DE102014114432A1

DE102014114432A1 - A method, apparatus and computer program for controlling access to a service within a network

Info

Publication number: DE102014114432A1
Application number: DE102014114432.5A
Authority: DE
Inventors: Alexander Oberle; Ronald Marx; Dirk Scheuermann; Frank Gerd Weber; Pedro Larbig
Original assignee: Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV
Current assignee: Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV
Priority date: 2014-09-08
Filing date: 2014-10-06
Publication date: 2016-03-10
Anticipated expiration: 2034-10-07
Also published as: DE102014114432B4

Abstract

Ausführungsbeispiele beziehen sich auf ein Verfahren zum Kontrollieren eines Zugriffs auf einen Service (100) innerhalb eines Netzwerkes, umfassend ein Empfangen (110) eines Datensatzes (200), der eine Berechtigung anzeigt, auf zumindest einen Service zuzugreifen, sowie ein Identifizieren eines berechtigten Benutzers (120), für den der Datensatz (200) erstellt wurde. Es wird überprüft (130), ob der Datensatz (200) ausgehend von dem berechtigten Benutzer empfangen wurde. Ein Gewähren des Zugriffs auf den Service (140) erfolgt, wenn der Datensatz ausgehend von dem berechtigten Benutzer empfangen wurde.Embodiments relate to a method for controlling access to a service (100) within a network, comprising receiving (110) a record (200) indicating authorization to access at least one service, and identifying an authorized user (100); 120) for which the record (200) was created. It is checked (130) whether the record (200) was received from the authorized user. Granting access to the service (140) occurs when the record has been received from the authorized user.

Description

Technisches Gebiet Technical area

Ausführungsbeispiele der vorliegenden Erfindung beziehen sich auf ein Verfahren zum Kontrollieren eines Zugriffs auf einen Service innerhalb eines Netzwerkes und auf ein Verfahren zum Zugreifen auf einen Service in einem Netzwerk. Embodiments of the present invention relate to a method of controlling access to a service within a network and to a method of accessing a service in a network.

Hintergrund background

Innerhalb eines Netzwerkes von Computern oder digitalen Geräten werden häufig unterschiedliche Services bzw. Funktionalitäten von mehreren Benutzern oder Clients gleichzeitig oder konkurrierend genutzt. Beispiele für solche Services oder Dienste sind der Zugriff auf Speicher, der Zugriff auf Drucker, Zugriff auf einen SMTP-Service oder dergleichen. Beispiele für Protokolle, über die ein Zugriff auf solche Services abgewickelt wird, sind Server Message Block (SMB) oder Common Internet File System (CIFS). Um einen von einem Host-Rechner oder allgemein von einer anderen Identität im Netzwerk angebotenen Service nutzen zu können, ist es meist erforderlich, dass sich der Benutzer gegenüber dem Anbieter des Service authentifiziert bzw. als zur Nutzung des Service berechtigt ausweist. Eine bekannte Möglichkeit der Authentifizierung bzw. des Nachweises der Berechtigung ist die Eingabe eines Benutzernamens und eines dazugehörigen Passworts, so dass der Anbieter des Service prüfen kann, ob das eingegebene Passwort zu dem im Netzwerk für den Benutzernamen hinterlegten Passwort passt, um dann den Zugriff auf den angebotenen Service zu gewähren. Within a network of computers or digital devices, different services or functionalities are often used concurrently or concurrently by multiple users or clients. Examples of such services include access to memory, access to printers, access to an SMTP service, or the like. Examples of protocols used to access such services are Server Message Block (SMB) or Common Internet File System (CIFS). In order to be able to use a service offered by a host computer or in general by another identity in the network, it is usually necessary for the user to be authenticated to the provider of the service or to be authorized to use the service. A well-known possibility of authentication or proof of authorization is the input of a user name and a corresponding password, so that the provider of the service can check whether the entered password matches the password stored in the network for the password, then access to grant the offered service.

Um nicht bei jedem Dateizugriff bzw. bei jedem Druckauftrag eine derartige zeitaufwendige Benutzerauthentifizierung durchführen zu müssen, haben sich Single-Sign-On-Authentifizierungsverfahren (SSO) etabliert, bei denen ein Benutzer lediglich einmal den Authentifizierungsmechanismus durchlaufen muss, wohingegen nachfolgende Authentifizierungen gegenüber den Services im Netzwerk automatisch erfolgen und dabei auf Datensätzen basieren, die eine Berechtigung des Benutzers anzeigen, auf zumindest einen Service zuzugreifen. Bei SSO-Verfahren authentifiziert sich ein Client oder Benutzer zunächst gegenüber einem SSO-Authentifizierungsdienst, der weiterhin als SAS bezeichnet wird. Die Authentifizierung gegenüber dem SAS kann durch verschiedene Authentifizierungsverfahren erfolgen, beispielsweise durch die bereits genannte Kombination aus Benutzernamen und Passwort, mittels einer Smartcard, oder über andere Authentifizierungsverfahren. Nach einer erfolgreichen Authentifizierung (im Folgenden auch als SAS AuthN bezeichnet), steht dem Client ein Authentifizierungstoken für die im Netzwerk verfügbaren Services zur Verfügung. Dieses wird folgend auch als Service-Authentifizierungs-Token (SAT) bezeichnet. Allgemein kann ein Service-Authentifizierungs-Token als ein Datensatz bezeichnet werden, das eine Berechtigung anzeigt, auf zumindest einen Service zuzugreifen. Die konkrete Information, die in dem Datensatz enthalten ist, kann sich unterscheiden. Bei einigen Authentifizierungsverfahren, wie beispielsweise LAN Manager (LM) LM oder NT LAN Manager (NTLM) enthalten die Datensätze einen Hash-Wert oder einen von dem Hash-Wert abgeleitete Information. Der Hash-Wert wird aus einem bei der Anmeldung eingegebenen Passwort oder aus Zufallszahlen erzeugt. In order not to have to perform such time-consuming user authentication with every file access or every print job, single sign-on authentication methods (SSO) have become established, in which a user only has to go through the authentication mechanism once, whereas subsequent authentications to the services in the Network automatically, based on records that indicate a user's permission to access at least one service. In SSO procedures, a client or user first authenticates to an SSO authentication service, which is still referred to as SAS. The authentication with respect to the SAS can be carried out by various authentication methods, for example by the already mentioned combination of user name and password, by means of a smart card, or by other authentication methods. After a successful authentication (also referred to as SAS AuthN in the following), the client has an authentication token available for the services available on the network. This is also referred to below as a service authentication token (SAT). In general, a service authentication token may be referred to as a record indicating an authorization to access at least one service. The specific information contained in the record may differ. In some authentication methods, such as LAN Manager (LM) LM or NT LAN Manager (NTLM), the records contain a hash value or information derived from the hash value. The hash value is generated from a password entered during login or from random numbers.

Andere Verfahren, wie beispielsweise Kerberos, können auf einem Datensatz basieren, dessen Inhalt verschlüsselt ist. Bei Kerberos umfasst beispielsweise ein Ticket-Granting-Ticket (TGT) genannter Datensatz, der verwendet wird, um sogenannte Service-Tickets zum Nutzen eines Services im Netzwerk zu erhalten, beispielsweise einen Sitzungsschlüssel zur verschlüsselten Kommunikation mit einem autorisierenden Server sowie die User-ID desjenigen Benutzers, der die Berechtigung zum Nutzen von Services im Netzwerk besitzt. Bei Kerberos ist die Information innerhalb des Datensatzes ferner mit dem Schlüssel des autorisierenden Servers, des sogenannten Key Distribution Centers (KDC), verschlüsselt. Other techniques, such as Kerberos, may be based on a record whose contents are encrypted. In the case of Kerberos, for example, a ticket granting ticket (TGT) comprises a record used to obtain so-called service tickets for the benefit of a service on the network, such as a session key for encrypted communication with an authoritative server and the user ID of the same A user who has the authority to use services on the network. With Kerberos, the information within the record is further encrypted with the key of the authoritative server, the so-called Key Distribution Center (KDC).

Unabhängig von der konkreten Art der in dem Datensatz, der eine Berechtigung anzeigt, auf zumindest einen Service zuzugreifen, enthaltenen Information, ist der Client bzw. Benutzer nach der erfolgreichen Erstauthentifizierung (SAS AuthN) im Besitz eines Datensatzes bzw. Service-Authentifizierungs-Tokens, der den Zugriff auf die im Netzwerk verfügbaren Services ermöglicht. Der Datensatz wird in den nachfolgenden Abschnitten synonym auch mit Service-Authentifizierungs-Token (SAT) bezeichnet. Bei vielen Single-Sign-On-Verfahren ist der Datensatz bzw. der SAT, also der Zugriff auf den Service, nicht abgesichert. Wird dieser Datensatz von einem potentiellen Angreifer entwendet, kann er daher verwendet werden, um sich an Services bzw. deren bereitstellenden Servern innerhalb des Netzwerks unbefugt anzumelden, indem er sich durch die Verwendung des fremden Datensatzes die Rechte eines anderen tatsächlich berechtigten Benutzers verschafft. Wenngleich die konkrete Art eines möglichen Angriffs sich für die einzelnen verwendeten Protokolle unterscheiden mag, basiert die Berechtigung zur Nutzung eines Services oder Dienstes meist lediglich auf dem erzeugten Datensatz bzw. dem SAT, so dass sich ein Benutzer durch dessen Entwendung Zugriff auf Berechtigungen verschaffen kann, die diesem eigentlich nicht zustehen. Regardless of the specific nature of the information contained in the record indicating authorization to access at least one service, the client or user is in possession of a record or service authentication token after successful initial authentication (SAS AuthN), which provides access to the services available on the network. In the following sections, the data record is also synonymously called Service Authentication Token (SAT). In many single-sign-on methods, the data set or the SAT, ie the access to the service, is not secured. Therefore, if this record is stolen by a potential attacker, it may be used to unauthorized log on to services or their providing servers within the network by obtaining the rights of another actually authorized user by using the foreign record. Although the specific nature of a possible attack may differ for the particular protocols used, the privilege to use a service or service is usually based only on the generated record or the SAT so that a user can gain access to permissions by stealing it. who are not entitled to this.

Die Anfälligkeit für derartige Angriffe ist unabhängig von der Sicherheit des ersten Authentifizierungsverfahrens, da auch nach einem besonders sicheren Verfahren beim Single-Sign-On ein Datensatz verwendet wird, um sich für weitere Services zu qualifizieren. Eine Zwei-Faktor-Authentifizierung, bei der beispielsweise Nutzername und Passwort sowie das Vorhandensein einer zusätzlichen Smartcard erforderlich ist, um sich zum ersten Mal zu authentifizieren (gegenüber dem SSO-Authentifizierungsdienst SAS) verringert also beispielsweise nicht dieses Sicherheitsrisiko. Beispielsweise kann also ein Nutzer, der sich bei der Erstauthentifizierung gegenüber dem SAS mit gültigen eigenen Benutzerdaten authentifiziert, danach basierend auf einem fremden Datensatz Services unter anderer Benutzerkennung benutzen bzw. sich so Zugang zu Services verschaffen, für die er über keine Berechtigung verfügt. Die Authentifizierungsdaten bei der Erstauthentifizierung und der darauf folgenden Authentifizierung gegenüber Services sind insoweit voneinander unabhängig. Die Service Authentifizierung setzt nicht einmal eine Erstauthentifizierung voraus, sofern ein Nutzer mit dem Netzwerk bereits verbunden ist. Somit könnte beispielsweise auch ein Angriff zunächst mit gestohlenen Erstauthentifizierungsdaten erfolgen, mit dem sich generell Zugriff zum Netzwerk verschafft wird. Die darauffolgenden Services könnten dann basierend auf den Datensätzen, die zu einem wiederum anderen Benutzer gehören, verwendet werden, um die Services mit der Berechtigung eines anderen Benutzers zu benutzen. Mit anderen Worten kann das Single-Sign-On mit einer anderen (gestohlenen) Identität durchgeführt werden, wie die Benutzung der Services im Anschluss an das Single-Sign-On, die mit der Berechtigung einer weiteren (gestohlenen) Identität genutzt werden könnten. Einige verwendete Betriebssysteme für Computer weisen diese Angriffsmöglichkeit seit vielen Jahren auf, die unter anderem als „Pass-The-Hash“-Angriff und als „Pass-The-Ticket“-Angriff bekannt sind. Susceptibility to such attacks is independent of the security of the first Authentication method, as even after a particularly secure procedure for single sign-on a record is used to qualify for other services. For example, two-factor authentication, which requires username and password, for example, and the presence of an additional smart card to authenticate for the first time (to the SSO authentication service SAS), does not reduce this security risk. Thus, for example, a user who authenticates with valid user-defined user data during the initial authentication with respect to the SAS can then use services under another user identifier based on a foreign data record or gain access to services for which he has no authorization. The authentication data for the initial authentication and the subsequent authentication to services are independent of each other. Service authentication does not even require initial authentication if a user is already connected to the network. Thus, for example, an attack could first be done with stolen first authentication data, which generally provides access to the network. The subsequent services could then be used based on the records owned by another user to use the services with the permission of another user. In other words, the single sign-on can be performed with a different (stolen) identity, such as the use of the services following the single sign-on, which could be used with the authority of another (stolen) identity. Some computer operating systems that have been used for many years have known this type of attack, known inter alia as a "pass-the-hash" attack and as a "pass-the-ticket" attack.

Es besteht somit ein Bedürfnis, die Kontrolle des Zugriffs auf einen Service innerhalb eines Netzwerkes zu verbessern. There is thus a need to improve the control of access to a service within a network.

Zusammenfassung Summary

Ausführungsbeispiele eines Verfahrens zum Kontrollieren eines Zugriffs auf einen Service innerhalb eines Netzwerks ermöglichen dies, indem, wenn ein Datensatz empfangen wird, der eine Berechtigung anzeigt, auf zumindest einen Service zuzugreifen, der berechtigte Benutzer identifiziert wird, für den der Datensatz erstellt wurde. Ferner wird überprüft, ob der Datensatz ausgehend von dem berechtigten Benutzer empfangen wurde oder ob dies nicht der Fall war. Ein Zugriff auf den Service wird nur dann gewährt oder ermöglicht, wenn der Datensatz ausgehend von dem berechtigten Benutzer empfangen wurde. Dies ermöglicht es, zu verhindern, dass nicht berechtigte Benutzer, die unberechtigt im Besitzt des Datensatzes gelangt sind, Services in fremden Namen nutzen können, was wiederum die oben beschriebene Sicherheitslücke schließt. Der Zugriff auf den Service wird verhindert, wenn der Datensatz nicht ausgehend von dem berechtigten Benutzer empfangen wurde. Embodiments of a method for controlling access to a service within a network by enabling, when receiving a record indicating a privilege to access at least one service, identifying the authorized user for whom the record was created are enabled. It is also checked whether the data record was received from the authorized user or if this was not the case. Access to the service is granted or permitted only if the record was received from the authorized user. This makes it possible to prevent unauthorized users, who have been unauthorized in the possession of the record, to use services in a foreign name, which in turn closes the vulnerability described above. Access to the service is prevented if the record was not received from the authorized user.

Benutzer oder Clients innerhalb eines Netzwerkes erlangen durch Ausführungsbeispiele der vorliegenden Erfindung Zugriff auf einen Service innerhalb des Netzwerkes, indem diese zunächst einen Datensatz übermitteln, das für einen berechtigten Benutzer eine Berechtigung anzeigt, auf zumindest einen Service zuzugreifen. Im Falle eines berechtigten Zugriffs haben diese Benutzer den Datensatz bei einer ersten Authentifizierung selbst erhalten. Im Falle eines unberechtigten Zugriffs haben diese Benutzer den Datensatz bei einer ersten Authentifizierung selbst erzeugt. Weiterhin empfangen die Benutzer eine Aufforderung, eine die Identität des Benutzers anzeigende Antwort zu erstellen und übermitteln die dazugehörige Antwort, die die Identität des Benutzers anzeigt, um, bei korrekt beantworteter Aufforderung Zugriff auf den Service zu erhalten. Users or clients within a network gain access to a service within the network by embodiments of the present invention by first communicating a record indicating authorization for an authorized user to access at least one service. In the case of authorized access, these users have themselves received the record on the first authentication. In the event of unauthorized access, these users have created the record themselves upon initial authentication. Furthermore, the users receive a request to create a response indicating the identity of the user and transmit the associated response indicating the identity of the user to gain access to the service upon a correctly answered prompt.

Figurenkurzbeschreibung Brief Description

Ausführungsbeispiele werden nachfolgend bezugnehmend auf die beiliegenden Figuren näher erläutert. Es zeigen:Embodiments are explained below with reference to the accompanying figures. Show it:

1 ein Flussdiagramm eines Ausführungsbeispiels eines Verfahrens zum Kontrollieren eines Zugriffs auf einen Service innerhalb eines Netzwerkes; 1 a flow chart of an embodiment of a method for controlling access to a service within a network;

2a ein Beispiel für einen Datensatz, der eine Berechtigung anzeigt, auf zumindest einen Service zuzugreifen; 2a an example of a record indicating an authorization to access at least one service;

2b ein weiteres Beispiel für einen Datensatz, der eine Berechtigung anzeigt, auf zumindest einen Service zuzugreifen; 2 B another example of a record indicating an authorization to access at least one service;

3 ein Flussdiagramm eines Ausführungsbeispiels zum Erhalten eines Zugriffs auf einen Service innerhalb eines Netzwerkes; 3 a flow chart of an embodiment for obtaining access to a service within a network;

4 ein Flussdiagramm eines Ausführungsbeispiels eines Verfahrens zum Zugreifen auf einen Service in einem Netzwerk; 4 a flowchart of an embodiment of a method for accessing a service in a network;

5 ein Beispiel für eine Topologie eines Netzwerkes, in dem ein Ausführungsbeispiel gemäß 4 implementiert ist; und 5 an example of a topology of a network, in which an embodiment according to 4 is implemented; and

6 eine schematische Darstellung einer Vorrichtung zum Kontrollieren eines Zugriffs auf einen Service. 6 a schematic representation of a device for controlling an access to a service.

Beschreibung description

Verschiedene Ausführungsbeispiele werden nun ausführlicher unter Bezugnahme auf die beiliegenden Zeichnungen beschrieben, in denen einige Ausführungsbeispiele dargestellt sind. In den Figuren können die Dickenabmessungen von Linien, Schichten und/oder Regionen um der Deutlichkeit Willen übertrieben dargestellt sein. Various embodiments will now be described in more detail with reference to the accompanying drawings, in which some embodiments are illustrated. In the figures, the thickness dimensions of lines, layers and / or regions may be exaggerated for the sake of clarity.

Bei der nachfolgenden Beschreibung der beigefügten Figuren, die lediglich einige exemplarische Ausführungsbeispiele zeigen, können gleiche Bezugszeichen gleiche oder vergleichbare Komponenten bezeichnen. Ferner können zusammenfassende Bezugszeichen für Komponenten und Objekte verwendet werden, die mehrfach in einem Ausführungsbeispiel oder in einer Zeichnung auftreten, jedoch hinsichtlich eines oder mehrerer Merkmale gemeinsam beschrieben werden. Komponenten oder Objekte, die mit gleichen oder zusammenfassenden Bezugszeichen beschrieben werden, können hinsichtlich einzelner, mehrerer oder aller Merkmale, beispielsweise ihrer Dimensionierungen, gleich, jedoch gegebenenfalls auch unterschiedlich ausgeführt sein, sofern sich aus der Beschreibung nicht etwas anderes explizit oder implizit ergibt. In the following description of the attached figures, which show only some exemplary embodiments, like reference characters may designate the same or similar components. Further, summary reference numerals may be used for components and objects that occur multiple times in one embodiment or in a drawing but are described together in terms of one or more features. Components or objects which are described by the same or by the same reference numerals may be the same, but possibly also different, in terms of individual, several or all features, for example their dimensions, unless otherwise explicitly or implicitly stated in the description.

Obwohl Ausführungsbeispiele auf verschiedene Weise modifiziert und abgeändert werden können, sind Ausführungsbeispiele in den Figuren als Beispiele dargestellt und werden hierin ausführlich beschrieben. Es sei jedoch klargestellt, dass nicht beabsichtigt ist, Ausführungsbeispiele auf die jeweils offenbarten Formen zu beschränken, sondern dass Ausführungsbeispiele vielmehr sämtliche funktionale und/oder strukturelle Modifikationen, Äquivalente und Alternativen, die im Bereich der Erfindung liegen, abdecken sollen. Gleiche Bezugszeichen bezeichnen in der gesamten Figurenbeschreibung gleiche oder ähnliche Elemente. Although embodiments may be modified and changed in various ways, exemplary embodiments are illustrated in the figures as examples and will be described in detail herein. It should be understood, however, that it is not intended to limit embodiments to the particular forms disclosed, but that embodiments are intended to cover all functional and / or structural modifications, equivalents and alternatives that are within the scope of the invention. Like reference numerals designate like or similar elements throughout the description of the figures.

Man beachte, dass ein Element, das als mit einem anderen Element „verbunden“ oder „verkoppelt“ bezeichnet wird, mit dem anderen Element direkt verbunden oder verkoppelt sein kann oder dass dazwischenliegende Elemente vorhanden sein können. Wenn ein Element dagegen als „direkt verbunden“ oder „direkt verkoppelt“ mit einem anderen Element bezeichnet wird, sind keine dazwischenliegenden Elemente vorhanden. Andere Begriffe, die verwendet werden, um die Beziehung zwischen Elementen zu beschreiben, sollten auf ähnliche Weise interpretiert werden (z.B., „zwischen“ gegenüber „direkt dazwischen“, „angrenzend“ gegenüber „direkt angrenzend“ usw.). Note that an element referred to as being "connected" or "coupled" to another element may be directly connected or coupled to the other element, or intervening elements may be present. Conversely, when an element is referred to as being "directly connected" or "directly coupled" to another element, there are no intervening elements. Other terms used to describe the relationship between elements should be interpreted in a similar manner (e.g., "between" versus "directly in between," "adjacent" versus "directly adjacent," etc.).

Die Terminologie, die hierin verwendet wird, dient nur der Beschreibung bestimmter Ausführungsbeispiele und soll die Ausführungsbeispiele nicht beschränken. Wie hierin verwendet, sollen die Singularformen „ einer,” „ eine”, „eines ” und „der, die, das“ auch die Pluralformen beinhalten, solange der Kontext nicht eindeutig etwas anderes angibt. Ferner sei klargestellt, dass die Ausdrücke wie z.B. „beinhaltet“, „beinhaltend“, aufweist“ und/oder „aufweisend“, wie hierin verwendet, das Vorhandensein von genannten Merkmalen, ganzen Zahlen, Schritten, Arbeitsabläufen, Elementen und/oder Komponenten angeben, aber das Vorhandensein oder die Hinzufügung von einem bzw. einer oder mehreren Merkmalen, ganzen Zahlen, Schritten, Arbeitsabläufen, Elementen, Komponenten und/oder Gruppen davon nicht ausschließen. The terminology used herein is for the purpose of describing particular embodiments only and is not intended to limit the embodiments. As used herein, the singular forms "a," "a," "an," and "the" are also meant to include the plural forms unless the context clearly indicates otherwise. Furthermore, it should be understood that the terms such as e.g. "Including," "including," "having," and / or "having," as used herein, indicates the presence of said features, integers, steps, operations, elements, and / or components, but the presence or addition of a resp one or more features, integers, steps, operations, elements, components, and / or groups thereof.

Solange nichts anderes definiert ist, haben sämtliche hierin verwendeten Begriffe (einschließlich von technischen und wissenschaftlichen Begriffen) die gleiche Bedeutung, die ihnen ein Durchschnittsfachmann auf dem Gebiet, zu dem die Ausführungsbeispiele gehören, beimisst. Ferner sei klargestellt, dass Ausdrücke, z.B. diejenigen, die in allgemein verwendeten Wörterbüchern definiert sind, so zu interpretieren sind, als hätten sie die Bedeutung, die mit ihrer Bedeutung im Kontext der einschlägigen Technik konsistent ist, und nicht in einem idealisierten oder übermäßig formalen Sinn zu interpretieren sind, solange dies hierin nicht ausdrücklich definiert ist. Unless defined otherwise, all terms (including technical and scientific terms) used herein have the same meaning as commonly assigned to one of ordinary skill in the art to which the embodiments pertain. Further, it should be understood that terms, e.g. those that are defined in commonly used dictionaries are to be interpreted as having the meaning consistent with their meaning in the context of the relevant art, and not to be interpreted in an idealized or overly formal sense, unless this is so is explicitly defined.

1 zeigt ein Flussdiagramm eines Ausführungsbeispiels eines Verfahrens zum Kontrollieren eines Zugriffs auf einen Service innerhalb eines Netzwerks. Das Verfahren umfasst ein Empfangen 110 eines Datensatzes, der eine Berechtigung anzeigt, auf zumindest einen Service zuzugreifen. Das Verfahren umfasst ferner das Identifizieren eines berechtigten Benutzers 120, für den der Datensatz erstellt wurde. Während des Überprüfens 130, wird überprüft, ob der Datensatz ausgehend von dem berechtigten Benutzer empfangen wurde. Gewähren des Zugriffs auf den Service 140 erfolgt, wenn der Datensatz ausgehend von dem berechtigten Benutzer empfangen wurde. 1 FIG. 12 shows a flowchart of one embodiment of a method for controlling access to a service within a network. The method includes receiving 110 a record indicating permission to access at least one service. The method further includes identifying an authorized user 120 for which the record was created. During the review 130 , it is checked if the record has been received from the authorized user. Provide access to the service 140 occurs when the record has been received from the authorized user.

1 zeigt ferner einen optionalen Schritt des aktiven Verhinderns des Zugriffs 150 auf den Service, wenn der Datensatz nicht ausgehend von dem berechtigten Benutzer empfangen wurde. Dieser aktive Schritt kann gemäß weiteren Ausführungsbeispielen auch entfallen, indem eine Antwort auf den empfangenen Datensatz an den sendenden Benutzer vollständig unterbleibt. Alternativ dazu kann, wie in 1 optional dargestellt, der Zugriff aktiv verhindert werden, indem beispielsweise die Datenverbindung des Benutzers aktiv beendet wird, beispielsweise indem eine zu einem Transportprotokoll korrespondierende Verbindung beendet wird, indem eine verschlüsselte Verbindung zu dem sendenden Benutzer des Datensatzes beendet wird oder dergleichen. 1 also shows an optional step of actively preventing access 150 to the service if the record was not received from the authorized user. According to further exemplary embodiments, this active step can also be omitted by completely omitting a response to the received data record to the sending user. Alternatively, as in 1 optionally, the access is actively prevented, for example, by actively terminating the user's data connection, for example by terminating a connection corresponding to a transport protocol by terminating an encrypted connection to the sending user of the data set, or the like.

Gemäß einigen Ausführungsbeispielen wird bei dem Identifizieren eines berechtigten Benutzers eine Information, die den berechtigten Nutzer identifiziert, aus dem Datensatz selbst extrahiert. Dabei kann die Information, beispielsweise bei der Verwendung des NTLM Security Support Provider (NTLMSSP) oder des Kerberos-Protokolls, aus der Benutzerkennung (User-ID bzw. UID) selbst bestehen, die beispielsweise innerhalb eines TGT oder eines NTLMSSP Datensatzes gespeichert ist. Gemäß weiteren Ausführungsbeispielen muss es sich jedoch nicht um die Benutzerkennung handeln. Vielmehr können beliebige Informationen verwendet bzw. extrahiert werden, die eine eindeutige Zuordnung zu einem bestimmten Nutzer bzw. Client erlauben. Dabei kann die Information, die den berechtigten Nutzer identifiziert, auch aus Teilen des Datenprotokolls gewonnen werden, mit denen der Datensatz gesendet wird, beispielsweise aus Header-Informationen eines Transportprotokolls oder dergleichen. Die Information, die den berechtigten Nutzer identifiziert kann auch beliebigen anderen Metadaten gewonnen werden, beispielsweise einer Session ID oder einer IP Adresse. Gemäß einigen Ausführungsbeispielen wird zum Zweck der Identifizierung des berechtigten Benutzers der Datensatz mit einer Liste gespeicherter Datensätze verglichen, die eine Zuordnung der ursprünglich bei der Authentifizierung erzeugten Datensätze zu den sich authentifizierenden Benutzern umfasst. Der empfangene Datensatz könnte beispielsweise bitweise mit den Datensätzen der Liste verglichen werden, um bei einer Übereinstimmung den dem Datensatz in der Liste zugeordneten Benutzer als den berechtigen Benutzer zu identifizieren. According to some embodiments, in identifying an authorized user, information identifying the authorized user is extracted from the data set itself. The information, for example when using the NTLM Security Support Provider (NTLMSSP) or the Kerberos protocol, can consist of the user ID (user ID or UID) itself, which is stored, for example, within a TGT or an NTLMSSP data record. However, according to further embodiments, it does not have to be the user ID. Rather, any information can be used or extracted that allow a clear assignment to a specific user or client. In this case, the information which identifies the authorized user can also be obtained from parts of the data protocol with which the data record is sent, for example from header information of a transport protocol or the like. The information that identifies the authorized user can also be obtained from any other metadata, for example a session ID or an IP address. According to some embodiments, for the purpose of identifying the authorized user, the record is compared to a list of stored records that includes an association of the records originally created during the authentication with the authenticating users. For example, the received record could be bit-wise compared to the records of the list to identify, in a match, the user associated with the record in the list as the entitled user.

Wenn eine Information extrahiert bzw. erhalten ist, die eindeutig einem Benutzer bzw. einem Client zugeordnet werden kann, kann überprüft werden, ob der empfangene Datensatz tatsächlich von dem berechtigten Benutzer empfangen wurde oder möglicherweise von einem anderen Benutzer. Ein Benutzer in dem hierin verwendeten Sinne ist nicht notwendigerweise eine natürliche Person. Vielmehr ist als Benutzer jedwede Identität zu verstehen, die in der Lage ist, einen bestimmten Service zu nutzen, beispielsweise auch ein anderer Service. Ein Benutzer kann also einer natürlichen Person entsprechen, aber auch anderen Identitäten im Netzwerk, beispielsweise anderen Rechnern bzw. Clients oder Maschinen, oder aber auch Software-Modulen, die eine eigene, eine Identität definierende Funktionalität bereitstellen. Demgemäß ist als ein Netzwerk auch eine Ansammlung von Benutzern zu verstehen, die die Möglichkeit haben, innerhalb des Netzwerks miteinander zu kommunizieren. Dabei ist es unerheblich, wie die Kommunikation physikalisch erfolgt, diese kann beispielsweise schnurgebunden oder Drahtlos erfolgen, je nach Implementierung auch parallel. Auch die Art der verwendeten Kommunikationsprotokolle ist beliebig. Ebenso können beliebige Protokolle auf unterschiedlichen Ebenen des Protokoll-Stack Verwendung finden. Die unterschiedlichen Identitäten bzw. Benutzer oder Prozesse innerhalb eines Netzwerkes können unterschiedlichen oder auch derselben Hardware zugeordnet sein bzw. auf derselben Hardware ausgeführt werden, unter anderem auch auf demselben Prozessor. Ein Beispiel für ein Netzwerk ist die Gesamtheit der innerhalb einer gemeinsamen Domäne kommunizierenden Geräte, Services und Benutzer. Ebenso kann ein Datensatz jedwede Menge von Information in beliebiger Repräsentation sein, die es ermöglicht, eine Berechtigung anzuzeigen, auf einen Service zuzugreifen. Ein Datensatz kann somit unterschiedlichste logische Inhalte haben, in unterschiedlichen Repräsentierungen, beispielsweise als Binärcode oder als Hexadezimalcode. Ein Datensatz kann einem Datenpaket, das über das Netzwerk übertragen wird, entsprechen, oder auch nur einem Teil eines solche Datenpakets. Ferner kann der Datensatz auch mittels mehrerer Datenpakete innerhalb des Netzwerks übertragen werden. Der Datensatz kann aufgrund einer erfolgreichen vorhergehenden Authentifizierung eines Benutzers erstellt worden sein. Der Datensatz kann dazu geeignet sein, einem Benutzer ohne eine weitere Benutzerinteraktion Zugriff auf einen Service zu verschaffen. When extracting information that can be uniquely assigned to a user or a client, it can be checked whether the received record was actually received by the authorized user or possibly by another user. A user as used herein is not necessarily a natural person. Rather, the user is any identity that is able to use a particular service, such as another service. A user can thus correspond to a natural person, but also to other identities in the network, for example other computers or clients or machines, or even software modules that provide their own identity-defining functionality. Accordingly, a network is also to be understood as an aggregation of users who have the possibility of communicating with one another within the network. It is irrelevant how the communication is physically, this can be done, for example, corded or wireless, depending on the implementation also in parallel. The type of communication protocols used is arbitrary. Likewise, arbitrary protocols can be used at different levels of the protocol stack. The different identities or users or processes within a network can be assigned to different or even the same hardware or executed on the same hardware, including on the same processor. An example of a network is the entirety of the devices, services, and users that are communicating within a common domain. Likewise, a record may be any amount of information in any representation that allows a permission to access a service. A data record can thus have a very wide variety of logical contents, in different representations, for example as a binary code or as a hexadecimal code. A record may correspond to a data packet transmitted over the network, or even only part of such a data packet. Furthermore, the data record can also be transmitted by means of several data packets within the network. The record may have been created due to a successful previous authentication of a user. The record may be adapted to provide access to a service to a user without further user interaction.

In den nachfolgend beschriebenen Ausführungsbeispielen wird der Einfachheit halber überwiegend davon ausgegangen, dass es sich bei dem Benutzer um eine natürliche Person handelt, ohne dass dadurch die Anwendung von weiteren Ausführungsbeispielen der Erfindung auf andere Identitäten eingeschränkt werden soll. In the exemplary embodiments described below, for the sake of simplicity, it is predominantly assumed that the user is a natural person, without thereby restricting the application of further exemplary embodiments of the invention to other identities.

Gemäß einigen Ausführungsbeispielen umfasst das Überprüfen, ob der Datensatz von dem berechtigten Benutzer empfangen wurde, ein Übermitteln einer Aufforderung an einen sendenden Benutzer, von dem der Datensatz empfangen wurde, seine Identität zu bestätigen. Das heißt, nachdem oder bevor der berechtigte Benutzer, für den der Datensatz erstellt wurde, identifiziert wurde, wird der sendende Benutzer, von dem der Datensatz empfangen wurde, aufgefordert, durch einen beliebigen Mechanismus seine Identität zu bestätigen, beispielsweise indem dieser eine erneute Authentifizierung durchführt. Sofern die Identität des sendenden Benutzers und die Identität des berechtigten Benutzers übereinstimmen, kann daraus geschlossen werden, dass der Datensatz von dem berechtigten Benutzer empfangen wurde. In some embodiments, verifying that the record has been received from the authorized user includes transmitting a request to a sending user from which the record was received to confirm its identity. That is, after or before the authorized user for whom the record was created has been identified, the sending user from which the record was received is requested to confirm its identity by any mechanism, for example by performing a re-authentication , If the identity of the sending user and the identity of the authorized user match, it can be concluded that the record was received from the authorized user.

Die Implementierung, gemäß der der sendende Benutzer seine Identität bestätigt, kann dabei frei gewählt werden. Beispielsweise kann ein Challenge-Response-Verfahren angewendet werden, bei dem an den sendenden Benutzer eine Aufgabe gestellt und an diesem übertragen wird, deren Lösung von einer die Benutzer innerhalb des Netzwerks eindeutig identifizierenden bzw. kennzeichnenden Information abhängt. Der sendende Benutzer löst die Aufgabe und die Lösung der Aufgabe wird von dem sendenden Benutzer empfangen. Stimmt die empfangene Lösung mit einer Kontrolllösung überein oder korrespondiert zu dieser, welche unter Verwendung der den berechtigten Benutzer identifizierenden Information bestimmt wurde, kann es als bestätigt gelten, dass der Datensatz ausgehend von dem berechtigten Benutzer empfangen wurde und folglich ein Zugriff auf den Service zu gewähren ist. Ein Beispiel für eine zu lösende Aufgaben durch den sendenden Benutzer wären beispielsweise das Signieren einer Zufallszahl mit der User-ID des sendenden Benutzers oder einer anderen, den sendenden Benutzer eindeutig identifizierenden Information. Wird als Kontrolllösung dieselbe Zufallszahl mit der extrahierten User-ID des berechtigten Benutzers verifiziert oder signiert und stimmen beide Lösungen überein, ist verifiziert, dass der sendende Benutzer der tatsächlich berechtigte Benutzer des Datensatzes ist. Gemäß anderen Ausführungsbeispielen kann sich die Information, die vom sendenden Benutzer zur Lösung der Aufgabe verwendet wird, von derjenigen Information, die als die den berechtigten Benutzer identifizierende Information extrahiert wurde, unterscheiden. Das heißt, die Aufgabe kann beispielsweise mittels eines anderen Merkmals gelöst werden, als das extrahierte Merkmal aus dem Datensatz, solange das extrahierte Merkmal und das zur Lösung der Aufgabe verwendete Merkmal kausal miteinander verknüpft bzw. derart korreliert sind, dass durch den Vergleich der verschiedenen Lösungen geschlossen werden kann, ob es sich bei dem sendenden Benutzer um den berechtigten Benutzer handelt. The implementation according to which the sending user confirms his identity can be chosen freely. For example, a challenge-response method can be used in which a task is submitted to and transmitted to the sending user whose solution is provided by one of the users within the network clearly identifiable or identifying information. The sending user solves the task and the solution of the task is received by the sending user. If the received solution matches or corresponds to a control solution determined using the information identifying the authorized user, it may be considered confirmed that the record has been received from the authorized user and thus provides access to the service is. An example of a task to be solved by the sending user would be, for example, the signing of a random number with the user ID of the sending user or another information uniquely identifying the sending user. If the same random number with the extracted user ID of the authorized user is verified or signed as the control solution and both solutions match, it is verified that the sending user is actually the authorized user of the data record. According to other embodiments, the information used by the sending user to solve the task may be different from the information extracted as the authorized user-identifying information. That is, the task can be solved, for example, by means of another feature, as the extracted feature from the data set, as long as the extracted feature and the feature used to solve the task are causally linked together or correlated such that by comparing the different solutions it can be concluded whether the sending user is the authorized user.

Gemäß weiteren Ausführungsbeispielen wird ohne eine weitere Interaktion mit dem sendenden Benutzer eine weitere den sendenden Benutzer identifizierende Information bestimmt werden, so dass bestätigt werden kann, dass der Datensatz ausgehend von dem berechtigten Benutzer empfangen wurde, wenn die den berechtigten Benutzer identifizierende Information und die den sendenden Benutzer identifizierende weitere Information denselben Benutzer identifizieren. Beispielsweise kann die weitere den sendenden Benutzer identifizierende Information eine IP-Adresse des Benutzers sein, oder eine Sitzungsnummer bzw. Session-ID, die einem Benutzer eindeutig zugeordnet ist, wobei die Zuordnung zwischen der weiteren Information, also der IP oder der Session-ID und dem dadurch identifizierten Benutzer von anderen Services oder Identitäten im Netzwerk erhalten werden kann, beispielsweise von einem DHCP-Server oder einem Domain-Controller. According to further embodiments, without further interaction with the sending user, further information identifying the sending user will be determined so that it can be confirmed that the record was received from the authorized user, if the information identifying the authorized user and the sending user User identifying additional information identifying the same user. For example, the further information identifying the sending user may be an IP address of the user, or a session number or session ID uniquely assigned to a user, the association between the further information, ie the IP or the session ID and the user identified thereby can be obtained from other services or identities in the network, for example from a DHCP server or a domain controller.

Wie bereits vorhergehend angesprochen, muss es sich bei der Information, die ausgelöst durch den empfangenen Datensatz gewonnen bzw. extrahiert wird und der weiteren Information, mit der diese Information verglichen wird, insoweit die beiden Informationen eindeutig miteinander korreliert sind. As already mentioned above, it must be in the information that is obtained or extracted by the received data record and the other information with which this information is compared, insofar as the two information are clearly correlated.

Gemäß einigen weiteren Ausführungsbeispielen umfasst das Überprüfen der Frage, ob der Datensatz ausgehend von dem berechtigten Benutzer empfangen wurde, das Erstellen einer verschlüsselten Verbindung mit dem Benutzer, von dem der Datensatz empfangen wurde. Die aus dem Datensatz extrahierte und den berechtigten Benutzer identifizierende Information wird mit einer weiteren einen Benutzer identifizierenden Information verglichen, welche genutzt wird, um die gesicherte verschlüsselte Verbindung herzustellen. Auch hier können unterschiedliche Arten von den Benutzer eindeutig zugeordneten Informationen verglichen werden, beispielsweise einen dem Benutzer zugeordneten Hash-Wert oder Schlüssel, der zum Aufbau der verschlüsselte Verbindung verwendet wird, sowie eine dem Benutzer zugeordnete User-ID, die aus dem Datensatz abgeleitet oder extrahiert wurde. In accordance with some other embodiments, verifying the question of whether the record was received from the authorized user comprises creating an encrypted connection with the user from which the record was received. The information extracted from the record and identifying the authorized user is compared with another user identifying information which is used to establish the secure encrypted connection. Again, different types of information uniquely associated with the user may be compared, for example, a user-assigned hash value or key used to construct the encrypted connection, and a user ID associated with the user, which may be derived or extracted from the data set has been.

Gemäß einigen Ausführungsbeispielen wird das Überprüfen, ob der Datensatz ausgehend von dem berechtigten Benutzer empfangen wurde, in vorbestimmten Zeitintervallen oder auch zufällig wiederholt. Die Zeitintervalle können, müssen jedoch nicht notwendigerweise gleich lang sein. Dies kann verhindern, dass eine die Überprüfung ermöglichende Komponente, beispielsweise eine Smartcard innerhalb eines Kartenlesers, zwischenzeitlich entfernt wurden, so dass möglicherweise nicht mehr sichergestellt ist, dass der den Service aktuell in Anspruch nehmende Benutzer tatsächlich noch der berechtigte Benutzer ist. Mit anderen Worten kann so die kontinuierliche Anwesenheit des tatsächlichen berechneten Benutzers überprüft werden. According to some embodiments, checking whether the record has been received from the authorized user is repeated at predetermined time intervals or randomly. The time intervals may or may not be the same length. This can prevent a verification-enabling component, for example a smart card within a card reader, from being removed in the meantime, so that it may no longer be possible to ensure that the user currently using the service is actually still the authorized user. In other words, the continuous presence of the actual calculated user can be checked.

Gemäß einigen Ausführungsbeispielen wird der Zugriff auf den Service nach erfolgreicher Überprüfung dadurch gewährt, dass dem Sender des Datensatzes ein weiterer Datensatz übermittelt wird, das für den berechtigten Benutzer gegenüber dem Anbieter des Service eine Berechtigung anzeigt, auf den Service zuzugreifen. Das heißt, gemäß einigen Ausführungsbeispielen wird nach erfolgreicher Authentifizierung den berechtigten Benutzer ein weiterer Datensatz übermittelt, das diesen gegenüber dem speziellen angefragten Service als berechtigt ausweist. According to some embodiments, access to the service upon successful verification is granted by transmitting to the sender of the record another record indicating to the authorized user to the service provider an authorization to access the service. That is, according to some embodiments, after successful authentication, the authorized user is sent another record that identifies this user as legitimate to the particular requested service.

Gemäß einigen Ausführungsbeispielen wird der Datenfluss zwischen dem Service und den Benutzer kontrolliert, d.h. die Daten werden nur dann an den Service weitergeleitet, wenn und solange der Sender des Datensatzes dem berechtigten Benutzer entspricht. According to some embodiments, the flow of data between the service and the user is controlled, i. the data will only be forwarded to the service if and as long as the sender of the record corresponds to the authorized user.

2a zeigt schematisch und zum besseren Verständnis ein Beispiel für einen möglichen Inhalt eines Datensatzes 200, der eine Berechtigung anzeigt auf zumindest einen Service zuzugreifen. Dargestellt ist ein Inhalt eines Ticket-Granting-Tickets (TGT), das von einem Key Distribution Center eines Kerberos-Authentifizierungssystems an einen Benutzer vergeben werden kann, und welches dieser darauffolgend benutzen kann, um Berechtigungstickets für weitere Services beim Key Distribution Center zu beantragen. Wie anhand von 2 gezeigt, umfasst das Ticket-Granting-Ticket 210 zumindest die Information über einen Sitzungsschlüssel 212, mittels dessen der das Ticket beantragende Benutzer mit dem Key Distribution Center (KDC) verschlüsselt kommunizieren kann. Das TGT 210 umfasst ferner eine User-ID 214, also eine eindeutige Benutzerkennung, für den berechtigten Benutzer, für den das Ticket erstellt wurde. Im Fall von Kerberos ist die Information ferner mit dem Schlüssel 216 des KDC verschlüsselt. Gemäß weiteren Ausführungsbeispielen können Datensätze auch unverschlüsselt, also im Klartext, und mit anderem Inhalt vorliegen und übertragen werden. Anhand des in 2a gezeigten Datensatzes 200, wäre es beispielsweise während der Kontrolle des Zugriffs auf einen Service möglich, die User-ID 214 zum Identifizieren des berechtigten Benutzers, für den der Datensatz 200 erstellt wurde, direkt aus dem Datensatz zu extrahieren. Wie oben bereits eingehend dargelegt, bestehen jedoch beliebige andere Möglichkeiten, den berechtigten Benutzer zu identifizieren, diese können sich je nach konkreter Implementierung unterscheiden. 2a shows schematically and for better understanding an example of a possible content of a record 200 showing a permission to access at least one service. Presented is a content of a ticket granting ticket (TGT) that can be assigned to a user by a key distribution center of a Kerberos authentication system, and which subsequently can be used to request authorization tickets for further services at the key distribution center. As based on 2 shown includes the ticket granting ticket 210 at least the information about a session key 212 by means of which the user requesting the ticket can communicate encrypted with the Key Distribution Center (KDC). The TGT 210 also includes a user ID 214 , that is, a unique user ID, for the authorized user for whom the ticket was created. In the case of Kerberos, the information is further with the key 216 encrypted by the KDC. According to further embodiments, records can also be present and transmitted unencrypted, ie in plain text, and with other content. Based on the in 2a shown record 200 For example, while controlling access to a service, the user ID would be possible 214 to identify the authorized user for whom the record is 200 was created to extract directly from the record. As explained in detail above, however, there are any other ways to identify the authorized user, these may differ depending on the specific implementation.

2b zeigt ein weiteres Beispiel für einen Inhalt eines Datensatzes 220, der eine Berechtigung anzeigt, auf zumindest einen Service zuzugreifen. Der Datensatz 220 basiert auf dem NTLMSSP Authentifizierungsprotokoll. Der Datensatz umfasst die Information, um welche Art von Nachricht es sich handelt, im Feld 232, als Information über den Nachrichtentyp. Ferner sind in dem exemplarisch dargestellten Datensatz der Benutzername 234, der Computername 236 des sendenden Rechners sowie der Domainname 238 enthalten. In weiteren Datensätzen kann auch nur ein beliebiger Teil dieser Information enthalten sein und die Reihenfolge der enthaltenen Information kann beliebig sein. Falls das Feld 232 den Wert 3 als Kodierung für den Nachrichtentyp enthält, handelt es sich um den Nachrichtentyp „NTLMSSP_AUTH“ der unter anderem verwendet wird, um eine Authentifizierung des sendenden Benutzers durchzuführen. Auch bei dem in 2b gezeigten Datensatz 220 wäre es beispielsweise während der Kontrolle des Zugriffs auf einen Service möglich, den Benutzernamen 234 zum Identifizieren des berechtigten Benutzers, für den der Datensatz 220 erstellt wurde, direkt aus dem Datensatz zu extrahieren. Wie auch im Fall des Beispiels der 2a können Nachrichten gemäß dem NTLMSSP Protokoll noch mehr als die dargestellten Informationen enthalten. 2 B shows another example of a content of a record 220 that indicates a permission to access at least one service. The record 220 based on the NTLMSSP authentication protocol. The record contains the information about what kind of message it is in the field 232 , as information about the message type. Furthermore, in the data record shown by way of example, the user name 234 , the computer name 236 of the sending computer as well as the domain name 238 contain. In further data records, only an arbitrary part of this information may be included and the order of the information contained may be arbitrary. If the field 232 contains the value 3 as the message type encoding, is the message type "NTLMSSP_AUTH" used, among other things, to authenticate the sending user. Also at the in 2 B shown record 220 For example, if it were possible to control access to a service, it would be the username 234 to identify the authorized user for whom the record is 220 was created to extract directly from the record. As in the case of the example of 2a can contain messages according to the NTLMSSP protocol even more than the presented information.

In anderen Implementierungen kann der Datensatz beispielsweise einen oder mehrere Hash-Werte umfassen, die von einem Benutzerpasswort abgeleitet sind, beispielsweise mittels bekannter Hash-Algorithmen, wie beispielsweise dem MD4- oder SHA-3 Algorithmus. For example, in other implementations, the record may include one or more hash values derived from a user password, for example, by known hashing algorithms, such as the MD4 or SHA-3 algorithm.

3 illustriert ein Ausführungsbeispiel eines Verfahrens zum Erhalten eines Zugriffs auf einen Service 300 innerhalb eines Netzwerks für einen Benutzer, also ein Ausführungsbeispiel, das auf der Seite des Benutzers durchgeführt wird, um Zugriff auf den Service zu erhalten. 3 illustrates an embodiment of a method for obtaining access to a service 300 within a network for a user, that is, an embodiment performed on the user's side to gain access to the service.

Das Verfahren umfasst das Übermitteln eines Datensatzes 310, das für einen berechtigten Benutzer eine Berechtigung anzeigt, auf zumindest einen Service zuzugreifen. Insofern die Ausführungsbeispiele der Erfindung dazu benutzt werden, bestehende Lösungen für den Zugriff aus Services zu ergänzen, kann es sich auch um den bislang genutzte Datensatz handeln. Dies kann es ermöglichen, Ausführungsbeispiele der Erfindung dazu zu benutzen, die Sicherheit bereits existierender Netzwerke in Form einer Nachrüstlösung kosteneffizient und einfach zu erhöhen. The method comprises transmitting a data record 310 that indicates to an authorized user an authorization to access at least one service. Insofar as the embodiments of the invention are used to supplement existing solutions for access from services, it may also be the record used so far. This may allow embodiments of the invention to be used to cost-effectively and easily increase the security of existing networks in the form of a retrofit solution.

Auf das Übermitteln des Datensatzes 310 hin, wird in 320 eine Aufforderung empfangen, eine die Identität des Benutzers anzeigende Antwort zu erstellen, d.h. der Benutzer bzw. der sendende Benutzers des Datensatzes wird aufgefordert, seine Identität zu verifizieren, beispielsweise durch eine Signatur. On submitting the record 310 out, will be in 320 receive a request to create a response indicating the identity of the user, ie the user or the sending user of the record is requested to verify his identity, for example by a signature.

Daraufhin findet ein Übermitteln der Antwort 330 statt, welche die Identität des Benutzers anzeigt. Das heißt, benutzerseitig wird, über das Übermitteln des Datensatzes 310 hinaus, eine Aufforderung empfangen, die Identität nachzuweisen und eine Antwort übermittelt, die die Identität nachweist. Wenn der Nachweis die Identität des berechtigten Nutzers angezeigt hat, kann gemäß einigen Ausführungsbeispielen der weitere Zugriff auf den Service gemäß den bereits etablierten Mechanismen erfolgen, was die Nachrüstung von Ausführungsbeispielen der Erfindung in bestehenden großen Netzwerken effizient ermöglichen kann. 3 zeigt, unter der Annahme eines erfolgreichen Nachweises der Identität des berechtigten Benutzers, den optionalen nachfolgenden Schritt des Zugreifens auf den Service 340. Thereupon finds a transmission of the answer 330 instead, which indicates the identity of the user. That is, user-side, is about transmitting the record 310 in addition, receive a request to prove the identity and transmit a response that proves the identity. If the proof has indicated the identity of the authorized user, according to some embodiments, the further access to the service may be in accordance with already established mechanisms, which may efficiently enable the retrofitting of embodiments of the invention in existing large networks. 3 Figure 14 shows, assuming successful proof of the identity of the authorized user, the optional subsequent step of accessing the service 340 ,

1 illustriert schematisch ein Ausführungsbeispiel eines Verfahrens, wie es auf einer authentifizierenden Instanz, beispielsweise auf einem Server ablaufen könnte und 3 zeigt ein Ausführungsbeispiel eines Verfahrens, das benutzerseitig ablaufen könnte. 1 schematically illustrates an embodiment of a method, how it could run on an authenticating entity, for example on a server, and 3 shows an embodiment of a method that could be user-side.

Zum besseren Verständnis des Zusammenwirkens der verschiedenen Komponenten innerhalb des Netzwerks, zeigt 4 ein Flussdiagramm eines Verfahrens zum Zugreifen auf einen Service in einem Netzwerk von Beginn der Anfrage mittels eines Datensatzes bis zum tatsächlich erfolgenden Zugriff auf den Service. To better understand the interaction of the various components within of the network, shows 4 a flowchart of a method for accessing a service in a network from the beginning of the request by means of a record to the actual access to the service.

4 illustriert schematisch auch die jeweiligen ausführenden Entitäten oder Instanzen. Ein Benutzer 410 (Client) kommuniziert mit einer authentifizierenden Instanz bzw. mit einer Vorrichtung zum Kontrollieren eines Zugriffs 412 (CAS) und diese kommuniziert mit einer Authentifizierung 414 (SRV AuthN) eines Service 416 (Dienst). Die CAS 412 führt die korrelierende, zusätzliche Authentifizierung (CAS AuthN) durch und ist folglich die auschlaggebende Instanz, welche die gesamte Service Authentisierung (SRV AuthN + CAS AuthN) und somit den Zugriff auf den Service 416 kontrolliert. Eine Vorrichtung zum Kontrollieren eines Zugriffs auf einen Service wird im Folgenden auch mit CAS bezeichnet. 4 schematically illustrates also the respective executing entities or instances. A user 410 (Client) communicates with an authenticating entity or device to control access 412 (CAS) and this communicates with an authentication 414 (SRV AuthN) of a service 416 (Service). The CAS 412 performs the correlating, additional authentication (CAS AuthN) and is therefore the issuing authority, which performs the entire service authentication (SRV AuthN + CAS AuthN) and thus access to the service 416 controlled. A device for controlling access to a service is also referred to below as CAS.

Die erfolgreiche Absolvierung der SAS AuthN, deren Ergebnis der Erhalt eines Datensatzes ist, der eine Berechtigung anzeigt, auf zumindest einen Service zuzugreifen, wird vorausgesetzt und ist in der folgenden Abbildung nicht dargestellt. Dabei sind den einzelnen Schritten Bezugszeichen zugeteilt. The successful completion of the SAS AuthN, the result of which is the receipt of a record indicating an authorization to access at least one service, is assumed and is not shown in the following figure. In this case, the individual steps are assigned reference numerals.

420: Der Client bzw. der sendende Benutzer 410 sendet eine Anfrage (AREQ), um auf einen Service zuzugreifen (dies kann z.B. die initiale Nachricht der SRV AuthN sein). Das heißt, es wird ein Datensatz gesendet, der eine Berechtigung anzeigt, auf den Service 416 zuzugreifen. 420 : The client or the sending user 410 sends a request (AREQ) to access a service (this may be, for example, the initial message of SRV AuthN). That is, a record indicating a permission is sent to the service 416 access.

422: Sobald die Anfrage 420 von der CAS 412 empfangen wird, wird die UID bestimmt, z.B. anhand des SAT, extrahiert aus dem AREQ, nachgeschlagen anhand der IP, oder auf eine andere Art und Weise. Das heißt, es erfolgt ein Identifizieren eines berechtigten Benutzers, für den der Datensatz erstellt wurde. Das Ergebnis ist beispielsweise die UID. 422 : As soon as the request 420 from the CAS 412 is received, the UID is determined, for example, from the SAT, extracted from the AREQ, looked up by the IP, or otherwise. That is, it identifies an authorized user for whom the record was created. The result is, for example, the UID.

424: Der CAS 412 generiert eine sogenannte Challenge, z.B. eine Zufallszahl. 424 : The CAS 412 generates a so-called challenge, eg a random number.

426: Der CAS 412 stellt dem sendenden Benutzer 410 die Aufgabe, den Besitz der zusätzlichen Authentisierungsdaten nachzuweisen und sendet die Challenge an den Benutzer. 426 : The CAS 412 Represents the sending user 410 the task of proving possession of the additional authentication data and sends the challenge to the user.

428: Der Benutzer löst die Aufgabe, indem er den Besitz der Authentisierungsdaten sowie den Empfang der aktuellen Challenge nachweist (z.B. durch Signieren der Zufallszahl mit Hilfe einer Smartcard). Als Resultat liegt die gelöste Aufgabe vor. 428 : The user solves the task by proving the possession of the authentication data as well as the receipt of the current challenge (eg by signing the random number with the help of a smartcard). The result is the solved task.

430: Der Benutzer sendet die gelöste Aufgabe an den CAS 412. 430 : The user sends the solved task to the CAS 412 ,

432: Der CAS 412 verifiziert die Antwort anhand der zur UID dazugehörigen, korrelierten Verifikationsdaten. Die Verifikationsdaten können hierbei auch den Authentisierungsdaten entsprechen, die beim Schritt 428 zur Lösung der Challenge verwendet wurden. Der CAS 412 hat den Benutzer 410 somit erfolgreich authentifiziert (CAS AuthN). 432 : The CAS 412 verifies the answer using the correlated verification data associated with the UID. In this case, the verification data can also correspond to the authentication data that was used in the step 428 were used to solve the challenge. The CAS 412 has the user 410 thus successfully authenticated (CAS AuthN).

Durch die Schritte 424 bis 432 wird also überprüft (440), ob der Datensatz ausgehend von dem berechtigten Benutzer empfangen wurde. Through the steps 424 to 432 is checked ( 440 ), whether the record was received from the authorized user.

Der CAS 412 ermöglicht den Zugriff auf den Service mittels der Authentifizierung 414 (SRV AuthN) nur dann, wenn auch die CAS AuthN erfolgreich abgeschlossen ist, das heißt, wenn verifiziert wurde, dass der Datensatz ausgehend von dem berechtigten Benutzer empfangen wurde. The CAS 412 allows access to the service via authentication 414 (SRV AuthN) only if the CAS AuthN has also been successfully completed, that is, if it has been verified that the data record was received from the authorized user.

Das Gewähren des Zugriffs auf den Service 450 bzw. die Erstauthentifizierung bei dem Service 450 umfasst bei dem Ausführungsbeispiel der 4 ein Weiterleiten 452 der Anfrage an die Authentisierung 414 des Service 416. Diese herkömmliche SRV AuthN kann vor, nach oder parallel zu den Schritten 422 bis 432 unverändert abgehandelt werden. Granting access to the service 450 or the first authentication at the service 450 includes in the embodiment of 4 a forwarding 452 the request to the authentication 414 the service 416 , This conventional SRV AuthN may be before, after or parallel to the steps 422 to 432 be dealt with unchanged.

454: Das (positive) Ergebnis der SRV AuthN kann jederzeit vom CAS 412 empfangen und gepuffert werden und muss positiv vorhanden sein, bevor der Benutzer 410 tatsächlich in Schritt 474 Zugriff erlangt, wenn dieser also mit dem Service kommunizieren kann bzw. wenn dessen Anfragen den Service 416 erreichen können. 454 : The (positive) result of the SRV AuthN can be retrieved at any time from the CAS 412 must be received and buffered and must be present positively before the user 410 actually in step 474 Access gained, so if this can communicate with the service or if its requests the service 416 reachable.

456: Die Antwort der SRV AuthN wird an den Benutzer weitergeleitet werden. Dies kann zu jedem Zeitpunkt erfolgen, bevorzugt jedoch, nachdem das Ergebnis der CAS AuthN vorliegt, wenn also überprüft wurde, ob der Datensatz bei 420 ausgehend von dem berechtigten Benutzer empfangen wurde. Wenn diese fehlschlägt kann im bevorzugten Fall bereits hier der Zugriff verweigert werden. 456 : The response of SRV AuthN will be forwarded to the user. This can be done at any time, but preferably after the result of the CAS AuthN is present, that is, if it was checked whether the record at 420 was received from the authorized user. If this fails, the access can already be denied here in the preferred case.

Im Erfolgsfall erfolgt der Zugriff auf den Service durch den Benutzer 470. Der Benutzer 410 sendet die eigentliche Service- und Daten Anfrage (REQ) 472. Der CAS 412 lässt diese Anfragen nur zum Dienst durch 474, wenn auch die CAS AuthN positiv abgeschlossen ist. Nachdem der Authentisierungsprozess durch SRV und CAS AuthN erfolgreich abgeschlossen ist, wird also der Zugriff auf den Service ermöglicht. If successful, the service is accessed by the user 470 , The user 410 sends the actual service and data request (REQ) 472 , The CAS 412 leaves these requests only for service 474 , even if the CAS AuthN is completed positively. After the authentication process has been successfully completed by SRV and CAS AuthN, access to the service is thus possible.

Der Service 416 bearbeitet die Anfrage 474 wie üblich, es wird eine entsprechende Antwort generiert. und an den CAS 412 weitergeleitet. Der CAS 412 leitet die Antwort an den Client weiter und der Dienst ist etabliert. Der Zugriff 470 auf den Service 416 durch den Benutzer kann wie bei herkömmlichen Implementierungen erfolgen. The service 416 Edits the request 474 As usual, an appropriate response is generated. and to the CAS 412 forwarded. The CAS 412 Forwards the answer to the client and the service is established. The access 470 on the service 416 by the user can be done as in conventional implementations.

Wenngleich in den vorhergehenden Ausführungsbeispielen nicht beschrieben, können weitere Ausführungsbeispiele zusätzliche Absicherungsmaßnamen umfassen, um die Sicherheit weiter zu erhöhen. Although not described in the preceding embodiments, other embodiments may include additional safeguards to further enhance security.

Gemäß einigen weiteren Ausführungsbeispielen ist auch der serverseitige CAS 412 dem Benutzer 410 bzw. dem gegenüber Client nachweisbar identifizierbar, beispielsweise mittels eines geeigneten Zertifikats. Dies kann bereits vor Schritt 420 überprüft werden. Mit anderen Worten umfassen weitere Ausführungsbeispiele das Bestätigen einer Identität eines Empfängers des Datensatzes, hier der CAS 412, gegenüber dem sendenden Benutzer 412. According to some other embodiments, the server side CAS is also 412 the user 410 or the client verifiably identifiable, for example by means of a suitable certificate. This can already be done before step 420 be checked. In other words, further embodiments include confirming an identity of a recipient of the record, here the CAS 412 , to the sending user 412 ,

Um die Datenintegrität während und nach der CAS AuthN zu gewährleisten, wird gemäß einigen Ausführungsbeispielen ein Integritätsschutz der übertragenen Daten implementiert, beispielsweise mittels des Keyed-Hash Message Authentication Code (HMAC) oder mittels des Cipher-based Message Authentication Code (CMAC). Dies verhindert die Manipulation von Daten auch nach der Anmeldung durch Man-in-the-Middle Angriffe. Mit anderen Worten wird gemäße einigen Ausführungsbeispielen zumindest eine Integrität des empfangenen Datensatzes überprüft. Es wird dadurch festgestellt, ob der empfangene Datensatz auf dem Weg von dem sendenden Benutzer 410 zu der authentifizierenden Instanz bzw. zu dem CAS 412 verändert wurde. Gemäß weiteren Ausführungsbeispielen wird die Integrität einer jeden ausgetauschten Nachricht überprüft. In order to ensure data integrity during and after the CAS AuthN, integrity protection of the transmitted data is implemented according to some embodiments, for example by means of the Keyed Hash Message Authentication Code (HMAC) or by means of the Cipher-based Message Authentication Code (CMAC). This prevents manipulation of data even after logging in through man-in-the-middle attacks. In other words, according to some embodiments, at least one integrity of the received data set is checked. It is thereby determined whether the received record is en route from the sending user 410 to the authenticating entity or to the CAS 412 was changed. According to further embodiments, the integrity of each exchanged message is checked.

Um das Mitlesen der Nachrichten zu unterbinden wird gemäß einigen Ausführungsbeispielen der gesamten Datenverkehr des Zugriffs auf den Service verschlüsselt, beispielsweise per VPN, IPSEC oder SSL/TLS. In order to prevent reading of the messages, according to some embodiments, the entire data traffic of the access to the service is encrypted, for example by VPN, IPSEC or SSL / TLS.

Dauert eine Sitzung bzw. der Zugriff auf einen Service länger an, kann in regelmäßigen Abständen eine neue CAS AuthN angefordert werden, um so zum Beispiel zu verhindern, dass ein Token wie etwa eine Smartcard zur Authentifizierung entfernt werden kann oder nach der letzten Authentifizierung entfernt wurde. Mit anderen Worten wird eine kontinuierliche Präsenzprüfung durchgeführt und das Überprüfen, ob der Datensatz von dem berechtigten Benutzer empfangen wurde, wird in vorbestimmten Zeitintervallen wiederholt. If a session or access to a service takes longer, a new CAS AuthN can be requested periodically, for example to prevent a token, such as a smartcard, from being removed for authentication or removed after the last authentication , In other words, a continuous presence check is performed and the checking of whether the record has been received by the authorized user is repeated at predetermined time intervals.

Gemäß einigen Ausführungsbeispielen wird, anstatt einen Token durch erneute Prüfung zu verifizieren, dieser als kryptographisches Geheimnis auf einem gesicherten Speicher abgelegt, beispielsweise auf einer Smartcard. Die Prüfung kann dann durch ein asymmetrisches Verfahren erfolgen, bei dem etwa eine Signatur den Besitz des Tokens nachweist ohne dass ein Angreifer es auslesen könnte. According to some embodiments, instead of verifying a token by retesting, it is stored as a cryptographic secret on secure storage, such as a smart card. The check can then be carried out by an asymmetric method in which, for example, a signature proves possession of the token without an attacker being able to read it out.

Für die Funktionalität der Ausführungsbeispiele der Erfindung ist es nicht erforderlich, dass das Verfahren zum Kontrollieren des Zugriffs auf den Service auf einer bestimmten oder gar dedizierten Netzwerkkomponente abläuft. Während auf Seite des Benutzers eine natürliche Zuordnung gegeben ist, da dessen Verfahrensschritte auf der Identität bzw. bei dem Benutzer und dessen Client durchgeführt werden, der den Zugriff auf den Service benötigt, ergibt sich für das Verfahren zum Kontrollieren des Zugriffs eine Vielzahl von Möglichkeiten, wie und auf welchen Hardware-Komponenten bzw. Entitäten im Netzwerk dieses durchgeführt werden kann. Beispielsweise kann das Verfahren zum Kontrollieren des Zugriffs als Security-Add-On direkt auf den Servern, die auch den Dienst bzw. den Service anbieten, implementiert werden, beispielsweise als zusätzliches Software- oder Hardware-Modul. For the functionality of the embodiments of the invention, the method of controlling access to the service on a particular or even dedicated network component is not required to occur. While there is a natural association on the part of the user, since its method steps are performed on the identity or on the user and his client who needs access to the service, the method for controlling the access results in a multitude of possibilities how and on which hardware components or entities in the network this can be done. For example, the method of controlling access as a security add-on may be implemented directly on the servers that also provide the service or service, for example, as an additional software or hardware module.

Möglich ist auch eine zentralisierte Lösung, beispielsweise innerhalb einer dedizierten virtuellen Maschine, die gegebenenfalls die Anbieter von mehreren Services bzw. mehrerer Zielserver gleichzeitig schützen könnte. Alternativ könnte das Verfahren zum Kontrollieren eines Zugriffs auch als geeignetes Modul bzw. Softwarekomponente direkt auf einem Host einer Virtualisierungslösung ablaufen. It is also possible to have a centralized solution, for example within a dedicated virtual machine, which could possibly simultaneously protect the providers of several services or multiple target servers. Alternatively, the method of controlling access could also be run as a suitable module or software component directly on a host of a virtualization solution.

Als weitere Möglichkeit zeigt 5 exemplarisch das Verwenden eines eigenständigen Netzwerkgerätes bzw. einer eigenständigen Appliance, die die Kontrolle des Zugriffs auf die Services innerhalb des Netzwerks durchführt. So können beispielsweise mehrere Netzwerksegmente physikalisch getrennt werden und es können mehrere Server gleichzeitig geschützt werden. Innerhalb des Netzwerkes sind als Beispiel für unterschiedliche Services ein Druckservice 552, ein Datenservice 554 und ein weiterer Service 556 dargestellt, denen jeweils unterschiedliche IP Adressen zugeordnet sind. Ausführungsbeispiele der Erfindung umfassen, wie in 5 dargestellt, auch Vorrichtungen zum Kontrollieren eines Zugriffs auf einen Service 500. Die Vorrichtung 500 wird in der Implementierung in 5 auch als CAS bezeichnet. Die Vorrichtung bzw. CAS 500 kann vom Benutzer 510, der exemplarisch als Netzwerk-Client oder PC mit der Möglichkeit zur Smartcard-Authentifizierung angenommen wird, eindeutig identifiziert werden. Ferner ist ein sicherer Kommunikationskanal bzw. eine verschlüsselte Verbindung 520 (beispielsweise eine VPN-Verbindung) zwischen dem Benutzer und dem CAS-Gateway 500 etabliert. Bei dem in 5 gezeigten Ausführungsbeispiel wird zur Authentifizierung bei dem Aufbau des sicheren Kanals bzw. der verschlüsselten Verbindung 520 zwischen dem Benutzer 510 und dem CAS 500 eine einen Benutzer identifizierende weitere Information verwendet, beispielsweise ein dem Benutzer eindeutig zugeordneter Schlüssel. Diese weitere Information kann bei dem Verfahren zum Kontrollieren eines Zugriffs auf einen Service verwendet werden, um sie mit einer aus dem Datensatz extrahierten, den berechtigten Benutzer identifizierenden Information zu vergleichen, sobald der Benutzer 510 Zugriff auf einen Service innerhalb des Netzwerks 550 erlangen will. Mit anderen Worten wird bei dem in 5 gezeigten Ausführungsbeispiel die Authentifizierung für den sicheren Kanal bzw. die verschlüsselte Verbindung 520 als Authentifizierung für das CAS-Gateway eingesetzt (CAS AuthN) und innerhalb des etablierten, sicheren Kanals bzw. der verschlüsselten Verbindung 520 wird die SAS AuthN durchgeführt, die nur als erfolgreich gilt, wenn die Authentifizierungsdaten der SAS AuthN zu den Authentifizierungsdaten für den sicheren Kanal (CAS AuthN) passen. As another possibility shows 5 by way of example, using a standalone network device or a stand-alone appliance that controls access to the services within the network. For example, multiple network segments can be physically separated and multiple servers can be protected simultaneously. Within the network, a print service is an example of different services 552 , a data service 554 and another service 556 represented, each of which different IP addresses are assigned. Embodiments of the invention include, as in 5 Also shown are devices for controlling access to a service 500 , The device 500 is used in the implementation in 5 also referred to as CAS. The device or CAS 500 can by the user 510 , which is exemplarily adopted as a network client or PC with the possibility of smart card authentication, can be uniquely identified. Furthermore, a secure communication channel or an encrypted connection 520 (for example, a VPN connection) between the user and the CAS gateway 500 established. At the in 5 shown embodiment is used for authentication in the construction of the secure channel or the encrypted connection 520 between the user 510 and the CAS 500 a user identifying identifying information, such as a unique key assigned to the user. This further information may be used in the method of controlling access to a service to compare it with an information extracted from the record identifying the authorized user as soon as the user 510 Access to a service within the network 550 wants to gain. In other words, at the in 5 shown embodiment, the authentication for the secure channel or the encrypted connection 520 used as authentication for the CAS gateway (CAS AuthN) and within the established secure channel or the encrypted connection 520 the SAS AuthN is executed, which is only successful if the authentication data of the SAS AuthN matches the authentication data for the secure channel (CAS AuthN).

Ein in 5 exemplarisch dargestellter potentieller Angreifer 560 kann keine Nachrichten fälschen und auch sogenannte Man-In-The-Middle-Attacken sind ausgeschlossen. Insbesondere kann er gemäß den Ausführungsbeispielen der Erfindung auch keine gestohlenen Authentifizierungsdaten (Datensätze, die eine Berechtigung anzeigen, auf zumindest einen Service zuzugreifen) verwenden, da er in diesem Fall nicht im Besitz der CAS AuthN-Daten für den sicheren Tunnel wäre, die in diesem Fall der weiteren einen Benutzer identifizierenden Information entsprechen. Folglich kann der potentielle Angriff auch nicht direkt auf die Services 552, 554 und 556 innerhalb des CAS-geschützten Servicenetzes zugreifen. An in 5 exemplified potential attacker 560 Can not fake messages and so-called man-in-the-middle attacks are excluded. In particular, according to the embodiments of the invention, it can not use stolen authentication data (records indicating an entitlement to access at least one service), since in this case it would not be in possession of the CAS AuthN data for the secure tunnel that is in it Case of further correspond to a user identifying information. Consequently, the potential attack can not be directly related to the services 552 . 554 and 556 within the CAS protected service network.

Mit anderen Worten wird bei dem in 5 gezeigten Ausführungsbeispiel der sichere Tunnel bzw. die verschlüsselte Verbindung 520 zuerst etabliert, bevor eine Anfrage, auf einen Service zugreifen zu dürfen, gesendet wird. Die anschließende Korrelation der SRV AuthN kann also anhand und innerhalb des sicheren Tunnels realisiert werden. Das heißt, die anschließende SRV AuthN mittels SAT wird nur akzeptiert, sofern der SAT bzw. die UID des Nutzers auch mit der Identität übereinstimmt, die beim Aufbau des sicheren Kanals verwendet wurde. Dies ist nur eine einer Vielzahl von möglichen Umsetzungsvarianten von Ausführungsbeispielen der vorliegenden Erfindung, im vorliegenden Fall eine, bei der eine weitere den Benutzer identifizierende Information in Form der CAS AuthN bestimmt wird, bevor der Datensatz, der die Berechtigung anzeigt, auf zumindest einen Service zuzugreifen, empfangen wird (SRV AuthN). Wie anhand von 5 dargestellt, kann eine Vorrichtung zum Kontrollieren eines Zugriffs auf einen Service innerhalb eines Netzwerks ähnlich einem Gateway implementiert sein. In other words, at the in 5 shown embodiment of the secure tunnel or the encrypted connection 520 first established before a request to access a service is sent. The subsequent correlation of the SRV AuthN can thus be realized on the basis of and within the safe tunnel. That is, the subsequent SRV AuthN using SAT is accepted only if the SAT or UID of the user also matches the identity used in establishing the secure channel. This is just one of a variety of possible implementation variants of embodiments of the present invention, in the present case one in which further user identifying information is determined in the form of CAS AuthN before the record indicating entitlement accesses at least one service , is received (SRV AuthN). As based on 5 As shown, an apparatus for controlling access to a service may be implemented within a network similar to a gateway.

Die wesentlichen Komponenten zum Kontrollieren eines Zugriffs auf einen Service innerhalb eines Netzwerkes sind in 6 schematisch anhand eines Blockdiagramms erneut dargestellt. Eine Vorrichtung zum Kontrollieren eines Zugriffs auf einen Service 600 umfasst eine Eingangsschnittstelle 610, die ausgebildet ist, um einen Datensatz zu empfangen, das eine Berechtigung anzeigt, auf zumindest einen Service zuzugreifen. The essential components for controlling access to a service within a network are 6 schematically illustrated by a block diagram again. A device for controlling access to a service 600 includes an input interface 610 adapted to receive a record indicating an authorization to access at least one service.

Der Datensatz stammt von einem sendenden Benutzer, der dieses entweder aufgrund seiner internen Konfiguration direkt an die Vorrichtung 600 sendet oder der Datensatz aufgrund von geeigneten Routing Mechanismen im Netzwerk von einer einem Anbieter eines Services zugeordneten Adresse an eine Adresse der Vorrichtung 610 umgeleitet wird. The record is from a sending user who sends it directly to the device either because of its internal configuration 600 or the data set is sent from an address assigned to a provider of a service to an address of the device on the basis of suitable routing mechanisms in the network 610 is redirected.

Ein Informationsbearbeiter 620 ist ausgebildet, einen berechtigten Benutzer zu identifizieren, für den der Datensatz erstellt wurde. Dabei implementiert der Informationsbearbeiter 620 beispielsweise eine der in den vorangegangenen Abschnitten beschriebenen Möglichkeiten. An information worker 620 is designed to identify an authorized user for whom the record was created. The information processor implements this 620 for example, one of the options described in the previous sections.

Ein Verifizierer 640 ist ausgebildet, um zu überprüfen, ob der Datensatz von dem berechtigten Benutzer empfangen wurde und eine Ausgangsschnittstelle 650 ist ausgebildet, den Zugriff auf den Service zu gewähren, wenn der Datensatz von dem berechtigten Benutzer empfangen wurde. Dies kann beispielsweise dadurch erfolgen, dass die in der Vorrichtung 600 während der Überprüfung zwischengespeicherte Anfragen an den Anbieter des Service bzw. Dienstes über die Ausgangsschnittstelle 650 erst dann weitergeleitet wird, wenn sichergestellt, dass der Datensatz von dem berechtigten Benutzer empfangen wurde. A verifier 640 is configured to check whether the record has been received by the authorized user and an output interface 650 is configured to grant access to the service when the record has been received by the authorized user. This can be done, for example, that in the device 600 during the check, cached requests to the service provider via the outbound interface 650 is not forwarded unless it is ensured that the record has been received by the authorized user.

Eine Vorrichtung zum Kontrollieren eines Zugriffs auf einen Service 600 kann beispielsweise eine dedizierte Hardware sein oder ein Rechner, der mit den notwendigen Schnittstellen ausgestattet ist. Die Vorrichtung kann auch einer einzelnen CPU innerhalb eines Mehrprozessorsystems entsprechen, oder in Form eines Systems on a Chip implementiert sein. Möglich sind beliebige Arten von die Funktionalität bereitstellenden Vorrichtungen, Rechnern oder Hardware, die ganz oder Teilweise zum Bereitstellen der Funktionalität genutzt wird. A device for controlling access to a service 600 For example, it can be dedicated hardware or a computer equipped with the necessary interfaces. The device may also correspond to a single CPU within a multiprocessor system, or be implemented in the form of a system on a chip. Possible types of functionality providing devices, computers or hardware, which is used in whole or in part to provide the functionality.

In anderen Worten können Ausführungsbeispiele der Erfindung wie folgt zusammengefasst werden. Um eine Schwachstelle der SSO Verfahren, nämlich die Wiederverwendung des (gestohlen) SAT, netzwerkseitig zu schließen (SAT Replay Protection), wird ein weiterer Schritt in die SSO Verfahren integriert werden, um den SAT des Nutzers erneut prüfen zu können. Um zu erreichen, dass das zusätzliche Authentisierungsverfahren während der SRV AuthN nicht separat umgangen werden kann, wird dieser zusätzliche Schritt mit der Identität der SRV AuthN korreliert. Dazu kann die Identität und/oder ggf. andere (zusätzliche) Parameter, z.B. die verfügbare Sitzungskennung, aus einem bestehenden Dienst oder Protokoll extrahiert werden oder in einer Datenbank (z.B. anhand der IP) nachgeschlagen werden. Basierend auf solch einer Zuordnungsvorschrift wird die Identität ausgewählt und ein zusätzlicher Nachweis vom identifizierten Nutzer angefordert. Nur wenn dieser die zusätzliche, korrelierte Anfrage auch beantworten kann, wird davon ausgegangen, dass der SAT, der während der SRV AuthN benutzt wurde, vertrauenswürdig ist und nicht etwa von einem Angreifer stammt, der diesen aktuell missbraucht. In other words, embodiments of the invention may be summarized as follows. In order to close a weak point of the SSO procedures, namely the reuse of the (stolen) SAT on the network side (SAT Replay Protection), a further step will be integrated into the SSO procedure in order to be able to recheck the SAT of the user. To achieve that additional authentication method during the SRV AuthN can not be bypassed separately, this additional step is correlated with the identity of SRV AuthN. For this purpose, the identity and / or possibly other (additional) parameters, eg the available session identifier, can be extracted from an existing service or protocol or be looked up in a database (eg based on the IP). Based on such an assignment rule, the identity is selected and additional evidence is requested from the identified user. Only if this can answer the additional, correlated query, it is assumed that the SAT, which was used during the SRV AuthN, is trustworthy and not from an attacker who currently abuses it.

Um dies zu ermöglichen, ergeben sich Benutzer- bzw. client-seitig zumindest für einige Ausführungsbeispiele folgende Anforderungen:

• Vorkommen eines Einzigartigen Zuordnungsmerkmals (UID) gebunden an die SRV AuthN des Ursprungsdienstes (SAT oder Nutzername/ID)
• Besitz von zusätzlichen Authentisierungsdaten neben dem SAT, unter anderem das einzigartige Zuordnungsmerkmal.

In order to make this possible, the following requirements arise on the user or client side, at least for some embodiments:

• Occurrence of a Unique Assignment Characteristic (UID) linked to the SRV AuthN of the original service (SAT or username / ID)
• Owning additional authentication data besides the SAT, including the unique mapping feature.

Grundlegende serverseitige Anforderungen für zumindest einige Ausführungsbeispiele sind:

• Möglichkeit die UID im Dienst oder in dessen SRV AuthN zu identifizieren.
• Besitz von zusätzlichen Verifikationsdaten der Client-Seite.
• Zusätzliche Authentisierungsverfahren und akkurate sowie eindeutige Zuordnung der zusätzlichen Verifikationsdaten zur UID und umgekehrt.

Basic server-side requirements for at least some embodiments are:

• Possibility to identify the UID in the service or in its SRV AuthN.
• Owning additional client-side verification data.
• Additional authentication procedures and accurate and clear assignment of the additional verification data to the UID and vice versa.

Diese Korrelation bzw. der zugriffsverwaltende Dienst wird daher hierin teilweise als Correlating Authentication Service (CAS) bezeichnet. Der CAS involviert somit seine zusätzliche Authentisierung (CAS AuthN) anhand der korrelierten UID des Dienstes bzw. der SRV AuthN. Der CAS kann weiterhin die Steuerung der Service Anfragen übernehmen, z.B. blocken des Dienstes bis die gesamte Authentisierung abgeschlossen ist, was ähnlich der Funktionsweise einer Firewall ist. This correlation or access-managing service is therefore referred to herein in part as Correlating Authentication Service (CAS). The CAS thus involves its additional authentication (CAS AuthN) based on the correlated UID of the service or the SRV AuthN. The CAS can also take over the control of service requests, e.g. block the service until all authentication is complete, which is similar to the way a firewall works.

Ein Vorteil der Ausführungsbeispiele der Erfindung mit CAS Zugriffsverwaltung und CAS AuthN besteht in der Möglichkeit, unsichere Authentifizierungsverfahren in dem Maße nachzurüsten, dass ein Angreifer, der nicht im Besitz der CAS AuthN Daten ist, auch nicht in der Lage ist sich mit gestohlenen Authentisierungsdaten (SAT) betreffend der SRV AuthN zu authentisieren. Ein besonderer Vorteil dieser ergibt sich dadurch, dass offizielle Anwender, die legal im Besitz Ihrer CAS AuthN Daten sind, keine anderen gestohlen Authentisierungsdaten (SAT) für die SRV AuthN verwenden, und somit die SRV AuthN nicht durch Vortäuschen einer anderen Identität umgehen können (Insider Angriffe). Dies wird durch die Ausführungsbeispiele der Erfindung und mit der CAS Zugriffsverwaltung und der Korrelation der CAS AuthN zur SRV AuthN gewährleistet, so dass diese Angriffe verhindern werden können. Vorteilhaft ist es hierbei, wenn die CAS AuthN die Präsenz des Nutzers und somit die Authentizität der Anmeldedaten beweisen kann. Daher sind Hardware-Tokens wie etwa Smartcards besonders geeignet. Der Verlust eines Hardware Tokens fällt sofort auf, wobei ein (weiterer) Passwortdiebstahl unbemerkt geschehen kann. Weiterhin sind Hardware Tokens wie Smartcards gegen Kopieren geschützt. An advantage of the embodiments of the invention with CAS access management and CAS AuthN is the ability to retrofit insecure authentication methods to the extent that an attacker who is not in possession of the CAS AuthN data is also unable to deal with stolen authentication data (SAT ) regarding the SRV AuthN. A particular advantage of this is that official users who are legally in possession of their CAS AuthN data, do not use any other stolen authentication data (SAT) for the SRV AuthN, and thus can not circumvent the SRV AuthN by pretending a different identity (Insider attacks). This is ensured by the embodiments of the invention and with the CAS access management and the correlation of the CAS AuthN to the SRV AuthN, so that these attacks can be prevented. It is advantageous here if the CAS AuthN can prove the presence of the user and thus the authenticity of the log-on data. Therefore, hardware tokens such as smart cards are particularly suitable. The loss of a hardware token is immediately noticeable, whereby a (further) password theft can happen unnoticed. Furthermore, hardware tokens such as smart cards are protected against copying.

Auch muss durch Korrelation der CAS AuthN, die ursprüngliche SRV AuthN des Dienstes nicht modifiziert oder ausgetauscht werden, was in Bezug auf bestehende Infrastrukturen einen enormen Vorteil bringt, da Dienste wie gewohnt aufrecht erhalten werden können. Also, by correlating the CAS AuthN, the original SRV AuthN of the service need not be modified or exchanged, which brings a tremendous advantage over existing infrastructures since services can be maintained as usual.

Ein Beispiel für den Einsatz der vorgestellten Lösung wären Single-Sign-On-Verfahren in vielen Betriebssystem-Versionen. Eine über 15 Jahre bestehende Sicherheitslücke, namens Pass-the-Hash, die bis heute Angreifern offen steht, kann durch die Lösung netzwerkseitig geschlossen werden. Bei dem Pass-the-Hash Angriff kann ein Angreifer einen gestohlenen Passwort-Hash (vgl. SAT) wieder in sein Client-System einspielen, und sich somit unbefugten Zugang zu Servern und Diensten im Netzwerk verschaffen (SRV AuthN). Hashes besitzen die Eigenschaft, dass aus ihnen das ursprüngliche Passwort nicht ohne großen rechenintensiven Aufwand zurückberechnet werden kann, aber eine Prüfung, ob die Eingabe mit einem bekannten Wert übereinstimmt, problemlos ist. Durch herkömmliche, zusätzliche Authentisierung (z.B. Passwort plus Smartcard), kann hier nur eine bedingte Sicherheit gewährleistet werden, da die zusätzlichen Verfahren anders wie die Ausführungsbeispiele der Erfindung nicht die Identität der SRV AuthN korrelieren. Das Risiko von internen Angriffen, z.B. durch Mitarbeiter, wird durch die vorgestellte Lösung aufgelöst, so dass eine fälschliche Authentifizierung durch den Pass-the-Hash Angriff nicht mehr möglich ist und diese offene Sicherheitslücke geschlossen werden kann. Weiterhin kann die Lösung auch Schutz gegen sogenannte Pass-the-Ticket Angriffe bieten, eine erweiterte Form des Passthe-Hash Angriffs, angepasst auf das Kerberos Authentisierungsverfahren. Weiterhin schützen Ausführungsbeispiele der Erfindung auch vor dem Diebstahl von Passwörtern. Die Ausführungsbeispiele der Erfindung besitzen weitere vielfältige Verwendungsmöglichkeiten im Bereich der Authentisierung gegenüber IT-Systemen. Von den Vorteilen profitieren insbesondere Netzwerkdienste welche Lücken aufweisen, oder sogar überhaupt kein Authentisierungsverfahren (SRV AuthN) besitzen, aber eine UID. Mit anderen Worten können Ausführungsbeispiele der Erfindung auch eine fehlende SRV AuthN für Dienste generell nachrüsten (CAS AuthN = SRV AuthN), sofern eine gültige UID anhand der Dienstanfrage identifizierbar ist. An example of the use of the proposed solution would be single-sign-on methods in many operating system versions. A security gap of more than 15 years, called pass-the-hash, which remains open to attackers today, can be closed by the solution on the network side. In the case of the pass-the-hash attack, an attacker can re-import a stolen password hash (see SAT) into his client system, thus gaining unauthorized access to servers and services in the network (SRV AuthN). Hashes have the property that the original password can not be recalculated without great computational effort, but there is no problem in checking whether the input matches a known value. By conventional, additional authentication (eg password plus smart card), only a conditional security can be guaranteed here, since the additional methods, unlike the embodiments of the invention, do not correlate the identity of the SRV AuthN. The risk of internal attacks, eg by employees, is resolved by the presented solution, so that a false authentication through the pass-the-hash attack is no longer possible and this open security gap can be closed. Furthermore, the solution can also provide protection against so-called pass-the-ticket attacks, an advanced form of the Passthe hash attack, adapted to the Kerberos authentication process. Furthermore, embodiments of the invention also protect against theft of passwords. The embodiments of the invention have further diverse uses in the field of authentication to IT systems. The advantages in particular benefit network services which have gaps or even no authentication method (SRV AuthN) at all, but a UID. In other words, embodiments of the Invention also generally retrofit a missing SRV AuthN for services (CAS AuthN = SRV AuthN), provided that a valid UID is identifiable based on the service request.

Die in der vorstehenden Beschreibung, den nachfolgenden Ansprüchen und den beigefügten Figuren offenbarten Merkmale können sowohl einzeln wie auch in beliebiger Kombination für die Verwirklichung eines Ausführungsbeispiels in ihren verschiedenen Ausgestaltungen von Bedeutung sein und implementiert werden. The features disclosed in the foregoing description, the appended claims and the appended figures may be taken to be and effect both individually and in any combination for the realization of an embodiment in its various forms.

Obwohl manche Aspekte im Zusammenhang mit einer Vorrichtung beschrieben wurden, versteht es sich, dass diese Aspekte auch eine Beschreibung des entsprechenden Verfahrens darstellen, sodass ein Block oder ein Bauelement einer Vorrichtung auch als ein entsprechender Verfahrensschritt oder als ein Merkmal eines Verfahrensschrittes zu verstehen ist. Analog dazu stellen Aspekte, die im Zusammenhang mit einem oder als ein Verfahrensschritt beschrieben wurden, auch eine Beschreibung eines entsprechenden Blocks oder Details oder Merkmals einer entsprechenden Vorrichtung dar. Insbesondere kann die hierin beschriebene Vorrichtung zum Kontrollieren eines Zugriffs auf einen Service sämtliche oder beliebige Schritte des hierin beschriebenen Verfahrens zum Kontrollieren eines Zugriffs auf einen Service innerhalb eines Netzwerkes durchführen. Although some aspects have been described in the context of a device, it will be understood that these aspects also constitute a description of the corresponding method, so that a block or a component of a device is also to be understood as a corresponding method step or as a feature of a method step. Similarly, aspects described in connection with or as a method step also represent a description of a corresponding block or detail or feature of a corresponding device. In particular, the device for controlling access to a service described herein may include all or any steps of the device method for controlling access to a service within a network as described herein.

Je nach bestimmten Implementierungsanforderungen können Ausführungsbeispiele der Erfindung in Hardware oder in Software implementiert sein. Die Implementierung kann unter Verwendung eines digitalen Speichermediums, beispielsweise einer Floppy-Disk, einer DVD, einer Blu-Ray Disc, einer CD, eines ROM, eines PROM, eines EPROM, eines EEPROM oder eines FLASH-Speichers, einer Festplatte oder eines anderen magnetischen oder optischen Speichers durchgeführt werden, auf dem elektronisch lesbare Steuersignale gespeichert sind, die mit einer programmierbaren Hardwarekomponente derart zusammenwirken können oder zusammenwirken, dass das jeweilige Verfahren durchgeführt wird. Depending on particular implementation requirements, embodiments of the invention may be implemented in hardware or in software. The implementation may be performed using a digital storage medium, such as a floppy disk, a DVD, a Blu-Ray Disc, a CD, a ROM, a PROM, an EPROM, an EEPROM or FLASH memory, a hard disk, or other magnetic disk or optical memory are stored on the electronically readable control signals, which can cooperate with a programmable hardware component or cooperate such that the respective method is performed.

Eine programmierbare Hardwarekomponente kann durch einen Prozessor, einen Computerprozessor (CPU = Central Processing Unit), einen Grafikprozessor (GPU = Graphics Processing Unit), einen Computer, ein Computersystem, einen anwendungsspezifischen integrierten Schaltkreis (ASIC = Application-Specific Integrated Circuit), einen integrierten Schaltkreis (IC = Integrated Circuit), ein Ein-Chip-System (SOC = System on Chip), ein programmierbares Logikelement oder ein feldprogrammierbares Gatterarray mit einem Mikroprozessor (FPGA = Field Programmable Gate Array) gebildet sein. A programmable hardware component may be integrated by a processor, a central processing unit (CPU), a graphics processing unit (GPU), a computer, a computer system, an application-specific integrated circuit (ASIC) Circuit (IC = Integrated Circuit), a system on chip (SOC) system, a programmable logic element or a field programmable gate array with a microprocessor (FPGA = Field Programmable Gate Array) may be formed.

Das digitale Speichermedium kann daher maschinen- oder computerlesbar sein. Manche Ausführungsbeispiele umfassen also einen Datenträger, der elektronisch lesbare Steuersignale aufweist, die in der Lage sind, mit einem programmierbaren Computersystem oder einer programmierbare Hardwarekomponente derart zusammenzuwirken, dass eines der hierin beschriebenen Verfahren durchgeführt wird. Ein Ausführungsbeispiel ist somit ein Datenträger (oder ein digitales Speichermedium oder ein computerlesbares Medium), auf dem das Programm zum Durchführen eines der hierin beschriebenen Verfahren aufgezeichnet ist. The digital storage medium may therefore be machine or computer readable. Thus, some embodiments include a data carrier having electronically readable control signals capable of interacting with a programmable computer system or programmable hardware component such that one of the methods described herein is performed. One embodiment is thus a data carrier (or a digital storage medium or a computer readable medium) on which the program is recorded for performing any of the methods described herein.

Allgemein können Ausführungsbeispiele der vorliegenden Erfindung als Programm, Firmware, Computerprogramm oder Computerprogrammprodukt mit einem Programmcode oder als Daten implementiert sein, wobei der Programmcode oder die Daten dahin gehend wirksam ist bzw. sind, eines der Verfahren durchzuführen, wenn das Programm auf einem Prozessor oder einer programmierbaren Hardwarekomponente abläuft. Der Programmcode oder die Daten kann bzw. können beispielsweise auch auf einem maschinenlesbaren Träger oder Datenträger gespeichert sein. Der Programmcode oder die Daten können unter anderem als Quellcode, Maschinencode oder Bytecode sowie als anderer Zwischencode vorliegen. In general, embodiments of the present invention may be implemented as a program, firmware, computer program, or computer program product having program code or data, the program code or data operative to perform one of the methods when the program resides on a processor or a computer programmable hardware component expires. The program code or the data can also be stored, for example, on a machine-readable carrier or data carrier. The program code or the data may be present, inter alia, as source code, machine code or bytecode as well as other intermediate code.

Ein weiteres Ausführungsbeispiel ist ferner ein Datenstrom, eine Signalfolge oder eine Sequenz von Signalen, der bzw. die das Programm zum Durchführen eines der hierin beschriebenen Verfahren darstellt bzw. darstellen. Der Datenstrom, die Signalfolge oder die Sequenz von Signalen kann bzw. können beispielsweise dahin gehend konfiguriert sein, um über eine Datenkommunikationsverbindung, beispielsweise über das Internet oder ein anderes Netzwerk, transferiert zu werden. Ausführungsbeispiele sind so auch Daten repräsentierende Signalfolgen, die für eine Übersendung über ein Netzwerk oder eine Datenkommunikationsverbindung geeignet sind, wobei die Daten das Programm darstellen. Another embodiment is further a data stream, a signal sequence, or a sequence of signals that represents the program for performing any of the methods described herein. The data stream, the signal sequence or the sequence of signals can be configured, for example, to be transferred via a data communication connection, for example via the Internet or another network. Embodiments are also data representing signal sequences that are suitable for transmission over a network or a data communication connection, the data representing the program.

Ein Programm gemäß einem Ausführungsbeispiel kann eines der Verfahren während seiner Durchführung beispielsweise dadurch umsetzen, dass dieses Speicherstellen ausliest oder in diese ein Datum oder mehrere Daten hinein schreibt, wodurch gegebenenfalls Schaltvorgänge oder andere Vorgänge in Transistorstrukturen, in Verstärkerstrukturen oder in anderen elektrischen, optischen, magnetischen oder nach einem anderen Funktionsprinzip arbeitenden Bauteile hervorgerufen werden. Entsprechend können durch ein Auslesen einer Speicherstelle Daten, Werte, Sensorwerte oder andere Informationen von einem Programm erfasst, bestimmt oder gemessen werden. Ein Programm kann daher durch ein Auslesen von einer oder mehreren Speicherstellen Größen, Werte, Messgrößen und andere Informationen erfassen, bestimmen oder messen, sowie durch ein Schreiben in eine oder mehrere Speicherstellen eine Aktion bewirken, veranlassen oder durchführen sowie andere Geräte, Maschinen und Komponenten ansteuern. For example, a program according to one embodiment may implement one of the methods during its execution by, for example, reading or writing one or more data into memory locations, optionally switching operations or other operations in transistor structures, amplifier structures, or other electrical, optical, magnetic or caused by another operating principle working components. Accordingly, by reading a memory location, data, values, sensor values or other information can be detected, determined or measured by a program. A program can therefore acquire, determine or measure quantities, values, measured variables and other information by reading from one or more storage locations, as well as effect, initiate or execute an action by writing to one or more storage locations and control other devices, machines and components ,

Die oben beschriebenen Ausführungsbeispiele stellen lediglich eine Veranschaulichung der Prinzipien der vorliegenden Erfindung dar. Es versteht sich, dass Modifikationen und Variationen der hierin beschriebenen Anordnungen und Einzelheiten anderen Fachleuten einleuchten werden. Deshalb ist beabsichtigt, dass die Erfindung lediglich durch den Schutzumfang der nachstehenden Patentansprüche und nicht durch die spezifischen Einzelheiten, die anhand der Beschreibung und der Erläuterung der Ausführungsbeispiele hierin präsentiert wurden, beschränkt sei. The embodiments described above are merely illustrative of the principles of the present invention. It will be understood that modifications and variations of the arrangements and details described herein will be apparent to others of ordinary skill in the art. Therefore, it is intended that the invention be limited only by the scope of the appended claims and not by the specific details presented in the description and explanation of the embodiments herein.

Claims

Method for controlling access to a service ( 100 ) within a network, comprising: receiving ( 110 ; 420 ) of a data record ( 200 ) indicating an authorization to access at least one service; Identify an authorized user ( 120 ; 422 ) for which the data record ( 200 ) was created; To verify ( 130 ; 440 ), whether the record ( 200 ) was received from the authorized user; and granting access to the service ( 140 ; 470 ) if the record was received from the authorized user.

The method of claim 1, further comprising: preventing access ( 150 ) on the service when the record ( 200 ) was not received from the authorized user.

Method according to one of claims 1 or 2, wherein the identifying ( 120 ; 422 ) extracting information identifying the authorized user ( 214 ) from the dataset ( 200 ).

Method according to one of claims 1 or 2, wherein the identifying ( 120 ; 422 ) comparing the received data set ( 200 ) comprising a list of stored records to obtain information identifying the authorized user.

Method according to one of claims 3 or 4, wherein the checking comprises: transmitting ( 426 ) a request to a sending user ( 410 ) from which the record was received to confirm its identity.

The method of claim 5, wherein the checking comprises: transmitting a task to the sending user; Receiving a solution ( 430 ) the task of the sending user; Determining a control solution for the task using the information identifying the authorized user; Comparing the control solution with the received solution; and verify ( 432 ) that the record was received from the authorized user when the control solution corresponds to or matches the solution.

The method of claim 6, wherein the task comprises a request to sign a random number.

Method according to one of claims 3 or 4, wherein the checking comprises: Determining another information identifying a sending user; and Confirm that the record was received from the authorized user when the information and other information identifies the same user.

The method of claim 8, wherein the checking comprises: creating an encrypted connection ( 520 ) with the sending user ( 510 ) from which the record was received, using the other, the sending user ( 510 ) identifying information.

Method according to one of the preceding claims, wherein the checking is repeated at predetermined time intervals.

Method according to one of the preceding claims, in which granting access to the service ( 470 ) comprises the transmission of a further data record which is available to a service provider ( 416 ) indicates an authorization on the service ( 416 ).

Method according to one of the preceding claims, in which granting access to the service ( 470 ) a forwarding ( 474 ) of a service request ( 472 ) to a service provider ( 416 ).

The method of any one of the preceding claims, further comprising: providing a data set indicating an authorization to access at least one service to an authorized user.

The method of any one of the preceding claims, further comprising: Confirming an identity of a recipient of the record to the sending user.

The method of any one of the preceding claims, further comprising: verifying an integrity of the received data set ( 200 ).

Method for obtaining access to a service ( 300 ) within a network for a user, comprising: transmitting a data set ( 310 ; 420 ) indicating to an authorized user an authorization to access at least one service; Receive a request ( 320 ; 426 ) to create a response indicating the identity of the user; and transmitting the answer ( 330 ; 430 ) indicating the identity of the user.

The method of claim 16, further comprising: accessing the service ( 340 ; 470 ).

Method for accessing a service ( 416 ) in a network, comprising: transmitting ( 420 ) of a record indicating authorization for an authorized user to at least one service ( 416 ) access; Identify an authorized user ( 422 ) for which the record was created; To transfer ( 426 ) a request to a sending user ( 410 ) from which the record was received to confirm its identity; and grant access ( 470 ) on the service ( 416 ) if the record was received from the authorized user.

The method of claim 18, further comprising: Encrypt traffic to and from the sending user.

Contraption ( 500 ; 600 ) to control access to a service ( 552 . 554 . 556 ) within a network ( 550 ), comprising: an input interface ( 610 ) configured to receive a record indicating an authorization to access at least one service; an information processor ( 620 ) configured to identify an authorized user for whom the record was created; a verifier ( 640 ) configured to check whether the record has been received from the authorized user; and an output interface ( 650 ), which is designed to provide access to the service ( 552 . 554 . 556 ) if the record was received from the authorized user.

A computer program comprising program code for effecting one of the methods of claims 1 to 19 when the program is executed on a processor or a programmable hardware component.