unabhängig von der konkreten Art der in dem Datensatz, der eine Berechtigung anzeigt, auf zumindest einen Service zuzugreifen, enthaltenen Information, ist der Client bzw. Benutzer nach der erfolgreichen Erstauthentifizierung (SAS AuthN) im Besitz eines Datensatzes bzw. Service-Authentifizierungs-Tokens, der den Zugriff auf die im Netzwerk verfügbaren Services ermöglicht. Der Datensatz wird in den nachfolgenden Abschnitten synonym auch mit Service-Authentifizierungs-Token (SAT) bezeichnet. Bei vielen Single-Sign-On-Verfahren ist der Datensatz bzw. der SAT, also der Zugriff auf den Service, nicht abgesichert. Wird dieser Datensatz von einem potentiellen Angreifer entwendet, kann er daher verwendet werden, um sich an Services bzw. deren bereitstellenden Servern innerhalb des Netzwerks unbefugt anzumelden, indem er sich durch die Verwendung des fremden Datensatzes die Rechte eines anderen tatsächlich berechtigten Benutzers verschafft. Wenngleich die konkrete Art eines möglichen Angriffs sich für die einzelnen verwendeten Protokolle unterscheiden mag, basiert die Berechtigung zur Nutzung eines Services oder Dienstes meist lediglich auf dem erzeugten Datensatz bzw. dem SAT, so dass sich ein Benutzer durch dessen Entwendung Zugriff auf Berechtigungen verschaffen kann, die diesem eigentlich nicht zustehen. Regardless of the specific nature of the information contained in the record indicating authorization to access at least one service, the client or user is in possession of a record or service authentication token after successful initial authentication (SAS AuthN), which provides access to the services available on the network. In the following sections, the data record is also synonymously called Service Authentication Token (SAT). In many single-sign-on methods, the data set or the SAT, ie the access to the service, is not secured. Therefore, if this record is stolen by a potential attacker, it may be used to unauthorized log on to services or their providing servers within the network by obtaining the rights of another actually authorized user by using the foreign record. Although the specific nature of a possible attack may differ for the particular protocols used, the privilege to use a service or service is usually based only on the generated record or the SAT so that a user can gain access to permissions by stealing it. who are not entitled to this.
Die Anfälligkeit für derartige Angriffe ist unabhängig von der Sicherheit des ersten Authentifizierungsverfahrens, da auch nach einem besonders sicheren Verfahren beim Single-Sign-On ein Datensatz verwendet wird, um sich für weitere Services zu qualifizieren. Eine Zwei-Faktor-Authentifizierung, bei der beispielsweise Nutzername und Passwort sowie das Vorhandensein einer zusätzlichen Smartcard erforderlich ist, um sich zum ersten Mal zu authentifizieren (gegenüber dem SSO-Authentifizierungsdienst SAS) verringert also beispielsweise nicht dieses Sicherheitsrisiko. Beispielsweise kann also ein Nutzer, der sich bei der Erstauthentifizierung gegenüber dem SAS mit gültigen eigenen Benutzerdaten authentifiziert, danach basierend auf einem fremden Datensatz Services unter anderer Benutzerkennung benutzen bzw. sich so Zugang zu Services verschaffen, für die er über keine Berechtigung verfügt. Die Authentifizierungsdaten bei der Erstauthentifizierung und der darauf folgenden Authentifizierung gegenüber Services sind insoweit voneinander unabhängig. Die Service Authentifizierung setzt nicht einmal eine Erstauthentifizierung voraus, sofern ein Nutzer mit dem Netzwerk bereits verbunden ist. Somit könnte beispielsweise auch ein Angriff zunächst mit gestohlenen Erstauthentifizierungsdaten erfolgen, mit dem sich generell Zugriff zum Netzwerk verschafft wird. Die darauffolgenden Services könnten dann basierend auf den Datensätzen, die zu einem wiederum anderen Benutzer gehören, verwendet werden, um die Services mit der Berechtigung eines anderen Benutzers zu benutzen. Mit anderen Worten kann das Single-Sign-On mit einer anderen (gestohlenen) Identität durchgeführt werden, wie die Benutzung der Services im Anschluss an das Single-Sign-On, die mit der Berechtigung einer weiteren (gestohlenen) Identität genutzt werden könnten. Einige verwendete Betriebssysteme für Computer weisen diese Angriffsmöglichkeit seit vielen Jahren auf, die unter anderem als „Pass-The-Hash“-Angriff und als „Pass-The-Ticket“-Angriff bekannt sind. Susceptibility to such attacks is independent of the security of the first Authentication method, as even after a particularly secure procedure for single sign-on a record is used to qualify for other services. For example, two-factor authentication, which requires username and password, for example, and the presence of an additional smart card to authenticate for the first time (to the SSO authentication service SAS), does not reduce this security risk. Thus, for example, a user who authenticates with valid user-defined user data during the initial authentication with respect to the SAS can then use services under another user identifier based on a foreign data record or gain access to services for which he has no authorization. The authentication data for the initial authentication and the subsequent authentication to services are independent of each other. Service authentication does not even require initial authentication if a user is already connected to the network. Thus, for example, an attack could first be done with stolen first authentication data, which generally provides access to the network. The subsequent services could then be used based on the records owned by another user to use the services with the permission of another user. In other words, the single sign-on can be performed with a different (stolen) identity, such as the use of the services following the single sign-on, which could be used with the authority of another (stolen) identity. Some computer operating systems that have been used for many years have known this type of attack, known inter alia as a "pass-the-hash" attack and as a "pass-the-ticket" attack.
Es besteht somit ein Bedürfnis, die Kontrolle des Zugriffs auf einen Service innerhalb eines Netzwerkes zu verbessern. There is thus a need to improve the control of access to a service within a network.
Zusammenfassung Summary
Ausführungsbeispiele eines Verfahrens zum Kontrollieren eines Zugriffs auf einen Service innerhalb eines Netzwerks ermöglichen dies, indem, wenn ein Datensatz empfangen wird, der eine Berechtigung anzeigt, auf zumindest einen Service zuzugreifen, der berechtigte Benutzer identifiziert wird, für den der Datensatz erstellt wurde. Ferner wird überprüft, ob der Datensatz ausgehend von dem berechtigten Benutzer empfangen wurde oder ob dies nicht der Fall war. Ein Zugriff auf den Service wird nur dann gewährt oder ermöglicht, wenn der Datensatz ausgehend von dem berechtigten Benutzer empfangen wurde. Dies ermöglicht es, zu verhindern, dass nicht berechtigte Benutzer, die unberechtigt im Besitzt des Datensatzes gelangt sind, Services in fremden Namen nutzen können, was wiederum die oben beschriebene Sicherheitslücke schließt. Der Zugriff auf den Service wird verhindert, wenn der Datensatz nicht ausgehend von dem berechtigten Benutzer empfangen wurde. Embodiments of a method for controlling access to a service within a network by enabling, when receiving a record indicating a privilege to access at least one service, identifying the authorized user for whom the record was created are enabled. It is also checked whether the data record was received from the authorized user or if this was not the case. Access to the service is granted or permitted only if the record was received from the authorized user. This makes it possible to prevent unauthorized users, who have been unauthorized in the possession of the record, to use services in a foreign name, which in turn closes the vulnerability described above. Access to the service is prevented if the record was not received from the authorized user.
Benutzer oder Clients innerhalb eines Netzwerkes erlangen durch Ausführungsbeispiele der vorliegenden Erfindung Zugriff auf einen Service innerhalb des Netzwerkes, indem diese zunächst einen Datensatz übermitteln, das für einen berechtigten Benutzer eine Berechtigung anzeigt, auf zumindest einen Service zuzugreifen. Im Falle eines berechtigten Zugriffs haben diese Benutzer den Datensatz bei einer ersten Authentifizierung selbst erhalten. Im Falle eines unberechtigten Zugriffs haben diese Benutzer den Datensatz bei einer ersten Authentifizierung selbst erzeugt. Weiterhin empfangen die Benutzer eine Aufforderung, eine die Identität des Benutzers anzeigende Antwort zu erstellen und übermitteln die dazugehörige Antwort, die die Identität des Benutzers anzeigt, um, bei korrekt beantworteter Aufforderung Zugriff auf den Service zu erhalten. Users or clients within a network gain access to a service within the network by embodiments of the present invention by first communicating a record indicating authorization for an authorized user to access at least one service. In the case of authorized access, these users have themselves received the record on the first authentication. In the event of unauthorized access, these users have created the record themselves upon initial authentication. Furthermore, the users receive a request to create a response indicating the identity of the user and transmit the associated response indicating the identity of the user to gain access to the service upon a correctly answered prompt.
Figurenkurzbeschreibung Brief Description
Ausführungsbeispiele werden nachfolgend bezugnehmend auf die beiliegenden Figuren näher erläutert. Es zeigen:Embodiments are explained below with reference to the accompanying figures. Show it:
Beschreibung description
Verschiedene Ausführungsbeispiele werden nun ausführlicher unter Bezugnahme auf die beiliegenden Zeichnungen beschrieben, in denen einige Ausführungsbeispiele dargestellt sind. In den Figuren können die Dickenabmessungen von Linien, Schichten und/oder Regionen um der Deutlichkeit Willen übertrieben dargestellt sein. Various embodiments will now be described in more detail with reference to the accompanying drawings, in which some embodiments are illustrated. In the figures, the thickness dimensions of lines, layers and / or regions may be exaggerated for the sake of clarity.
Bei der nachfolgenden Beschreibung der beigefügten Figuren, die lediglich einige exemplarische Ausführungsbeispiele zeigen, können gleiche Bezugszeichen gleiche oder vergleichbare Komponenten bezeichnen. Ferner können zusammenfassende Bezugszeichen für Komponenten und Objekte verwendet werden, die mehrfach in einem Ausführungsbeispiel oder in einer Zeichnung auftreten, jedoch hinsichtlich eines oder mehrerer Merkmale gemeinsam beschrieben werden. Komponenten oder Objekte, die mit gleichen oder zusammenfassenden Bezugszeichen beschrieben werden, können hinsichtlich einzelner, mehrerer oder aller Merkmale, beispielsweise ihrer Dimensionierungen, gleich, jedoch gegebenenfalls auch unterschiedlich ausgeführt sein, sofern sich aus der Beschreibung nicht etwas anderes explizit oder implizit ergibt. In the following description of the attached figures, which show only some exemplary embodiments, like reference characters may designate the same or similar components. Further, summary reference numerals may be used for components and objects that occur multiple times in one embodiment or in a drawing but are described together in terms of one or more features. Components or objects which are described by the same or by the same reference numerals may be the same, but possibly also different, in terms of individual, several or all features, for example their dimensions, unless otherwise explicitly or implicitly stated in the description.
Obwohl Ausführungsbeispiele auf verschiedene Weise modifiziert und abgeändert werden können, sind Ausführungsbeispiele in den Figuren als Beispiele dargestellt und werden hierin ausführlich beschrieben. Es sei jedoch klargestellt, dass nicht beabsichtigt ist, Ausführungsbeispiele auf die jeweils offenbarten Formen zu beschränken, sondern dass Ausführungsbeispiele vielmehr sämtliche funktionale und/oder strukturelle Modifikationen, Äquivalente und Alternativen, die im Bereich der Erfindung liegen, abdecken sollen. Gleiche Bezugszeichen bezeichnen in der gesamten Figurenbeschreibung gleiche oder ähnliche Elemente. Although embodiments may be modified and changed in various ways, exemplary embodiments are illustrated in the figures as examples and will be described in detail herein. It should be understood, however, that it is not intended to limit embodiments to the particular forms disclosed, but that embodiments are intended to cover all functional and / or structural modifications, equivalents and alternatives that are within the scope of the invention. Like reference numerals designate like or similar elements throughout the description of the figures.
Man beachte, dass ein Element, das als mit einem anderen Element „verbunden“ oder „verkoppelt“ bezeichnet wird, mit dem anderen Element direkt verbunden oder verkoppelt sein kann oder dass dazwischenliegende Elemente vorhanden sein können. Wenn ein Element dagegen als „direkt verbunden“ oder „direkt verkoppelt“ mit einem anderen Element bezeichnet wird, sind keine dazwischenliegenden Elemente vorhanden. Andere Begriffe, die verwendet werden, um die Beziehung zwischen Elementen zu beschreiben, sollten auf ähnliche Weise interpretiert werden (z.B., „zwischen“ gegenüber „direkt dazwischen“, „angrenzend“ gegenüber „direkt angrenzend“ usw.). Note that an element referred to as being "connected" or "coupled" to another element may be directly connected or coupled to the other element, or intervening elements may be present. Conversely, when an element is referred to as being "directly connected" or "directly coupled" to another element, there are no intervening elements. Other terms used to describe the relationship between elements should be interpreted in a similar manner (e.g., "between" versus "directly in between," "adjacent" versus "directly adjacent," etc.).
Die Terminologie, die hierin verwendet wird, dient nur der Beschreibung bestimmter Ausführungsbeispiele und soll die Ausführungsbeispiele nicht beschränken. Wie hierin verwendet, sollen die Singularformen „ einer,” „ eine”, „eines ” und „der, die, das“ auch die Pluralformen beinhalten, solange der Kontext nicht eindeutig etwas anderes angibt. Ferner sei klargestellt, dass die Ausdrücke wie z.B. „beinhaltet“, „beinhaltend“, aufweist“ und/oder „aufweisend“, wie hierin verwendet, das Vorhandensein von genannten Merkmalen, ganzen Zahlen, Schritten, Arbeitsabläufen, Elementen und/oder Komponenten angeben, aber das Vorhandensein oder die Hinzufügung von einem bzw. einer oder mehreren Merkmalen, ganzen Zahlen, Schritten, Arbeitsabläufen, Elementen, Komponenten und/oder Gruppen davon nicht ausschließen. The terminology used herein is for the purpose of describing particular embodiments only and is not intended to limit the embodiments. As used herein, the singular forms "a," "a," "an," and "the" are also meant to include the plural forms unless the context clearly indicates otherwise. Furthermore, it should be understood that the terms such as e.g. "Including," "including," "having," and / or "having," as used herein, indicates the presence of said features, integers, steps, operations, elements, and / or components, but the presence or addition of a resp one or more features, integers, steps, operations, elements, components, and / or groups thereof.
Solange nichts anderes definiert ist, haben sämtliche hierin verwendeten Begriffe (einschließlich von technischen und wissenschaftlichen Begriffen) die gleiche Bedeutung, die ihnen ein Durchschnittsfachmann auf dem Gebiet, zu dem die Ausführungsbeispiele gehören, beimisst. Ferner sei klargestellt, dass Ausdrücke, z.B. diejenigen, die in allgemein verwendeten Wörterbüchern definiert sind, so zu interpretieren sind, als hätten sie die Bedeutung, die mit ihrer Bedeutung im Kontext der einschlägigen Technik konsistent ist, und nicht in einem idealisierten oder übermäßig formalen Sinn zu interpretieren sind, solange dies hierin nicht ausdrücklich definiert ist. Unless defined otherwise, all terms (including technical and scientific terms) used herein have the same meaning as commonly assigned to one of ordinary skill in the art to which the embodiments pertain. Further, it should be understood that terms, e.g. those that are defined in commonly used dictionaries are to be interpreted as having the meaning consistent with their meaning in the context of the relevant art, and not to be interpreted in an idealized or overly formal sense, unless this is so is explicitly defined.
Gemäß einigen Ausführungsbeispielen wird bei dem Identifizieren eines berechtigten Benutzers eine Information, die den berechtigten Nutzer identifiziert, aus dem Datensatz selbst extrahiert. Dabei kann die Information, beispielsweise bei der Verwendung des NTLM Security Support Provider (NTLMSSP) oder des Kerberos-Protokolls, aus der Benutzerkennung (User-ID bzw. UID) selbst bestehen, die beispielsweise innerhalb eines TGT oder eines NTLMSSP Datensatzes gespeichert ist. Gemäß weiteren Ausführungsbeispielen muss es sich jedoch nicht um die Benutzerkennung handeln. Vielmehr können beliebige Informationen verwendet bzw. extrahiert werden, die eine eindeutige Zuordnung zu einem bestimmten Nutzer bzw. Client erlauben. Dabei kann die Information, die den berechtigten Nutzer identifiziert, auch aus Teilen des Datenprotokolls gewonnen werden, mit denen der Datensatz gesendet wird, beispielsweise aus Header-Informationen eines Transportprotokolls oder dergleichen. Die Information, die den berechtigten Nutzer identifiziert kann auch beliebigen anderen Metadaten gewonnen werden, beispielsweise einer Session ID oder einer IP Adresse. Gemäß einigen Ausführungsbeispielen wird zum Zweck der Identifizierung des berechtigten Benutzers der Datensatz mit einer Liste gespeicherter Datensätze verglichen, die eine Zuordnung der ursprünglich bei der Authentifizierung erzeugten Datensätze zu den sich authentifizierenden Benutzern umfasst. Der empfangene Datensatz könnte beispielsweise bitweise mit den Datensätzen der Liste verglichen werden, um bei einer Übereinstimmung den dem Datensatz in der Liste zugeordneten Benutzer als den berechtigen Benutzer zu identifizieren. According to some embodiments, in identifying an authorized user, information identifying the authorized user is extracted from the data set itself. The information, for example when using the NTLM Security Support Provider (NTLMSSP) or the Kerberos protocol, can consist of the user ID (user ID or UID) itself, which is stored, for example, within a TGT or an NTLMSSP data record. However, according to further embodiments, it does not have to be the user ID. Rather, any information can be used or extracted that allow a clear assignment to a specific user or client. In this case, the information which identifies the authorized user can also be obtained from parts of the data protocol with which the data record is sent, for example from header information of a transport protocol or the like. The information that identifies the authorized user can also be obtained from any other metadata, for example a session ID or an IP address. According to some embodiments, for the purpose of identifying the authorized user, the record is compared to a list of stored records that includes an association of the records originally created during the authentication with the authenticating users. For example, the received record could be bit-wise compared to the records of the list to identify, in a match, the user associated with the record in the list as the entitled user.
Wenn eine Information extrahiert bzw. erhalten ist, die eindeutig einem Benutzer bzw. einem Client zugeordnet werden kann, kann überprüft werden, ob der empfangene Datensatz tatsächlich von dem berechtigten Benutzer empfangen wurde oder möglicherweise von einem anderen Benutzer. Ein Benutzer in dem hierin verwendeten Sinne ist nicht notwendigerweise eine natürliche Person. Vielmehr ist als Benutzer jedwede Identität zu verstehen, die in der Lage ist, einen bestimmten Service zu nutzen, beispielsweise auch ein anderer Service. Ein Benutzer kann also einer natürlichen Person entsprechen, aber auch anderen Identitäten im Netzwerk, beispielsweise anderen Rechnern bzw. Clients oder Maschinen, oder aber auch Software-Modulen, die eine eigene, eine Identität definierende Funktionalität bereitstellen. Demgemäß ist als ein Netzwerk auch eine Ansammlung von Benutzern zu verstehen, die die Möglichkeit haben, innerhalb des Netzwerks miteinander zu kommunizieren. Dabei ist es unerheblich, wie die Kommunikation physikalisch erfolgt, diese kann beispielsweise schnurgebunden oder Drahtlos erfolgen, je nach Implementierung auch parallel. Auch die Art der verwendeten Kommunikationsprotokolle ist beliebig. Ebenso können beliebige Protokolle auf unterschiedlichen Ebenen des Protokoll-Stack Verwendung finden. Die unterschiedlichen Identitäten bzw. Benutzer oder Prozesse innerhalb eines Netzwerkes können unterschiedlichen oder auch derselben Hardware zugeordnet sein bzw. auf derselben Hardware ausgeführt werden, unter anderem auch auf demselben Prozessor. Ein Beispiel für ein Netzwerk ist die Gesamtheit der innerhalb einer gemeinsamen Domäne kommunizierenden Geräte, Services und Benutzer. Ebenso kann ein Datensatz jedwede Menge von Information in beliebiger Repräsentation sein, die es ermöglicht, eine Berechtigung anzuzeigen, auf einen Service zuzugreifen. Ein Datensatz kann somit unterschiedlichste logische Inhalte haben, in unterschiedlichen Repräsentierungen, beispielsweise als Binärcode oder als Hexadezimalcode. Ein Datensatz kann einem Datenpaket, das über das Netzwerk übertragen wird, entsprechen, oder auch nur einem Teil eines solche Datenpakets. Ferner kann der Datensatz auch mittels mehrerer Datenpakete innerhalb des Netzwerks übertragen werden. Der Datensatz kann aufgrund einer erfolgreichen vorhergehenden Authentifizierung eines Benutzers erstellt worden sein. Der Datensatz kann dazu geeignet sein, einem Benutzer ohne eine weitere Benutzerinteraktion Zugriff auf einen Service zu verschaffen. When extracting information that can be uniquely assigned to a user or a client, it can be checked whether the received record was actually received by the authorized user or possibly by another user. A user as used herein is not necessarily a natural person. Rather, the user is any identity that is able to use a particular service, such as another service. A user can thus correspond to a natural person, but also to other identities in the network, for example other computers or clients or machines, or even software modules that provide their own identity-defining functionality. Accordingly, a network is also to be understood as an aggregation of users who have the possibility of communicating with one another within the network. It is irrelevant how the communication is physically, this can be done, for example, corded or wireless, depending on the implementation also in parallel. The type of communication protocols used is arbitrary. Likewise, arbitrary protocols can be used at different levels of the protocol stack. The different identities or users or processes within a network can be assigned to different or even the same hardware or executed on the same hardware, including on the same processor. An example of a network is the entirety of the devices, services, and users that are communicating within a common domain. Likewise, a record may be any amount of information in any representation that allows a permission to access a service. A data record can thus have a very wide variety of logical contents, in different representations, for example as a binary code or as a hexadecimal code. A record may correspond to a data packet transmitted over the network, or even only part of such a data packet. Furthermore, the data record can also be transmitted by means of several data packets within the network. The record may have been created due to a successful previous authentication of a user. The record may be adapted to provide access to a service to a user without further user interaction.
In den nachfolgend beschriebenen Ausführungsbeispielen wird der Einfachheit halber überwiegend davon ausgegangen, dass es sich bei dem Benutzer um eine natürliche Person handelt, ohne dass dadurch die Anwendung von weiteren Ausführungsbeispielen der Erfindung auf andere Identitäten eingeschränkt werden soll. In the exemplary embodiments described below, for the sake of simplicity, it is predominantly assumed that the user is a natural person, without thereby restricting the application of further exemplary embodiments of the invention to other identities.
Gemäß einigen Ausführungsbeispielen umfasst das Überprüfen, ob der Datensatz von dem berechtigten Benutzer empfangen wurde, ein Übermitteln einer Aufforderung an einen sendenden Benutzer, von dem der Datensatz empfangen wurde, seine Identität zu bestätigen. Das heißt, nachdem oder bevor der berechtigte Benutzer, für den der Datensatz erstellt wurde, identifiziert wurde, wird der sendende Benutzer, von dem der Datensatz empfangen wurde, aufgefordert, durch einen beliebigen Mechanismus seine Identität zu bestätigen, beispielsweise indem dieser eine erneute Authentifizierung durchführt. Sofern die Identität des sendenden Benutzers und die Identität des berechtigten Benutzers übereinstimmen, kann daraus geschlossen werden, dass der Datensatz von dem berechtigten Benutzer empfangen wurde. In some embodiments, verifying that the record has been received from the authorized user includes transmitting a request to a sending user from which the record was received to confirm its identity. That is, after or before the authorized user for whom the record was created has been identified, the sending user from which the record was received is requested to confirm its identity by any mechanism, for example by performing a re-authentication , If the identity of the sending user and the identity of the authorized user match, it can be concluded that the record was received from the authorized user.
Die Implementierung, gemäß der der sendende Benutzer seine Identität bestätigt, kann dabei frei gewählt werden. Beispielsweise kann ein Challenge-Response-Verfahren angewendet werden, bei dem an den sendenden Benutzer eine Aufgabe gestellt und an diesem übertragen wird, deren Lösung von einer die Benutzer innerhalb des Netzwerks eindeutig identifizierenden bzw. kennzeichnenden Information abhängt. Der sendende Benutzer löst die Aufgabe und die Lösung der Aufgabe wird von dem sendenden Benutzer empfangen. Stimmt die empfangene Lösung mit einer Kontrolllösung überein oder korrespondiert zu dieser, welche unter Verwendung der den berechtigten Benutzer identifizierenden Information bestimmt wurde, kann es als bestätigt gelten, dass der Datensatz ausgehend von dem berechtigten Benutzer empfangen wurde und folglich ein Zugriff auf den Service zu gewähren ist. Ein Beispiel für eine zu lösende Aufgaben durch den sendenden Benutzer wären beispielsweise das Signieren einer Zufallszahl mit der User-ID des sendenden Benutzers oder einer anderen, den sendenden Benutzer eindeutig identifizierenden Information. Wird als Kontrolllösung dieselbe Zufallszahl mit der extrahierten User-ID des berechtigten Benutzers verifiziert oder signiert und stimmen beide Lösungen überein, ist verifiziert, dass der sendende Benutzer der tatsächlich berechtigte Benutzer des Datensatzes ist. Gemäß anderen Ausführungsbeispielen kann sich die Information, die vom sendenden Benutzer zur Lösung der Aufgabe verwendet wird, von derjenigen Information, die als die den berechtigten Benutzer identifizierende Information extrahiert wurde, unterscheiden. Das heißt, die Aufgabe kann beispielsweise mittels eines anderen Merkmals gelöst werden, als das extrahierte Merkmal aus dem Datensatz, solange das extrahierte Merkmal und das zur Lösung der Aufgabe verwendete Merkmal kausal miteinander verknüpft bzw. derart korreliert sind, dass durch den Vergleich der verschiedenen Lösungen geschlossen werden kann, ob es sich bei dem sendenden Benutzer um den berechtigten Benutzer handelt. The implementation according to which the sending user confirms his identity can be chosen freely. For example, a challenge-response method can be used in which a task is submitted to and transmitted to the sending user whose solution is provided by one of the users within the network clearly identifiable or identifying information. The sending user solves the task and the solution of the task is received by the sending user. If the received solution matches or corresponds to a control solution determined using the information identifying the authorized user, it may be considered confirmed that the record has been received from the authorized user and thus provides access to the service is. An example of a task to be solved by the sending user would be, for example, the signing of a random number with the user ID of the sending user or another information uniquely identifying the sending user. If the same random number with the extracted user ID of the authorized user is verified or signed as the control solution and both solutions match, it is verified that the sending user is actually the authorized user of the data record. According to other embodiments, the information used by the sending user to solve the task may be different from the information extracted as the authorized user-identifying information. That is, the task can be solved, for example, by means of another feature, as the extracted feature from the data set, as long as the extracted feature and the feature used to solve the task are causally linked together or correlated such that by comparing the different solutions it can be concluded whether the sending user is the authorized user.
Gemäß weiteren Ausführungsbeispielen wird ohne eine weitere Interaktion mit dem sendenden Benutzer eine weitere den sendenden Benutzer identifizierende Information bestimmt werden, so dass bestätigt werden kann, dass der Datensatz ausgehend von dem berechtigten Benutzer empfangen wurde, wenn die den berechtigten Benutzer identifizierende Information und die den sendenden Benutzer identifizierende weitere Information denselben Benutzer identifizieren. Beispielsweise kann die weitere den sendenden Benutzer identifizierende Information eine IP-Adresse des Benutzers sein, oder eine Sitzungsnummer bzw. Session-ID, die einem Benutzer eindeutig zugeordnet ist, wobei die Zuordnung zwischen der weiteren Information, also der IP oder der Session-ID und dem dadurch identifizierten Benutzer von anderen Services oder Identitäten im Netzwerk erhalten werden kann, beispielsweise von einem DHCP-Server oder einem Domain-Controller. According to further embodiments, without further interaction with the sending user, further information identifying the sending user will be determined so that it can be confirmed that the record was received from the authorized user, if the information identifying the authorized user and the sending user User identifying additional information identifying the same user. For example, the further information identifying the sending user may be an IP address of the user, or a session number or session ID uniquely assigned to a user, the association between the further information, ie the IP or the session ID and the user identified thereby can be obtained from other services or identities in the network, for example from a DHCP server or a domain controller.
Wie bereits vorhergehend angesprochen, muss es sich bei der Information, die ausgelöst durch den empfangenen Datensatz gewonnen bzw. extrahiert wird und der weiteren Information, mit der diese Information verglichen wird, insoweit die beiden Informationen eindeutig miteinander korreliert sind. As already mentioned above, it must be in the information that is obtained or extracted by the received data record and the other information with which this information is compared, insofar as the two information are clearly correlated.
Gemäß einigen weiteren Ausführungsbeispielen umfasst das Überprüfen der Frage, ob der Datensatz ausgehend von dem berechtigten Benutzer empfangen wurde, das Erstellen einer verschlüsselten Verbindung mit dem Benutzer, von dem der Datensatz empfangen wurde. Die aus dem Datensatz extrahierte und den berechtigten Benutzer identifizierende Information wird mit einer weiteren einen Benutzer identifizierenden Information verglichen, welche genutzt wird, um die gesicherte verschlüsselte Verbindung herzustellen. Auch hier können unterschiedliche Arten von den Benutzer eindeutig zugeordneten Informationen verglichen werden, beispielsweise einen dem Benutzer zugeordneten Hash-Wert oder Schlüssel, der zum Aufbau der verschlüsselte Verbindung verwendet wird, sowie eine dem Benutzer zugeordnete User-ID, die aus dem Datensatz abgeleitet oder extrahiert wurde. In accordance with some other embodiments, verifying the question of whether the record was received from the authorized user comprises creating an encrypted connection with the user from which the record was received. The information extracted from the record and identifying the authorized user is compared with another user identifying information which is used to establish the secure encrypted connection. Again, different types of information uniquely associated with the user may be compared, for example, a user-assigned hash value or key used to construct the encrypted connection, and a user ID associated with the user, which may be derived or extracted from the data set has been.
Gemäß einigen Ausführungsbeispielen wird das Überprüfen, ob der Datensatz ausgehend von dem berechtigten Benutzer empfangen wurde, in vorbestimmten Zeitintervallen oder auch zufällig wiederholt. Die Zeitintervalle können, müssen jedoch nicht notwendigerweise gleich lang sein. Dies kann verhindern, dass eine die Überprüfung ermöglichende Komponente, beispielsweise eine Smartcard innerhalb eines Kartenlesers, zwischenzeitlich entfernt wurden, so dass möglicherweise nicht mehr sichergestellt ist, dass der den Service aktuell in Anspruch nehmende Benutzer tatsächlich noch der berechtigte Benutzer ist. Mit anderen Worten kann so die kontinuierliche Anwesenheit des tatsächlichen berechneten Benutzers überprüft werden. According to some embodiments, checking whether the record has been received from the authorized user is repeated at predetermined time intervals or randomly. The time intervals may or may not be the same length. This can prevent a verification-enabling component, for example a smart card within a card reader, from being removed in the meantime, so that it may no longer be possible to ensure that the user currently using the service is actually still the authorized user. In other words, the continuous presence of the actual calculated user can be checked.
Gemäß einigen Ausführungsbeispielen wird der Zugriff auf den Service nach erfolgreicher Überprüfung dadurch gewährt, dass dem Sender des Datensatzes ein weiterer Datensatz übermittelt wird, das für den berechtigten Benutzer gegenüber dem Anbieter des Service eine Berechtigung anzeigt, auf den Service zuzugreifen. Das heißt, gemäß einigen Ausführungsbeispielen wird nach erfolgreicher Authentifizierung den berechtigten Benutzer ein weiterer Datensatz übermittelt, das diesen gegenüber dem speziellen angefragten Service als berechtigt ausweist. According to some embodiments, access to the service upon successful verification is granted by transmitting to the sender of the record another record indicating to the authorized user to the service provider an authorization to access the service. That is, according to some embodiments, after successful authentication, the authorized user is sent another record that identifies this user as legitimate to the particular requested service.
Gemäß einigen Ausführungsbeispielen wird der Datenfluss zwischen dem Service und den Benutzer kontrolliert, d.h. die Daten werden nur dann an den Service weitergeleitet, wenn und solange der Sender des Datensatzes dem berechtigten Benutzer entspricht. According to some embodiments, the flow of data between the service and the user is controlled, i. the data will only be forwarded to the service if and as long as the sender of the record corresponds to the authorized user.
In anderen Implementierungen kann der Datensatz beispielsweise einen oder mehrere Hash-Werte umfassen, die von einem Benutzerpasswort abgeleitet sind, beispielsweise mittels bekannter Hash-Algorithmen, wie beispielsweise dem MD4- oder SHA-3 Algorithmus. For example, in other implementations, the record may include one or more hash values derived from a user password, for example, by known hashing algorithms, such as the MD4 or SHA-3 algorithm.
Das Verfahren umfasst das Übermitteln eines Datensatzes
Auf das Übermitteln des Datensatzes
Daraufhin findet ein Übermitteln der Antwort
Zum besseren Verständnis des Zusammenwirkens der verschiedenen Komponenten innerhalb des Netzwerks, zeigt
Die erfolgreiche Absolvierung der SAS AuthN, deren Ergebnis der Erhalt eines Datensatzes ist, der eine Berechtigung anzeigt, auf zumindest einen Service zuzugreifen, wird vorausgesetzt und ist in der folgenden Abbildung nicht dargestellt. Dabei sind den einzelnen Schritten Bezugszeichen zugeteilt. The successful completion of the SAS AuthN, the result of which is the receipt of a record indicating an authorization to access at least one service, is assumed and is not shown in the following figure. In this case, the individual steps are assigned reference numerals.
Durch die Schritte
Der CAS
Das Gewähren des Zugriffs auf den Service
Im Erfolgsfall erfolgt der Zugriff auf den Service durch den Benutzer
Der Service
Wenngleich in den vorhergehenden Ausführungsbeispielen nicht beschrieben, können weitere Ausführungsbeispiele zusätzliche Absicherungsmaßnamen umfassen, um die Sicherheit weiter zu erhöhen. Although not described in the preceding embodiments, other embodiments may include additional safeguards to further enhance security.
Gemäß einigen weiteren Ausführungsbeispielen ist auch der serverseitige CAS
Um die Datenintegrität während und nach der CAS AuthN zu gewährleisten, wird gemäß einigen Ausführungsbeispielen ein Integritätsschutz der übertragenen Daten implementiert, beispielsweise mittels des Keyed-Hash Message Authentication Code (HMAC) oder mittels des Cipher-based Message Authentication Code (CMAC). Dies verhindert die Manipulation von Daten auch nach der Anmeldung durch Man-in-the-Middle Angriffe. Mit anderen Worten wird gemäße einigen Ausführungsbeispielen zumindest eine Integrität des empfangenen Datensatzes überprüft. Es wird dadurch festgestellt, ob der empfangene Datensatz auf dem Weg von dem sendenden Benutzer
Um das Mitlesen der Nachrichten zu unterbinden wird gemäß einigen Ausführungsbeispielen der gesamten Datenverkehr des Zugriffs auf den Service verschlüsselt, beispielsweise per VPN, IPSEC oder SSL/TLS. In order to prevent reading of the messages, according to some embodiments, the entire data traffic of the access to the service is encrypted, for example by VPN, IPSEC or SSL / TLS.
Dauert eine Sitzung bzw. der Zugriff auf einen Service länger an, kann in regelmäßigen Abständen eine neue CAS AuthN angefordert werden, um so zum Beispiel zu verhindern, dass ein Token wie etwa eine Smartcard zur Authentifizierung entfernt werden kann oder nach der letzten Authentifizierung entfernt wurde. Mit anderen Worten wird eine kontinuierliche Präsenzprüfung durchgeführt und das Überprüfen, ob der Datensatz von dem berechtigten Benutzer empfangen wurde, wird in vorbestimmten Zeitintervallen wiederholt. If a session or access to a service takes longer, a new CAS AuthN can be requested periodically, for example to prevent a token, such as a smartcard, from being removed for authentication or removed after the last authentication , In other words, a continuous presence check is performed and the checking of whether the record has been received by the authorized user is repeated at predetermined time intervals.
Gemäß einigen Ausführungsbeispielen wird, anstatt einen Token durch erneute Prüfung zu verifizieren, dieser als kryptographisches Geheimnis auf einem gesicherten Speicher abgelegt, beispielsweise auf einer Smartcard. Die Prüfung kann dann durch ein asymmetrisches Verfahren erfolgen, bei dem etwa eine Signatur den Besitz des Tokens nachweist ohne dass ein Angreifer es auslesen könnte. According to some embodiments, instead of verifying a token by retesting, it is stored as a cryptographic secret on secure storage, such as a smart card. The check can then be carried out by an asymmetric method in which, for example, a signature proves possession of the token without an attacker being able to read it out.
Für die Funktionalität der Ausführungsbeispiele der Erfindung ist es nicht erforderlich, dass das Verfahren zum Kontrollieren des Zugriffs auf den Service auf einer bestimmten oder gar dedizierten Netzwerkkomponente abläuft. Während auf Seite des Benutzers eine natürliche Zuordnung gegeben ist, da dessen Verfahrensschritte auf der Identität bzw. bei dem Benutzer und dessen Client durchgeführt werden, der den Zugriff auf den Service benötigt, ergibt sich für das Verfahren zum Kontrollieren des Zugriffs eine Vielzahl von Möglichkeiten, wie und auf welchen Hardware-Komponenten bzw. Entitäten im Netzwerk dieses durchgeführt werden kann. Beispielsweise kann das Verfahren zum Kontrollieren des Zugriffs als Security-Add-On direkt auf den Servern, die auch den Dienst bzw. den Service anbieten, implementiert werden, beispielsweise als zusätzliches Software- oder Hardware-Modul. For the functionality of the embodiments of the invention, the method of controlling access to the service on a particular or even dedicated network component is not required to occur. While there is a natural association on the part of the user, since its method steps are performed on the identity or on the user and his client who needs access to the service, the method for controlling the access results in a multitude of possibilities how and on which hardware components or entities in the network this can be done. For example, the method of controlling access as a security add-on may be implemented directly on the servers that also provide the service or service, for example, as an additional software or hardware module.
Möglich ist auch eine zentralisierte Lösung, beispielsweise innerhalb einer dedizierten virtuellen Maschine, die gegebenenfalls die Anbieter von mehreren Services bzw. mehrerer Zielserver gleichzeitig schützen könnte. Alternativ könnte das Verfahren zum Kontrollieren eines Zugriffs auch als geeignetes Modul bzw. Softwarekomponente direkt auf einem Host einer Virtualisierungslösung ablaufen. It is also possible to have a centralized solution, for example within a dedicated virtual machine, which could possibly simultaneously protect the providers of several services or multiple target servers. Alternatively, the method of controlling access could also be run as a suitable module or software component directly on a host of a virtualization solution.
Als weitere Möglichkeit zeigt
Ein in
Mit anderen Worten wird bei dem in
Die wesentlichen Komponenten zum Kontrollieren eines Zugriffs auf einen Service innerhalb eines Netzwerkes sind in
Der Datensatz stammt von einem sendenden Benutzer, der dieses entweder aufgrund seiner internen Konfiguration direkt an die Vorrichtung
Ein Informationsbearbeiter
Ein Verifizierer
Eine Vorrichtung zum Kontrollieren eines Zugriffs auf einen Service
In anderen Worten können Ausführungsbeispiele der Erfindung wie folgt zusammengefasst werden. Um eine Schwachstelle der SSO Verfahren, nämlich die Wiederverwendung des (gestohlen) SAT, netzwerkseitig zu schließen (SAT Replay Protection), wird ein weiterer Schritt in die SSO Verfahren integriert werden, um den SAT des Nutzers erneut prüfen zu können. Um zu erreichen, dass das zusätzliche Authentisierungsverfahren während der SRV AuthN nicht separat umgangen werden kann, wird dieser zusätzliche Schritt mit der Identität der SRV AuthN korreliert. Dazu kann die Identität und/oder ggf. andere (zusätzliche) Parameter, z.B. die verfügbare Sitzungskennung, aus einem bestehenden Dienst oder Protokoll extrahiert werden oder in einer Datenbank (z.B. anhand der IP) nachgeschlagen werden. Basierend auf solch einer Zuordnungsvorschrift wird die Identität ausgewählt und ein zusätzlicher Nachweis vom identifizierten Nutzer angefordert. Nur wenn dieser die zusätzliche, korrelierte Anfrage auch beantworten kann, wird davon ausgegangen, dass der SAT, der während der SRV AuthN benutzt wurde, vertrauenswürdig ist und nicht etwa von einem Angreifer stammt, der diesen aktuell missbraucht. In other words, embodiments of the invention may be summarized as follows. In order to close a weak point of the SSO procedures, namely the reuse of the (stolen) SAT on the network side (SAT Replay Protection), a further step will be integrated into the SSO procedure in order to be able to recheck the SAT of the user. To achieve that additional authentication method during the SRV AuthN can not be bypassed separately, this additional step is correlated with the identity of SRV AuthN. For this purpose, the identity and / or possibly other (additional) parameters, eg the available session identifier, can be extracted from an existing service or protocol or be looked up in a database (eg based on the IP). Based on such an assignment rule, the identity is selected and additional evidence is requested from the identified user. Only if this can answer the additional, correlated query, it is assumed that the SAT, which was used during the SRV AuthN, is trustworthy and not from an attacker who currently abuses it.
Um dies zu ermöglichen, ergeben sich Benutzer- bzw. client-seitig zumindest für einige Ausführungsbeispiele folgende Anforderungen:
- • Vorkommen eines Einzigartigen Zuordnungsmerkmals (UID) gebunden an die SRV AuthN des Ursprungsdienstes (SAT oder Nutzername/ID)
- • Besitz von zusätzlichen Authentisierungsdaten neben dem SAT, unter anderem das einzigartige Zuordnungsmerkmal.
- • Occurrence of a Unique Assignment Characteristic (UID) linked to the SRV AuthN of the original service (SAT or username / ID)
- • Owning additional authentication data besides the SAT, including the unique mapping feature.
Grundlegende serverseitige Anforderungen für zumindest einige Ausführungsbeispiele sind:
- • Möglichkeit die UID im Dienst oder in dessen SRV AuthN zu identifizieren.
- • Besitz von zusätzlichen Verifikationsdaten der Client-Seite.
- • Zusätzliche Authentisierungsverfahren und akkurate sowie eindeutige Zuordnung der zusätzlichen Verifikationsdaten zur UID und umgekehrt.
- • Possibility to identify the UID in the service or in its SRV AuthN.
- • Owning additional client-side verification data.
- • Additional authentication procedures and accurate and clear assignment of the additional verification data to the UID and vice versa.
Diese Korrelation bzw. der zugriffsverwaltende Dienst wird daher hierin teilweise als Correlating Authentication Service (CAS) bezeichnet. Der CAS involviert somit seine zusätzliche Authentisierung (CAS AuthN) anhand der korrelierten UID des Dienstes bzw. der SRV AuthN. Der CAS kann weiterhin die Steuerung der Service Anfragen übernehmen, z.B. blocken des Dienstes bis die gesamte Authentisierung abgeschlossen ist, was ähnlich der Funktionsweise einer Firewall ist. This correlation or access-managing service is therefore referred to herein in part as Correlating Authentication Service (CAS). The CAS thus involves its additional authentication (CAS AuthN) based on the correlated UID of the service or the SRV AuthN. The CAS can also take over the control of service requests, e.g. block the service until all authentication is complete, which is similar to the way a firewall works.
Ein Vorteil der Ausführungsbeispiele der Erfindung mit CAS Zugriffsverwaltung und CAS AuthN besteht in der Möglichkeit, unsichere Authentifizierungsverfahren in dem Maße nachzurüsten, dass ein Angreifer, der nicht im Besitz der CAS AuthN Daten ist, auch nicht in der Lage ist sich mit gestohlenen Authentisierungsdaten (SAT) betreffend der SRV AuthN zu authentisieren. Ein besonderer Vorteil dieser ergibt sich dadurch, dass offizielle Anwender, die legal im Besitz Ihrer CAS AuthN Daten sind, keine anderen gestohlen Authentisierungsdaten (SAT) für die SRV AuthN verwenden, und somit die SRV AuthN nicht durch Vortäuschen einer anderen Identität umgehen können (Insider Angriffe). Dies wird durch die Ausführungsbeispiele der Erfindung und mit der CAS Zugriffsverwaltung und der Korrelation der CAS AuthN zur SRV AuthN gewährleistet, so dass diese Angriffe verhindern werden können. Vorteilhaft ist es hierbei, wenn die CAS AuthN die Präsenz des Nutzers und somit die Authentizität der Anmeldedaten beweisen kann. Daher sind Hardware-Tokens wie etwa Smartcards besonders geeignet. Der Verlust eines Hardware Tokens fällt sofort auf, wobei ein (weiterer) Passwortdiebstahl unbemerkt geschehen kann. Weiterhin sind Hardware Tokens wie Smartcards gegen Kopieren geschützt. An advantage of the embodiments of the invention with CAS access management and CAS AuthN is the ability to retrofit insecure authentication methods to the extent that an attacker who is not in possession of the CAS AuthN data is also unable to deal with stolen authentication data (SAT ) regarding the SRV AuthN. A particular advantage of this is that official users who are legally in possession of their CAS AuthN data, do not use any other stolen authentication data (SAT) for the SRV AuthN, and thus can not circumvent the SRV AuthN by pretending a different identity (Insider attacks). This is ensured by the embodiments of the invention and with the CAS access management and the correlation of the CAS AuthN to the SRV AuthN, so that these attacks can be prevented. It is advantageous here if the CAS AuthN can prove the presence of the user and thus the authenticity of the log-on data. Therefore, hardware tokens such as smart cards are particularly suitable. The loss of a hardware token is immediately noticeable, whereby a (further) password theft can happen unnoticed. Furthermore, hardware tokens such as smart cards are protected against copying.
Auch muss durch Korrelation der CAS AuthN, die ursprüngliche SRV AuthN des Dienstes nicht modifiziert oder ausgetauscht werden, was in Bezug auf bestehende Infrastrukturen einen enormen Vorteil bringt, da Dienste wie gewohnt aufrecht erhalten werden können. Also, by correlating the CAS AuthN, the original SRV AuthN of the service need not be modified or exchanged, which brings a tremendous advantage over existing infrastructures since services can be maintained as usual.
Ein Beispiel für den Einsatz der vorgestellten Lösung wären Single-Sign-On-Verfahren in vielen Betriebssystem-Versionen. Eine über 15 Jahre bestehende Sicherheitslücke, namens Pass-the-Hash, die bis heute Angreifern offen steht, kann durch die Lösung netzwerkseitig geschlossen werden. Bei dem Pass-the-Hash Angriff kann ein Angreifer einen gestohlenen Passwort-Hash (vgl. SAT) wieder in sein Client-System einspielen, und sich somit unbefugten Zugang zu Servern und Diensten im Netzwerk verschaffen (SRV AuthN). Hashes besitzen die Eigenschaft, dass aus ihnen das ursprüngliche Passwort nicht ohne großen rechenintensiven Aufwand zurückberechnet werden kann, aber eine Prüfung, ob die Eingabe mit einem bekannten Wert übereinstimmt, problemlos ist. Durch herkömmliche, zusätzliche Authentisierung (z.B. Passwort plus Smartcard), kann hier nur eine bedingte Sicherheit gewährleistet werden, da die zusätzlichen Verfahren anders wie die Ausführungsbeispiele der Erfindung nicht die Identität der SRV AuthN korrelieren. Das Risiko von internen Angriffen, z.B. durch Mitarbeiter, wird durch die vorgestellte Lösung aufgelöst, so dass eine fälschliche Authentifizierung durch den Pass-the-Hash Angriff nicht mehr möglich ist und diese offene Sicherheitslücke geschlossen werden kann. Weiterhin kann die Lösung auch Schutz gegen sogenannte Pass-the-Ticket Angriffe bieten, eine erweiterte Form des Passthe-Hash Angriffs, angepasst auf das Kerberos Authentisierungsverfahren. Weiterhin schützen Ausführungsbeispiele der Erfindung auch vor dem Diebstahl von Passwörtern. Die Ausführungsbeispiele der Erfindung besitzen weitere vielfältige Verwendungsmöglichkeiten im Bereich der Authentisierung gegenüber IT-Systemen. Von den Vorteilen profitieren insbesondere Netzwerkdienste welche Lücken aufweisen, oder sogar überhaupt kein Authentisierungsverfahren (SRV AuthN) besitzen, aber eine UID. Mit anderen Worten können Ausführungsbeispiele der Erfindung auch eine fehlende SRV AuthN für Dienste generell nachrüsten (CAS AuthN = SRV AuthN), sofern eine gültige UID anhand der Dienstanfrage identifizierbar ist. An example of the use of the proposed solution would be single-sign-on methods in many operating system versions. A security gap of more than 15 years, called pass-the-hash, which remains open to attackers today, can be closed by the solution on the network side. In the case of the pass-the-hash attack, an attacker can re-import a stolen password hash (see SAT) into his client system, thus gaining unauthorized access to servers and services in the network (SRV AuthN). Hashes have the property that the original password can not be recalculated without great computational effort, but there is no problem in checking whether the input matches a known value. By conventional, additional authentication (eg password plus smart card), only a conditional security can be guaranteed here, since the additional methods, unlike the embodiments of the invention, do not correlate the identity of the SRV AuthN. The risk of internal attacks, eg by employees, is resolved by the presented solution, so that a false authentication through the pass-the-hash attack is no longer possible and this open security gap can be closed. Furthermore, the solution can also provide protection against so-called pass-the-ticket attacks, an advanced form of the Passthe hash attack, adapted to the Kerberos authentication process. Furthermore, embodiments of the invention also protect against theft of passwords. The embodiments of the invention have further diverse uses in the field of authentication to IT systems. The advantages in particular benefit network services which have gaps or even no authentication method (SRV AuthN) at all, but a UID. In other words, embodiments of the Invention also generally retrofit a missing SRV AuthN for services (CAS AuthN = SRV AuthN), provided that a valid UID is identifiable based on the service request.
Die in der vorstehenden Beschreibung, den nachfolgenden Ansprüchen und den beigefügten Figuren offenbarten Merkmale können sowohl einzeln wie auch in beliebiger Kombination für die Verwirklichung eines Ausführungsbeispiels in ihren verschiedenen Ausgestaltungen von Bedeutung sein und implementiert werden. The features disclosed in the foregoing description, the appended claims and the appended figures may be taken to be and effect both individually and in any combination for the realization of an embodiment in its various forms.
Obwohl manche Aspekte im Zusammenhang mit einer Vorrichtung beschrieben wurden, versteht es sich, dass diese Aspekte auch eine Beschreibung des entsprechenden Verfahrens darstellen, sodass ein Block oder ein Bauelement einer Vorrichtung auch als ein entsprechender Verfahrensschritt oder als ein Merkmal eines Verfahrensschrittes zu verstehen ist. Analog dazu stellen Aspekte, die im Zusammenhang mit einem oder als ein Verfahrensschritt beschrieben wurden, auch eine Beschreibung eines entsprechenden Blocks oder Details oder Merkmals einer entsprechenden Vorrichtung dar. Insbesondere kann die hierin beschriebene Vorrichtung zum Kontrollieren eines Zugriffs auf einen Service sämtliche oder beliebige Schritte des hierin beschriebenen Verfahrens zum Kontrollieren eines Zugriffs auf einen Service innerhalb eines Netzwerkes durchführen. Although some aspects have been described in the context of a device, it will be understood that these aspects also constitute a description of the corresponding method, so that a block or a component of a device is also to be understood as a corresponding method step or as a feature of a method step. Similarly, aspects described in connection with or as a method step also represent a description of a corresponding block or detail or feature of a corresponding device. In particular, the device for controlling access to a service described herein may include all or any steps of the device method for controlling access to a service within a network as described herein.
Je nach bestimmten Implementierungsanforderungen können Ausführungsbeispiele der Erfindung in Hardware oder in Software implementiert sein. Die Implementierung kann unter Verwendung eines digitalen Speichermediums, beispielsweise einer Floppy-Disk, einer DVD, einer Blu-Ray Disc, einer CD, eines ROM, eines PROM, eines EPROM, eines EEPROM oder eines FLASH-Speichers, einer Festplatte oder eines anderen magnetischen oder optischen Speichers durchgeführt werden, auf dem elektronisch lesbare Steuersignale gespeichert sind, die mit einer programmierbaren Hardwarekomponente derart zusammenwirken können oder zusammenwirken, dass das jeweilige Verfahren durchgeführt wird. Depending on particular implementation requirements, embodiments of the invention may be implemented in hardware or in software. The implementation may be performed using a digital storage medium, such as a floppy disk, a DVD, a Blu-Ray Disc, a CD, a ROM, a PROM, an EPROM, an EEPROM or FLASH memory, a hard disk, or other magnetic disk or optical memory are stored on the electronically readable control signals, which can cooperate with a programmable hardware component or cooperate such that the respective method is performed.
Eine programmierbare Hardwarekomponente kann durch einen Prozessor, einen Computerprozessor (CPU = Central Processing Unit), einen Grafikprozessor (GPU = Graphics Processing Unit), einen Computer, ein Computersystem, einen anwendungsspezifischen integrierten Schaltkreis (ASIC = Application-Specific Integrated Circuit), einen integrierten Schaltkreis (IC = Integrated Circuit), ein Ein-Chip-System (SOC = System on Chip), ein programmierbares Logikelement oder ein feldprogrammierbares Gatterarray mit einem Mikroprozessor (FPGA = Field Programmable Gate Array) gebildet sein. A programmable hardware component may be integrated by a processor, a central processing unit (CPU), a graphics processing unit (GPU), a computer, a computer system, an application-specific integrated circuit (ASIC) Circuit (IC = Integrated Circuit), a system on chip (SOC) system, a programmable logic element or a field programmable gate array with a microprocessor (FPGA = Field Programmable Gate Array) may be formed.
Das digitale Speichermedium kann daher maschinen- oder computerlesbar sein. Manche Ausführungsbeispiele umfassen also einen Datenträger, der elektronisch lesbare Steuersignale aufweist, die in der Lage sind, mit einem programmierbaren Computersystem oder einer programmierbare Hardwarekomponente derart zusammenzuwirken, dass eines der hierin beschriebenen Verfahren durchgeführt wird. Ein Ausführungsbeispiel ist somit ein Datenträger (oder ein digitales Speichermedium oder ein computerlesbares Medium), auf dem das Programm zum Durchführen eines der hierin beschriebenen Verfahren aufgezeichnet ist. The digital storage medium may therefore be machine or computer readable. Thus, some embodiments include a data carrier having electronically readable control signals capable of interacting with a programmable computer system or programmable hardware component such that one of the methods described herein is performed. One embodiment is thus a data carrier (or a digital storage medium or a computer readable medium) on which the program is recorded for performing any of the methods described herein.
Allgemein können Ausführungsbeispiele der vorliegenden Erfindung als Programm, Firmware, Computerprogramm oder Computerprogrammprodukt mit einem Programmcode oder als Daten implementiert sein, wobei der Programmcode oder die Daten dahin gehend wirksam ist bzw. sind, eines der Verfahren durchzuführen, wenn das Programm auf einem Prozessor oder einer programmierbaren Hardwarekomponente abläuft. Der Programmcode oder die Daten kann bzw. können beispielsweise auch auf einem maschinenlesbaren Träger oder Datenträger gespeichert sein. Der Programmcode oder die Daten können unter anderem als Quellcode, Maschinencode oder Bytecode sowie als anderer Zwischencode vorliegen. In general, embodiments of the present invention may be implemented as a program, firmware, computer program, or computer program product having program code or data, the program code or data operative to perform one of the methods when the program resides on a processor or a computer programmable hardware component expires. The program code or the data can also be stored, for example, on a machine-readable carrier or data carrier. The program code or the data may be present, inter alia, as source code, machine code or bytecode as well as other intermediate code.
Ein weiteres Ausführungsbeispiel ist ferner ein Datenstrom, eine Signalfolge oder eine Sequenz von Signalen, der bzw. die das Programm zum Durchführen eines der hierin beschriebenen Verfahren darstellt bzw. darstellen. Der Datenstrom, die Signalfolge oder die Sequenz von Signalen kann bzw. können beispielsweise dahin gehend konfiguriert sein, um über eine Datenkommunikationsverbindung, beispielsweise über das Internet oder ein anderes Netzwerk, transferiert zu werden. Ausführungsbeispiele sind so auch Daten repräsentierende Signalfolgen, die für eine Übersendung über ein Netzwerk oder eine Datenkommunikationsverbindung geeignet sind, wobei die Daten das Programm darstellen. Another embodiment is further a data stream, a signal sequence, or a sequence of signals that represents the program for performing any of the methods described herein. The data stream, the signal sequence or the sequence of signals can be configured, for example, to be transferred via a data communication connection, for example via the Internet or another network. Embodiments are also data representing signal sequences that are suitable for transmission over a network or a data communication connection, the data representing the program.
Ein Programm gemäß einem Ausführungsbeispiel kann eines der Verfahren während seiner Durchführung beispielsweise dadurch umsetzen, dass dieses Speicherstellen ausliest oder in diese ein Datum oder mehrere Daten hinein schreibt, wodurch gegebenenfalls Schaltvorgänge oder andere Vorgänge in Transistorstrukturen, in Verstärkerstrukturen oder in anderen elektrischen, optischen, magnetischen oder nach einem anderen Funktionsprinzip arbeitenden Bauteile hervorgerufen werden. Entsprechend können durch ein Auslesen einer Speicherstelle Daten, Werte, Sensorwerte oder andere Informationen von einem Programm erfasst, bestimmt oder gemessen werden. Ein Programm kann daher durch ein Auslesen von einer oder mehreren Speicherstellen Größen, Werte, Messgrößen und andere Informationen erfassen, bestimmen oder messen, sowie durch ein Schreiben in eine oder mehrere Speicherstellen eine Aktion bewirken, veranlassen oder durchführen sowie andere Geräte, Maschinen und Komponenten ansteuern. For example, a program according to one embodiment may implement one of the methods during its execution by, for example, reading or writing one or more data into memory locations, optionally switching operations or other operations in transistor structures, amplifier structures, or other electrical, optical, magnetic or caused by another operating principle working components. Accordingly, by reading a memory location, data, values, sensor values or other information can be detected, determined or measured by a program. A program can therefore acquire, determine or measure quantities, values, measured variables and other information by reading from one or more storage locations, as well as effect, initiate or execute an action by writing to one or more storage locations and control other devices, machines and components ,
Die oben beschriebenen Ausführungsbeispiele stellen lediglich eine Veranschaulichung der Prinzipien der vorliegenden Erfindung dar. Es versteht sich, dass Modifikationen und Variationen der hierin beschriebenen Anordnungen und Einzelheiten anderen Fachleuten einleuchten werden. Deshalb ist beabsichtigt, dass die Erfindung lediglich durch den Schutzumfang der nachstehenden Patentansprüche und nicht durch die spezifischen Einzelheiten, die anhand der Beschreibung und der Erläuterung der Ausführungsbeispiele hierin präsentiert wurden, beschränkt sei. The embodiments described above are merely illustrative of the principles of the present invention. It will be understood that modifications and variations of the arrangements and details described herein will be apparent to others of ordinary skill in the art. Therefore, it is intended that the invention be limited only by the scope of the appended claims and not by the specific details presented in the description and explanation of the embodiments herein.
Claims (21)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102014114432.5A DE102014114432B4 (en) | 2014-09-08 | 2014-10-06 | A method, apparatus and computer program for controlling access to a service within a network |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102014112909 | 2014-09-08 | ||
DE102014112909.1 | 2014-09-08 | ||
DE102014114432.5A DE102014114432B4 (en) | 2014-09-08 | 2014-10-06 | A method, apparatus and computer program for controlling access to a service within a network |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102014114432A1 true DE102014114432A1 (en) | 2016-03-10 |
DE102014114432B4 DE102014114432B4 (en) | 2019-10-02 |
Family
ID=55358354
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102014114432.5A Active DE102014114432B4 (en) | 2014-09-08 | 2014-10-06 | A method, apparatus and computer program for controlling access to a service within a network |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102014114432B4 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102016202262A1 (en) * | 2016-02-15 | 2017-08-17 | Bundesdruckerei Gmbh | A method and system for authenticating a mobile telecommunication terminal to a service computer system and mobile telecommunication terminal |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090158394A1 (en) * | 2007-12-18 | 2009-06-18 | Electronics And Telecommunication Research Institute | Super peer based peer-to-peer network system and peer authentication method thereof |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8996423B2 (en) | 2005-04-19 | 2015-03-31 | Microsoft Corporation | Authentication for a commercial transaction using a mobile module |
-
2014
- 2014-10-06 DE DE102014114432.5A patent/DE102014114432B4/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090158394A1 (en) * | 2007-12-18 | 2009-06-18 | Electronics And Telecommunication Research Institute | Super peer based peer-to-peer network system and peer authentication method thereof |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102016202262A1 (en) * | 2016-02-15 | 2017-08-17 | Bundesdruckerei Gmbh | A method and system for authenticating a mobile telecommunication terminal to a service computer system and mobile telecommunication terminal |
Also Published As
Publication number | Publication date |
---|---|
DE102014114432B4 (en) | 2019-10-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3057025B1 (en) | Computer-implemented method for controlling access | |
EP2533172B2 (en) | Secure access to data in a device | |
DE102016224537B4 (en) | Master Block Chain | |
DE112018003825T5 (en) | BLOCKCHAIN AUTHORIZATION CHECK BY HARD / SOFT TOKEN CHECK | |
DE112008001436T5 (en) | Secure communication | |
EP2585963A1 (en) | Method for generating a certificate | |
DE102009001718A1 (en) | Method for providing cryptographic key pairs | |
DE112015002927B4 (en) | Password-based secret encryption key generation and management | |
EP3114600B1 (en) | Security sytem with access control | |
DE112011100182T5 (en) | Transaction check for data security devices | |
EP3699791B1 (en) | Access control with a mobile radio device | |
EP1777907A1 (en) | Method and devices for carrying out cryptographic operations in a client-server network | |
DE102008024783A1 (en) | Secure, browser-based single sign-on with client certificates | |
DE102014206325A1 (en) | Distributed authentication system | |
EP2620892B1 (en) | Method for generating a pseudonym with the help of an ID token | |
DE102016200003A1 (en) | Access control via authentication server | |
DE102008062984A1 (en) | A process of authenticating a user with a certificate using out-of-band messaging | |
DE102017121648B3 (en) | METHOD FOR REGISTERING A USER AT A TERMINAL DEVICE | |
DE102017006200A1 (en) | Method, hardware and system for dynamic data transmission to a blockchain computer network for storing personal data around this part again block by block as the basis for end to end encryption used to dynamically update the data collection process via the data transmission module in real time from sensor units. The block modules on the blockchain database system are infinitely expandable. | |
EP3321832A1 (en) | Distribution for reading attributes from an id token | |
EP2631837B1 (en) | Method for generating a pseudonym with the help of an ID token | |
DE102014114432B4 (en) | A method, apparatus and computer program for controlling access to a service within a network | |
EP3244331A1 (en) | Method for reading attributes from an id token | |
EP3355548A1 (en) | Method and system for user authentication | |
DE102014101836A1 (en) | Method for booting up a production computer system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R020 | Patent grant now final |