-
Technisches Gebiet
-
Die Erfindung betrifft ein Verfahren zum Identifizieren einer Rechnereinheit und eines Benutzers in einem Rechner-Netzwerk, wobei der individuelle Seriencode von einer Standard-Hardwarekomponente der Rechnereinheit mit einem Programm ausgelesen und zur Identifizierung der Rechnereinheit herangezogen und mit einem Benutzerkennwort kombiniert wird.
-
Stand der Technik
-
Es wird oft gefordert, daß sich ein Benutzer eines Rechners nur von einem ganz bestimmten Rechner in ein Netzwerk anmelden kann. Dabei kann es sich sowohl um ein lokales, ein Intra-Netzwerk, oder aber auch um das Internet handeln. In der Regel besteht ein solches Rechnernetzwerk aus einem oder mehreren zentralen Netzwerkrechnern, zu denen ein Benutzer mit Hilfe eines Anwenderrechners Zugang hat.
-
Für dieses Problem, daß sich ein Benutzer eines Rechners nur von einem ganz bestimmten Rechner in ein Netzwerk anmelden kann, existieren derzeit sogenannte „Kryptoboards”, die als Handwarekomponente in eine Rechnereinheit eingebaut werden können. Auf den „Kryptoboards” ist ein digitaler Code abgespeichert, der eine eindeutige Identifizierung des Rechners bzw. des „Kryptoboards” erlaubt.
-
Beim Anmelden des Benutzers in das Netzwerk wird aus diesem „Kryptoboard” mittels eines Programms ein individueller Identifizierungscode ausgelesen. Durch die Einmaligkeit dieses Codes kann so der Rechner eindeutig in einem Netzwerk identifiziert werden. In Kombination mit der Abfrage des Benutzers und dessen Benutzerkennwortes kann auf diese Weise ein Benutzer an einen bestimmten Rechner des Netzwerkes gebunden sein. Ein Anmelden von einem anderen Rechner des Netzwerkes würde ihm verwehrt, da sowohl der korrekte Code des Kryptoboards, als auch der korrekte Benutzer und das korrekte Benutzerkennwort in Kombination vom Netzwerk gefordert wird.
-
Diese Kryptoboards haben den Nachteil, daß sie relativ teuer sind und zudem speziell in die Rechnereinheit eingebaut werden müssen. Gegebenenfalls verbrauchen sie dann noch wertvollen Kartenplatz, der unter Umständen für andere Rechnerkomponenten benötigt wird.
-
Die
DE 40 19 652 A1 offenbart ein Verfahren zum Schutz von Software gegen unzulässiges Kopieren, bei dem aus einem rechnerindividuellen Passwort bzw. Benutzerkennwort, einem Rechneridentifikationsmerkmal und einer Software-Registrier-Nummer ein generelles Softwarepasswort erzeugt wird. Mit diesem Softwarepasswort kann ein Benutzer eine Software nur mit einem bestimmten Rechner nutzen. Voraussetzung für dieses Verfahren ist eine hardwareseitige Rechneridentifikations-Einrichtung, welche im Rechner installiert wird. Die Nutzung eines eindeutigen Seriencodes einer Standard-Hardwarekomponente ist nicht vorgesehen.
-
Die
EP 1 035 706 A2 beschreibt ein Verfahren zum Verbinden von Netzwerksegmenten eines Netzwerkes mit einer Zugangskontrolle durch eine Benutzerkennung. Dabei wird aus der eindeutigen Seriennummer eines Datenübertragungsgerätes, beispielsweise eines Routers, eine Benutzerkennung und ein Passwort generiert. Ein Benutzer muss nicht mehr selber Benutzerkennung und Passwort eingeben, sondern erhält je nach benutztem Datenübertragungsgerät bzw. Rechner eine entsprechende Zugangsberechtigung zu einem Netzwerksegment. Ein Nachteil dieses Verfahrens besteht darin, dass keine kombinierte Abfrage von Benutzerkennung und Seriennummer vorgesehen ist. Ein Benutzer erhält von jedem, mit dem Netzwerk verbundenen Rechner Zugang zum Netzwerk. Eine Einschränkung der Zugangsberechtigung eines Benutzers zu einem Netzwerk nur von bestimmten Rechnern aus ist nicht möglich.
-
Die
EP 0 762 260 A2 offenbart die Nutzung der eindeutigen Identifikationsnummer einer Netzwerkkarte beim Einloggen eines Benutzers in ein Computer-Netzwerk. Durch die Verwendung eines passwortgeschützten Benutzernamens und der Identifikationsnummer kann ein Systemverwalter die Rechte und die Umgebung für jeden Netzwerkbenutzer einzeln festlegen. Insbesondere wird dabei auch bestimmt, ob sich ein Benutzer nur von einem einzigen, mehreren ausgewählten oder allen Computern in ein Computer-Netzwerk einloggen kann. Mit der Identifikationsnummer der Netzwerkkarte wird die Identität des Computers durch eine Netzwerkverwaltung ermittelt. Als Nachteil erweist sich dabei, dass ein Benutzer mit entsprechenden Hardwarekenntnissen einfach die Netzwerkkarte aus einem Computer aus- und in einen anderen einbauen kann. Der Benutzer kann so die von dem jeweiligen Computer abhängigen Benutzereinschränkungen umgehen.
-
Offenbarung der Erfindung
-
Aufgabe der Erfindung ist es daher, ein kostengünstiges Verfahren für die Identifizierung eines Benutzers in einem Rechnernetzwerk zu schaffen, bei dem sich der Benutzer immer nur von einer bestimmten Rechnereinheit in das Rechnernetzwerk anmelden kann.
-
Erfindungsgemäß wird die Aufgabe dadurch gelöst, daß bei einem Verfahren der eingangs genannten Art mehrere individuelle Seriencodes mehrerer Standard-Hardwarekomponenten ausgelesen werden.
-
Die Erfindung beruht auf dem Prinzip, daß die Hersteller von Standard-Hardwarekomponenten für Rechner bereits einen individuellen Code in die Hardware integrieren. Diese Codes werden in der Hardwarekomponente in sogenannten ROMs (Abkürzung für Ready Only Memory – nur Lesespeicher) gespeichert. Grundsätzlich läßt sich jede Hardwarekomponente, bei der der individuelle Seriencode in einem ROM gespeichert ist, zur Rechneridentifizierung verwenden. Benutzerkennwort und Seriencode der Hardwarekomponente einer Rechnereinheit werden einem Zentral-Netzwerkrechner mitgeteilt und dort gespeichert. Beim Anmelden ist dann immer die Kombination von Benutzerkennwort und Seriencode erforderlich, um in das Netzwerk zu gelangen. Durch geeignete Programm-Routinen können diese durch den Zentralrechner abgefragt werden. Der Vorteil bei diesem Verfahren ergibt sich dadurch, daß hierdurch kostenintensive Zusatzkomponenten, wie das Kryptoboard gespart werden. Außerdem müssen keine zusätzlichen Komponenten in den Anwenderrechner integriert werden. Zur besseren Sicherung ist es zweckmäßig, dass mehrere individuelle Seriencodes mehrerer Standard-Hardwarekomponenten ausgelesen werden, um zu verhindern, dass ein entsprechendes Element aus der einen Rechnereinheit aus- und in einen anderen Rechner eingebaut wird.
-
Eine Netzwerkkarte ist eine besonders geeignete Hardware-Komponente, bei der der individuelle Seriencode in einem ROM der Standards-Hardwarekomponente abgelegt ist.
-
Das Programm zum Auslesen des Seriencodes kann in einer vorteilhaften Ausgestaltung der Erfindung im Hintergrund laufen, um andere Applikationen nicht zu unterbrachen, bzw. zu stören.
-
Es erweist sich als vorteilhaft, wenn das Programm zur Seriencode-Abfrage bereits als Bestandteil des Betriebssystems implementiert ist. Hierdurch werden zusätzliche Programme zur Abfrage nicht erforderlich. Außerdem ist es zur Standardisierung der Übergabe der entsprechenden Seriencode-Daten hilfreich.
-
Weitere Vorteile erben sich aus dem Gegenstand der Unteransprüche.
-
Kurze Beschreibung der Zeichnung
-
1 zeigt in einer Prinzipskizze ein Netzwerk mit dem erfindungsgemäßen Verfahren zum Anmelden.
-
2 zeigt eine Prinzipskizze über einen Anmeldevorgang in ein Netzwerk mit einem erfindungsgemäßen Verfahren.
-
Bevorzugtes Ausführbeispiel
-
In 1 wird beispielhaft der prinzipielle Aufbau eines Netzwerks gezeigt. Das Netzwerk besteht aus zentralen Netzwerkrechnern 10, 12 und 14 (C1, C2 und C3), die wiederum über Verbindungen 16, 18, 20 miteinander verbunden sind. Die Verbindungen können beispielsweise BNC-Kabel, aber auch Telefonleitungen sein. In diesem Ausführungsbeispiel sind nur drei zentrale Netzwerkrechner dargestellt. Es können aber beliebig viele zentrale Netzwerkrechner untereinander gekoppelt sein, wie es z. B. beim lokalen Netzwerk hin zum Intra- und Internet vorkommt. Um in einen der zentralen Netzwerkrechner 10, 12, 14 zu gelangen, muß ein Benutzer 15 mit der Bezeichnung X über einen der Anwenderrechner 22a bis 22f, 24a bis 24f bzw. 26a bis 26f sich im Netzwerk anmelden.
-
Der Benutzer 15 verfügt über ein individuelles Benutzerkennwort XY, mit dem er sich im Netzwerk als der Benutzer X zu erkennen gibt. Um zu verhindern, daß der Benutzer X sich von jedem beliebigen Anwenderrechner 22a bis 22f, 24a bis 24f bzw. 26a bis 26f bei einem der zentralen Netzwerkrechner 10, 12, 14 anmelden kann, ist sein Benutzerkennwort XY beispielsweise an den Seriencode (A3) der Netzwerkkarte des Anwenderrechners 22c gekoppelt.
-
Der von dem Hersteller vergebene Seriencode der Netzwerkkarte – auch MAC-Adresse (Media Access Controll-Adresse/Medium Zugriffskontrolladresse) genannt – ist weltweit eindeutig. Der Code hat in der Regel eine digitale Struktur, beispielsweise mit Hexadezimalcode, der aus den Zeichen 0–9 und A–F besteht. Dieser Seriencode dient derzeit zur Identifikation der Netzwerkkarte in einem Netzwerk und wird insbesondere als Grundlage für die Vergabe einer IP-Adresse (Internet Protokoll Adresse) verwendet.
-
Mit 2 soll in einem möglichen Beispiel der erlaubte Zugriff von einem der Anwenderrechner 22a–26f auf einen der zentralen Netwerkrechner 10, 12, 14 verdeutlicht werden.
-
Wenn ein Benutzer 15 sich erstmalig in dem Netzwerk anmelden will, dann kennt das Netzwerk bzw. der zentrale Netzwerkrechner 10 weder den Benutzer, noch den Rechner, von dem er sich anmeldet. Es muß dem zentralen Netzwerkrechner 10 somit zunächst mitgeteilt werden, welcher Benutzer 15 und von welchem Anwenderrechner 22c er sich anmeldet. Wenn der Benutzer beim zentralen Netzwerkrechner als Benutzer eingerichtet ist, wird der Benutzer beim Anmelden durch den Zentralrechner identifiziert.
-
In vorliegendem Ausführungsbeispiel hat sich der Benutzer X von dem Anwenderrechner 22c bei dem zentralen Netzwerkrechner 10 angemeldet. Die Schritte, die zur Anmeldung zum zentralen Netzwerkrechner 10 erforderlich sind, werden von links nach rechts durch die Pfeile 27a bis 27e zwischen dem Netzwerkrechner 10 und dem Anwenderrechner 22c symbolisiert.
-
Für das Anmelden – Pfeil 27a – und Arbeiten im Internet bzw. im Intranet kann ein sogenannter „Browser” 28 verwendet werden. Der Browser 28 (auch: WEB-Browser) ist ein Programm, welches Inter- bzw. Intranetseiten darstellen kann. Internetseiten werden dazu als HTML-Code (Abkürzung für „hypertext markup language”, deutsch: „Hypertext-Auszeichnungssprache”) auf einem der Zentral-Netzwerkrechner 10, 12, 14 abgelegt. Der Browser 28 läuft auf dem Anwenderrechner 22c und kann diesen HTML-Code in Text und Graphik umwandeln.
-
Häufig werden die zentralen Netzwerkrechner 10, 12, 14 auch Verteilerrechner, Server oder Provider genannt. Durch Aufruf einer speziellen Seite mittels des Browsers 28 wird neben dem HTML-Code der Seite auch eine „Java”-Applikation (auch: Java-Applet) von dem zentralen Netzwerkrechner 10 in den Anwenderrechner 22c geladen. Die „Java”-Applikation ist ein Programm in der Programmiersprache Java, mit der der Browser 28 bzw. hierüber der Anwenderrechner 22c gesteuert werden kann.
-
Damit nicht bei jedem Aufruf einer Internetseite „irgendeine” Java-Applikation geladen wird, können die Java-Applikationen auch digital zertifiziert werden. Je nach Einstellung des Browsers 28 und je nach Zertifikat der Java-Applikation werden der Applikation entsprechende Rechte eingeräumt. Ist eine Java-Applikation, die auf lokale Ressourcen zugreift, nicht zertifiziert, so wird sie vom Browser 28 nicht ausgeführt. Dies soll verhindern, daß unzertifizierte Java-Applikationen Schaden an dem Anwenderrechner 22c ausüben. Die Java-Applikation weist daher neben dem Programm-Code insbesondere auch die Signatur eines Zertifikates und einen darin enthaltenen Prüfcode auf. Der Browser 28 vergleicht die Signatur mit einer ihm vorliegenden Kopie des Zertifikats und stellt fest, ob die Java-Applikation mit dem Zertifikat signiert worden ist.
-
Wenn mit dem Browser 28 zum Anmelden eine HTML-Seite mit Java-Applikation auf dem zentralen Netzwerkrechner aufgerufen wird, dann sollte der Browser 28 zunächst feststellen, daß die Java-Applikation zertifiziert ist, Pfeil 27b. Die Java-Applikation fragt nun die MAC-Adresse der Netzwerkkarte – Pfeil 27d und neben dem Benutzer das Benutzerkennwort – Pfeil 27c – ab. Die MAC-Adresse 29 der Netzwerkkarte kann das Java-Programm direkt aus dem ROM der Netzwerkkarte auslesen und an den zentralen Netzwerkrechner 10 weiterleiten. Den Benutzernamen und das Benutzerkennwort 31 muß der Benutzer eingeben. Stimmen alle Daten mit den auf dem zentralen Netzwerkrechner 10 hinterlegten Daten überein, so hat der Benutzer Zugang zum Netzwerk.
-
Das Java-Programm kann im Hintergrund des Anwenderrechners 22c ablaufen, so daß der Benutzer von dem Einlesen der MAC-Adresse nichts bemerkt.