DE10102979A1 - Device for tamper-proof identification, verification and authorization of network applications - Google Patents
Device for tamper-proof identification, verification and authorization of network applicationsInfo
- Publication number
- DE10102979A1 DE10102979A1 DE10102979A DE10102979A DE10102979A1 DE 10102979 A1 DE10102979 A1 DE 10102979A1 DE 10102979 A DE10102979 A DE 10102979A DE 10102979 A DE10102979 A DE 10102979A DE 10102979 A1 DE10102979 A1 DE 10102979A1
- Authority
- DE
- Germany
- Prior art keywords
- network
- clients
- server
- client
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
Description
Die Erfindung ist ein Verfahren zur Absicherung von Rechnern (PCs) mit Anschluss an ein öf fentliches Netzwerk (z. B. Internet) zum Zweck der kontrollierten Unterbindung sowie der Über prüfung der Netzwerkverbindungen ins öffentli che Netz. Die Erfindung ist eine fälschungs sichere Vorrichtung, die Clients (das Pro gramm, welches einen Dienst aus dem Internet nutzen möchte, z. B. Web-Browser) auf dem Rechner des Anwenders identifiziert, verifiziert und gegebenenfalls autorisiert. Nur so überprüfte Clients, die durch ein Schlüsselverfahren in ei ner Liste auf einem zuständigen fälschungs sicheren Server autorisiert werden, werden für den Aufbau einer Verbindung über das hierfür benötigte Protokoll (z. B. http und https) ins Internet freigeschaltet.The invention is a method for hedging of computers (PCs) connected to a public public network (e.g. internet) for the purpose the controlled ligation as well as the over checking the network connections to the public che network. The invention is a forgery secure device that clients (the pro grams, which is a service from the Internet want to use e.g. B. Web browser) on the The user's computer identified, verified and authorized if necessary. Just checked Clients using a key procedure in egg a list on a responsible forgery secure servers will be authorized for establishing a connection via this required protocol (e.g. http and https) ins Internet unlocked.
Stand der Technik ist es, Rechner, die an das Internet angeschlossen sind, logisch betrach tet hinter einer evtl. mehrstufigen Firewall (Rech ner mit auf definierten Regeln basierender Weiterleitungsfunktion für IP-Pakete) unterzu bringen. Um nun Dienste des Internets auf den hinter der Firewall befindlichen Systemen nut zen zu können, müssen Regeln in der Firewall definiert werden, die bestimmte IP Verkehre zulassen. Um den Anwendern im geschützten Bereich hinter der Firewall überhaupt die Mög lichkeit zu geben, einen Dienst des Internets nutzen zu können (denn das ist ja der Sinn ei nes Anschlusses an das Internet), müssen Regeln in der Firewall definiert werden, die die gewünschten IP-Verkehre zulassen. Hierbei werden dem Stand der Technik entsprechend immer Möglichkeiten geschaffen, die Firewall zu passieren, denn der kontrollierte durch Re geln definierte IP-Verkehr ins Internet ist genau der Sinn einer Firewall. Exemplarisch betrach ten wir hier das Übertragen von Web-Seiten (html Dateien über das http oder https Proto koll). Hierfür werden in der Regel Zugriffe auf den Port 80 (http) freigeschaltet, um die Webseiten externer im Internet befindlicher Server abrufen zu können.State of the art is computers connected to the Internet connected, logically behind a possibly multi-level firewall (comp ner with based on defined rules Forwarding function for IP packets) bring. In order to provide Internet services to the systems behind the firewall To be able to use zen, there must be rules in the firewall be defined, the specific IP traffic allow. To protect users in the Area behind the firewall to give an internet service to be able to use (because that's the point connection to the Internet) Rules are defined in the firewall that the Allow desired IP traffic. in this connection are state of the art the firewall always created opportunities to happen because the controlled by Re Defined IP traffic to the Internet is accurate the point of a firewall. Considered as an example we transferred web pages here (html files over the http or https proto col). As a rule, accesses are made to the port 80 (http) unlocked to the Websites of external Internet To be able to access the server.
Ein Angreifer kann nun leicht ein Programm schreiben, welches, einmal auf dem lokalen Rechner des Anwenders gestartet, Daten vom Rechner oder aus der angeschlossenen Netzwerkumgebung ausspionieren kann. Tarnt der Angreifer dieses Programm z. B. durch Vor täuschung einer echten Anwendung, läuft das Programm unbemerkt im Hintergrund des Rech ners des Anwenders (Trojaner).An attacker can now easily run a program write which one, once on the local User computer started, data from Computer or from the connected Can spy on the network environment. camouflages the attacker of this program z. B. by before deception of a real application, it works Program unnoticed in the background of the rech user (Trojans).
Um die so ausspionierten Daten nun an den Angreifer zu übermitteln, kann der Trojaner kei nen normalen Weg über eine TCP-IP Verbin dung über ein eigenes Protokoll und den dazugehörigen Port nutzen, weil eine Firewall dies erstens unterbinden würde, und zweitens der Versuch von der Firewall bemerkt würde. Statt dessen kann der Trojaner http Anfragen an die URL (Adresse) eines vom Angreifer im Internet modifizierten Webserver stellen. Da dies eine erlaubte Standardanwendung ist und eine Filter regel in der Firewall existiert, die explizit diese Art der Verbindung erlaubt, kann der Trojaner seine ausspionierten Daten innerhalb der im http Protokoll enthaltenen Möglichkeiten der Daten übermittlung unterbringen. Größere Daten pakete würden in mehrere http Requests fragmentiert. Der modifizierte WebServer des Angreifers würde nun Antworten generieren (z. B. dynamisch erzeugte html Dateien), die wiederum Steuerungscodes enthalten können, die der Trojaner auswerten kann. Da die Anfra gen an den modifizierten Web-Server über das explizit erlaubte http- Protokoll laufen und die Antworten ganz normale Web-Seiten (html- Dateien) sind, greift die Firewall nicht. Es ist der Firewall nicht möglich zu unterscheiden, ob es sich bei der Anfrage um eine gewünschte Verbindung handelt, die ein Benutzer auf sei nem Rechner über seinen Web-Browser initi iert hat, oder ob es sich um Anfragen von ei nem Trojaner handelt, der sich auf dem Rech ner des Anwenders befindet und ausspionierte Daten übermittelt, da eine Identifikation des Client Programms (z. B. ein Web-Browser) nicht möglich ist. Die beschriebene Möglichkeit der Datenspionage ist auch dann möglich, wenn die Firewall keinen direkten Zugriff auf Web-Sei ten im Internet erlaubt, sondern den Weg über einen Proxy- Server wählt. Die Möglichkeit der bidirektionalen Datenübertragung besteht somit bei nahezu allen Diensten, die in der Firewall für das Internet freigeschaltet sind (z. B. DNS, E-Mail, News etc.). Nach dem derzeitigen Stand der Technik kann ein Angreifer ein Pro gramm (wie oben für das http Protokoll exem plarisch gezeigt) schreiben, welches gezielt nach den freigeschalteten Diensten in der Firewall sucht und diese dann zur Übertragung ausspionierter Daten nutzt, indem es Daten im Protokoll der freigeschalteten Anwendung an einen hierfür im Internet modifizierten Server übermittelt.In order to get the data spied on in this way The Trojan can not transmit attackers a normal way via a TCP-IP connection with its own protocol and the associated one Port use because of a firewall this would prevent firstly, and secondly the Attempt would be noticed by the firewall. instead of of which the trojan can send http requests to the URL (address) of an attacker on the Internet modified web server. Since this is a allowed standard application is and a filter rule in the firewall that explicitly exists The type of connection allowed, the Trojan his spied data within the http Protocol contained possibilities of the data accommodate transmission. Bigger dates packages would be in multiple http requests fragmented. The modified web server of the The attacker would now generate responses (e.g. dynamically generated html files) that can in turn contain control codes, which the Trojan can evaluate. Since the request to the modified web server via the explicitly allowed http protocol and run Answers normal web pages (html- Files), the firewall does not take effect. It is the firewall cannot distinguish whether the request is a desired one Connection that a user is on initiate a computer via his web browser or whether they are requests from egg a Trojan that is on the computer located and spied on by the user Data transmitted because an identification of the Client program (e.g. a web browser) is not is possible. The described possibility of Data espionage is also possible if the firewall does not have direct access to the web allowed on the Internet, but the way over chooses a proxy server. The possibility of There is thus bidirectional data transmission with almost all services in the firewall are activated for the Internet (e.g. DNS, Email, news etc.). According to the current one State of the art, an attacker can be a pro grams (as above for the http protocol exem Plarically shown) write which targeted after the unlocked services in the Firewall searches and then for transmission spied on data by using data in the Protocol of the activated application a server modified for this on the Internet transmitted.
Dies ist Stand der Technik und unabhängig von der eingesetzten Software, Betriebssystem oder Firewall.This is state of the art and independent of the software, operating system or Firewall.
Die in Klammern angegebenen Ziffern bezeich nen die Komponenten einer möglichen Reali sation der Erfindung, die in den Abb. 1-4 beispielhaft gezeigt wird. The numbers given in brackets denote the components of a possible implementation of the invention, which is shown by way of example in FIGS. 1-4.
Verbindungen eines Programmes (Clients) (Abbildung1 Ziff. 2) zu anderen Netzwerksystemen (Abbildung1 Ziff. 8) werden immer an die zuständige Systemroutine (Abb. 1 Ziff 3) des darunter lie genden Betriebssystems (Abb. 1 Ziff. 0,4 und 9)übergeben. Die für Netzwerkverbindungen zu ständige Systemroutine (Abb. 1 Ziff. 4) des zu schützenden Systems (Abbildung1 Ziff. 1) wird ge gen die erfindungsgemäße Systemroutine (Abb. 1 Ziff. 3) ausgetauscht. Die original- Systemroutinen können optional an anderer Stelle im Betriebssystem zur weiteren Verwen dung vorhanden sein, es ist lediglich sicherzu stellen, dass die sie nicht von anderen Program men als der erfindungsgemäßen System routinen zur Verwendung von Netzwerk verbindungen herangezogen werden können. Der Anwender startet nun ein Programm (den Client, Abb. 1 Ziff. 2), welches Daten mit dem Internet (Abb. 1 Ziff. 7) austauschen soll (z. B. Netscape). Der Client muss nun auf die System routine (Abbildung1 Ziff. 3) des zugrunde liegenden Betriebssystems zugreifen, um eine Netzwerk verbindung aufzubauen. In diesem Moment star tet der Client also automatisch die erfindungs gemäße Systemroutine. Diese ermittelt die Identität des sie aufrufenden Programms (des Clients), erstellt seine Checksumme und die von sich selbst (Abb. 1 Ziff. 10). Jetzt baut die erfindungsgemäße Systemroutine eine ver schlüsselte Verbindung zum erfindungs wendete Verschlüsselungsverfahren und Daten format ist hierbei ebenso wie beim Verfahren zur Ermittlung der Checksumme unerheblich, solange es nach dem Stand der Technik als sicher gilt. Über diese verschlüsselte Verbin dung übermittelt(Abb. 2 Ziff. 21)die efindungs gemäße Systemroutine nun die ermittelten Daten an den erfindungsgemäßen Server (Abb. 2 Ziff. 6). Der erfindungsgemäße Server über prüft die so erhaltenen Daten anhand seiner in ternen Liste. Der erfindungsgemäße Server führt eine positiv- Liste der als sicher geltenden Clients und deren Checksummen, ebenso wie die Checksumme der erfindungsgemäßen Systemroutine. Welche Clients erlaubt sind und somit als sicher gelten können, kann der Ad ministrator des erfindungsgemäßen Servers somit leicht selbst bestimmen.Connections of a program (clients) (Figure 1 point 2) to other network systems ( Figure 1 point 8) are always sent to the responsible system routine ( Fig. 1 point 3) of the underlying operating system ( Fig. 1 points 0,4 and 9 )to hand over. The system routine that is too permanent for network connections ( Fig. 1 point 4) of the system to be protected (Figure 1 point 1) is exchanged for the system routine according to the invention ( Fig. 1 point 3). The original system routines can optionally be available elsewhere in the operating system for further use, it is only necessary to ensure that they cannot be used by programs other than the system routines according to the invention for using network connections. The user now starts a program (the client, Fig. 1 Section 2), which is to exchange data with the Internet ( Fig. 1 Section 7) (e.g. Netscape). The client must now access the system routine (Figure 1 point 3) of the underlying operating system in order to establish a network connection. At this moment, the client automatically starts the system routine according to the invention. This determines the identity of the program calling it (the client), creates its checksum and that of itself ( Fig. 1, point 10). Now the system routine according to the invention builds a encrypted connection to the encryption method and data format used in the invention, as well as in the method for determining the checksum, is insignificant as long as it is considered secure in the prior art. The system routine according to the invention now transmits the determined data to the server according to the invention via this encrypted connection ( FIG. 2 No. 21) ( FIG. 2 No. 6). The server according to the invention checks the data thus obtained on the basis of its internal list. The server according to the invention maintains a positive list of the clients considered safe and their checksums, as does the checksum of the system routine according to the invention. The administrator of the server according to the invention can thus easily determine for himself which clients are allowed and can therefore be considered safe.
Stimmt eine der Checksummen nicht, ist da von auszugehen, dass das Programm (Abb. 2 Ziff. 2), dessen Checksumme nicht stimmt, mo difiziert wurde. In diesem Falle kann dem Pro gramm nicht mehr getraut werden, es gilt als potentiell unsicher und der erfindungsgemäße Server (Abb. 2 Ziff. 6) wird der erfindungs gemäßen Systemroutine (Abb. 2 Ziff. 3) den Zugriff dieses Programms und/oder (im Falle des Fehlschlagens der Checksumme der erfindungsgemäßen Systemroutine) der offen bar modifizierten erfindungsgemäßen System routine selbst verweigern. Dies geschieht durch die Übermittlung einer Ablehnung (Abb. 2 Ziff. 22) an die erfindungsgemäße Systemroutine. Im Falle der Ablehnung wird die Systemroutine eine Fehlermeldung an den Client übermitteln und sich selbst schließen; ebenso wird der erfindungsgemäße Server die verschlüsselte Verbindung zur erfindungsgemäßen System routine schließen.If one of the checksums is incorrect, it can be assumed that the program ( Fig. 2 point 2), whose checksum is incorrect, has been modified. In this case, the program can no longer be trusted, it is considered potentially unsafe and the server according to the invention ( Fig. 2 point 6) becomes the system routine according to the invention ( Fig. 2 point 3) the access of this program and / or ( in the event that the checksum of the system routine according to the invention fails), the openly modified system routine according to the invention itself is refused. This is done by transmitting a rejection ( Fig. 2, point 22) to the system routine according to the invention. In the event of rejection, the system routine will send an error message to the client and close itself; the server according to the invention will also close the encrypted connection to the system routine according to the invention.
Stimmen die Checksummen und ist der Client auf der Liste der erlaubten Anwendungen für das verwendete Protokoll geführt, so übermit telt (ebenso Abb. 2 Ziff. 22) der erfindungs gemäße Server eine Bestätigung an die erfindungsgemäßen Systemroutinen. Nach Er halt der Bestätigung durch den erfindungs gemäßen Server leitet die erfindungsgemäße Systemroutine alle kommenden Anfragen des Clients durch die verschlüsselte Verbindung (Abb. 3 Ziff. 30)zum erfindungsgemäßen Ser ver weiter (Abb. 3 Ziff. 31). Dieser wird die An frage dann an das eigentliche Zielsystem im Internet (Abb. 3 Ziff. 7) stellen. Die durch das Zielsystem im Internet generierte Antworten kommen zurück zum erfindungsgemäßen Ser ver. Dieser führt eine Liste der Verbindungen und kann somit ermitteln, welcher Anfrage ei nes Clients das erhaltene Antwortpaket ent spricht. Das so ermittelte System (der Client auf dem Rechner des Anwenders) erhält (Abb. 3 Ziff. 32) somit die vom Weiterleitungs-Server eingeholte Antwort.If the checksums are correct and the client is on the list of permitted applications for the protocol used, the server according to the invention transmits confirmation (likewise FIG. 2 item 22) to the system routines according to the invention. After receiving the confirmation by the server according to the invention, the system routine according to the invention forwards all incoming requests from the client through the encrypted connection ( Fig. 3, item 30) to the server according to the invention ( Fig. 3, item 31). The latter will then make the request to the actual target system on the Internet ( Fig. 3, point 7). The responses generated by the target system on the Internet come back to the server according to the invention. This maintains a list of the connections and can thus determine which request from a client corresponds to the response packet received. The system determined in this way (the client on the user's computer) thus receives ( Fig. 3, point 32) the response obtained from the forwarding server.
Die erfindungsgemäßen Systemroutinen sind
modifizierte (speziell angepasst auf das jewei
lig zugrunde liegende Betriebssystem)
Funktionsaufrufe der für Netzwerk
kommunikation zuständigen Original - System
routinen des jeweils zugrunde liegenden Be
triebssystems (z. B. winsock.dII bei Windows-
Betriebssystemen). Sie ersetzen die original-
Systemroutinen, die für die Netzwerk
kommunikation zuständig sind. Sie bieten
grundsätzliche alle Funktionen, die die Origi
nal-Systemroutinen des Betriebssystems auch
bieten, sind allerdings in der Lage, Netzwerk
verbindungen zu tunneln und zu entscheiden,
ob und wie eine Netzwerkverbindung hergestellt
werden kann. Außerdem führen Sie zusätzli
che erfindungsgemäße Operationen durch.
Systemroutinen werden grundsätzlich von ei
nem Client aufgerufen, u. a. um die Verbindung
zum Zielsystem herzustellen. Einmal aufgeru
fen, führen die erfindungsgemäßen System
routinen folgende Schritte durch:
The system routines according to the invention are modified (specially adapted to the respective operating system on which the operating system is based) function calls of the original network system responsible for network communication of the respective underlying operating system (e.g. winsock.dII in Windows operating systems). They replace the original system routines that are responsible for network communication. They basically offer all the functions that the original system routines of the operating system also offer, but are able to tunnel network connections and to decide whether and how a network connection can be established. In addition, you perform additional operations according to the invention. System routines are always called up by a client, among other things to establish the connection to the target system. Once called up, the system routines according to the invention carry out the following steps:
- - Identifikation des die Systemroutine aufrufen den Programms (Client)- Call the identification of the system routine the program (client)
- - Erstellung eines Fingerabdrucks des Client (Bilden der Checksumme)- Creation of a fingerprint of the client (Forming the checksum)
- - Erstellung eines Fingerabdrucks der Systemroutine selbst (Bilden der Checksumme von sich selbst)- Creation of a fingerprint of the system routine itself (forming the checksum of oneself)
- - Aufbau einer verschlüsselten Verbindung (Tun nel)zum erfindungsgemäßen Server- Establishing an encrypted connection (do nel) to the server according to the invention
- - Übermittlung der gewonnenen Daten. (mini mal: Name des Client, Checksumme des Client, Checksumme der Systemroutine selbst, ge wünschter Verbindungsport)- Transmission of the data obtained. (mini times: name of the client, checksum of the client, System routine checksum itself, ge desired connection port)
Die Systemroutinen erhalten hiernach vom
erfindungsgemäßen Server eine Status
meldung, die den Aussagen "Zustimmung", "Ab
lehnung" oder "Bypass" - entsprechen, woraus
die Systemroutinen ermitteln, wie die vom Client
gewünschte Verbindung zu behandeln ist:
The system routines then receive a status message from the server according to the invention which corresponds to the statements “consent”, “rejection” or “bypass”, from which the system routines determine how the connection desired by the client is to be treated:
- - "Ablehnung": Bei Erhalt einer Ablehnung über mittelt die Systemroutine dem Client eine Feh lermeldung, danach schließt die Systemroutine sich selbst. Es wird keine Netzwerkverbindung zu dem die Systemroutinen aufrufenden Client hergestellt.- "Rejection": When receiving a rejection via the system routine reports a mistake to the client message, then the system routine closes itself. There will be no network connection to the client calling the system routines manufactured.
- - "Zustimmung": Bei Zustimmung werden die vom Client kommenden Daten durch den Tun nel an den erfindungsgemäßen Server weiter geleitet. Vom erfindungsgemäßen Server durch den Tunnel kommende Antworten werden an den Client weitergeleitet.- "Approval": With approval, the data coming from the client by doing nel to the server according to the invention directed. From the server according to the invention responses coming up the tunnel will come on forwarded the client.
- - "Bypass": Bei "Bypass" werden die vom Client kommenden Verbindungsversuche behandelt, als wären die erfindungsgemäß modifizierten Systemroutinen die Original-Systemroutinen des Betriebssystems. Alle Anfragen dieses Clients werden ohne Veränderung an die Origi nal-Systemroutinen weitergeleitet. So werden die erfindungsgemäßen Systemroutinen um gangen und die Systemroutinen verhalten sich für diese Verbindung, als wären sie unmodifiziert.- "Bypass": With "Bypass" those from the client treated upcoming connection attempts, as if they were modified according to the invention System routines the original system routines of the operating system. All requests this Clients are changed to the Origi nal system routines forwarded. So be the system routines according to the invention and the system routines behave for this connection as if they were unmodified.
Des weiteren überprüft die erfindungsgemäße Systemroutine, ob der Client die Anfragen di rekt an die Systemroutine stellt, oder ob sich ein Programm (welches ein Trojaner eines An greifers sein könnte) zwischen den Client und die erfindungsgemäßen Systemroutinen ge schaltet hat. Ist dies der Fall, wird die erfindungsgemäße Systemroutine mit einer Fehlermeldung geschlossen, weil der mutmaß liche Trojaner die Anfragen des Clients verfäl schen könnte.Furthermore, checks the invention System routine, whether the client requests di directly to the system routine, or whether a program (which is a Trojan of an An could be between the client and the system routines according to the invention ge has switched. If this is the case, the system routine according to the invention with a Error message closed because of suspicion Trojans corrupt the client's requests could be.
Der erfindungsgemäße Server ist ein abgesi chertes Server- System, das dem Stand der Technik entsprechend systemintern so weit in seinen Diensten abgesichert ist, dass es als vertrauensvoller und vor Fremdzugriffen gesicher ter Server angesehen werden kann.The server according to the invention is an absi chertes server system, the state of the Technology according to the system so far in its services is assured that it is as more trustworthy and secure against unauthorized access ter server can be viewed.
Der erfindungsgemäße Server wird von der Systemroutine angesprochen (siehe Beschrei bung "Die Systemroutinen"). Erfindungsgemäß läuft auf dem erfindungsgemäßen Server eine Anwendung, welche Verbindungen von den erfindungsgemäßen Systemroutinen annimmt und Verbindungen zum Internet aufbauen kann. Es wird eine verschlüsselte gesicherte Verbin dung zwischen der erfindungsgemäßen Systemroutine und dem erfindungsgemäßen Server aufgebaut (Tunnel). Für das hierzu ver wendete Verfahren kann ein beliebiges als aus reichend sicher anerkanntes Verfahren verwen det werden (z. B. ssh).The server according to the invention is operated by System routine addressed (see description exercise "The system routines"). According to the invention runs on the server according to the invention Application, which connections from the system routines according to the invention and can connect to the Internet. It will be an encrypted secure connection tion between the invention System routine and the inventive Server set up (tunnel). For the ver method used can be any as use a sufficiently recognized procedure be detected (e.g. ssh).
Nach erfolgtem Aufbau des Tunnels bekommt der erfindungsgemäße Server die durch die erfindungsgemäße Systemroutine ermittelten Daten mitgeteilt (minimal: Name des Clients, Checksumme des Clients, Checksumme der erfindungsgemäß modifizierten Systemroutine, gewünschtes Verbindungsprotokoll).After successful construction of the tunnel the server according to the invention by the determined system routine according to the invention Data communicated (minimum: name of the client, Checksum of the client, checksum of the system routine modified according to the invention, required connection protocol).
Der erfindungsgemäße Server führt intern Ta
bellen, in denen Regeln für den Umgang mit
den übermittelten Daten definiert werden. Mini
mal werden in diesen Tabellen gepflegt:
The server according to the invention internally runs tables in which rules for handling the transmitted data are defined. Mini times are maintained in these tables:
- - Name des Clients- Name of the client
- - Checksumme des Clients- Checksum of the client
- - Adresse des die Verbindung aufbauenden Rechners- Address of the person establishing the connection computer
- - Checksumme der Systemroutine auf dem die Verbindung aufbauenden Rechner- Checksum of the system routine on which the Connection establishing computer
- - erlaubte Ports des Clients- Allowed ports of the client
Um nun das Ziel zu erreichen, einen Rechner
eines Anwenders gegen Angriffe und Daten
spionage (siehe "Ziel") zu sichern, müssen die
Tabellen minimal folgende Verhalten des
erfindungsgemäßen Servers festlegen:
In order to achieve the goal of securing a computer of a user against attacks and data espionage (see "goal"), the tables must define the following minimum behavior of the server according to the invention:
- 1. die übermittelte Checksumme des Clients muss mit der in der Tabelle gespeicherten Checksumme überein stimmen1. the submitted checksum of the client must match the one stored in the table Match checksum
- 2. die übermittelte Checksumme der System routine muss mit der in der Tabelle geführten Checksumme überein stimmen2. The checksum transmitted by the system routine must be carried out with that listed in the table Match checksum
- 3. der Client muss in der Tabelle geführt sein3. The client must be listed in the table
- 4. das Protokoll muss für den Client zugelas sen sein.4. The protocol must be approved for the client be.
Ist eine der Überprüfungen 1)-4) logisch falsch, so wird die Verbindung nicht zugelassen: Es wird den erfindungsgemäßen Systemroutinen eine "Ablehnung" übermittelt und der Tunnel geschlossen. In diesem Falle können Alarme für den Systemadministrator erzeugt werden, damit dieser Kenntnis von dem unautorisierten Verbindungsversuch erhält.If one of the checks 1) -4) is logically wrong, so the connection is not allowed: It is the system routines according to the invention a "rejection" transmitted and the tunnel closed. In this case, alarms can occur are created for the system administrator, with this knowledge of the unauthorized Connection attempt received.
Optional ist es möglich, den erfindungs gemäßen Systemroutinen ein "Bypass" zu übermitteln. Dies hätte zur Folge, dass Netz intern ohne Überschreitung der Firewall unein geschränkte Verbindungen aller (auch nicht verifizierte und autorisierter) Programme mög lich wären. Die Regeln der Firewall könnten in diesem Falle auf Zulassen der Verbindungen des erfindungsgemäßen Servers beschränkt sein, so dass dieser der einzige Rechner ist, der mit anderen Rechnern im Internet Kontakt aufnehmen darf. It is optionally possible to use the invention a "bypass" according to the system routines to transfer. This would result in the network disagree internally without exceeding the firewall restricted connections of all (also not verified and authorized) programs possible would be. The rules of the firewall could be in in this case to allow the connections of the server according to the invention limited be so this is the only calculator who is in contact with other computers on the Internet allowed to record.
Sind alle Überprüfungen 1)-4) logisch wahr, so wird die durch den Client angeforderte Verbin dung durch den erfindungsgemäßen Server zugelassen.: Es wird den erfindungsgemäßen Systemroutinen eine "Zustimmung" übermittelt. Über den Tunnel übertragene Anfragen des Clients an Server im Internet werden vom erfindungsgemäßen Server an den entspre chenden Server im Internet weitergeleitet. Dies ist möglich, weil die Firewall alle Verbindungen vom erfindungsgemäßen Server ins Internet er laubt. Vom Server aus dem Internet kommen de Antworten werden wiederum über den Tun nel an die erfindungsgemäßen Systemroutinen weitergeleitet.If all checks 1) -4) are logically true, then becomes the connection requested by the client tion by the server according to the invention approved .: It is the invention System routines transmitted an "approval". Requests from the Clients to servers on the Internet are used by server according to the invention to the correspond forwarded server on the Internet. This is possible because the firewall is all connections from the server according to the invention to the Internet laubt. Coming from the server from the Internet de answers are again about doing nel to the system routines according to the invention forwarded.
Somit wird der durch die erfindungsgemäßen Systemroutinen identifizierte Client vom erfindungsgemäßen Server verifiziert und gege benenfalls autorisiert. Das Ergebnis (Zustim mung, Ablehnung oder Bypass) wird der erfindungsgemäßen Systemroutine über die ver schlüsselte Verbindung mitgeteilt. Bei Zustim mung werden von der erfindungsgemäßen Systemroutine verschlüsselt übermittelte Anfra gen des Clients entschlüsselt und anstelle des Clients durch den erfindungsgemäßen Server beim durch den Client angefragten Server im Internet gestellt. Von dort kommende Antwor ten werden über den Tunnel zurück an die erfindungsgemäße Systemroutine gesandt.Thus, by the invention System routines identified by the client server according to the invention verified and counter also authorized. The result (agree approval, rejection or bypass) system routine according to the invention on the ver keyed connection communicated. With approval tion of the invention System routine encrypted transmitted request decrypted by the client and instead of the Clients through the server according to the invention at the server requested by the client in Internet posed. Answer coming from there ten are returned to the System routine according to the invention sent.
Claims (10)
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10102979A DE10102979C2 (en) | 2001-01-10 | 2001-01-23 | Process for securing computers connected to a network for the purpose of checking network connections |
AU2002235720A AU2002235720A1 (en) | 2001-01-10 | 2002-01-09 | Device for the forgery-proof identification, verification and authorisation of network applications |
EP02702214A EP1350375B1 (en) | 2001-01-10 | 2002-01-09 | Device for the forgery-proof identification, verification and authorisation of network applications |
AT02702214T ATE504144T1 (en) | 2001-01-10 | 2002-01-09 | DEVICE FOR THE COUNTERFEIT-PROOF IDENTIFICATION, VERIFICATION AND AUTHORIZATION OF NETWORK APPLICATIONS |
DE50214987T DE50214987D1 (en) | 2001-01-10 | 2002-01-09 | DEVICE FOR FALTER-SAFE IDENTIFICATION, VERIFICATION AND AUTHORIZATION OF NETWORK APPLICATIONS |
PCT/DE2002/000090 WO2002056153A2 (en) | 2001-01-10 | 2002-01-09 | Device for the forgery-proof identification, verification and authorisation of network applications |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10101321 | 2001-01-10 | ||
DE10102979A DE10102979C2 (en) | 2001-01-10 | 2001-01-23 | Process for securing computers connected to a network for the purpose of checking network connections |
Publications (2)
Publication Number | Publication Date |
---|---|
DE10102979A1 true DE10102979A1 (en) | 2002-07-25 |
DE10102979C2 DE10102979C2 (en) | 2003-04-30 |
Family
ID=7670434
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10102979A Expired - Lifetime DE10102979C2 (en) | 2001-01-10 | 2001-01-23 | Process for securing computers connected to a network for the purpose of checking network connections |
DE50214987T Expired - Lifetime DE50214987D1 (en) | 2001-01-10 | 2002-01-09 | DEVICE FOR FALTER-SAFE IDENTIFICATION, VERIFICATION AND AUTHORIZATION OF NETWORK APPLICATIONS |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE50214987T Expired - Lifetime DE50214987D1 (en) | 2001-01-10 | 2002-01-09 | DEVICE FOR FALTER-SAFE IDENTIFICATION, VERIFICATION AND AUTHORIZATION OF NETWORK APPLICATIONS |
Country Status (3)
Country | Link |
---|---|
AT (1) | ATE504144T1 (en) |
AU (1) | AU2002235720A1 (en) |
DE (2) | DE10102979C2 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0816970A2 (en) * | 1996-07-01 | 1998-01-07 | Sun Microsystems, Inc. | Method and apparatus for firmware authentication |
US6085324A (en) * | 1997-02-05 | 2000-07-04 | Ogram; Mark E. | Monitoring and regulatory system for the internet |
WO2001057626A2 (en) * | 2000-02-01 | 2001-08-09 | Sun Microsystems, Inc. | Internet server for client authentification |
DE10008973A1 (en) * | 2000-02-25 | 2001-09-06 | Bayerische Motoren Werke Ag | Authorization procedure with certificate |
-
2001
- 2001-01-23 DE DE10102979A patent/DE10102979C2/en not_active Expired - Lifetime
-
2002
- 2002-01-09 AT AT02702214T patent/ATE504144T1/en active
- 2002-01-09 DE DE50214987T patent/DE50214987D1/en not_active Expired - Lifetime
- 2002-01-09 AU AU2002235720A patent/AU2002235720A1/en not_active Abandoned
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0816970A2 (en) * | 1996-07-01 | 1998-01-07 | Sun Microsystems, Inc. | Method and apparatus for firmware authentication |
US6085324A (en) * | 1997-02-05 | 2000-07-04 | Ogram; Mark E. | Monitoring and regulatory system for the internet |
WO2001057626A2 (en) * | 2000-02-01 | 2001-08-09 | Sun Microsystems, Inc. | Internet server for client authentification |
DE10008973A1 (en) * | 2000-02-25 | 2001-09-06 | Bayerische Motoren Werke Ag | Authorization procedure with certificate |
Non-Patent Citations (1)
Title |
---|
DEVANBU, P. u.a.: Techniques fr trusted soft- ware engineering. In: Software Engineering. IEEE Cat.Nr. 93CB36139, 1998, S. 126-135 * |
Also Published As
Publication number | Publication date |
---|---|
DE50214987D1 (en) | 2011-05-12 |
AU2002235720A1 (en) | 2002-07-24 |
DE10102979C2 (en) | 2003-04-30 |
ATE504144T1 (en) | 2011-04-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1777907B1 (en) | Method and devices for carrying out cryptographic operations in a client-server network | |
US8195833B2 (en) | Systems and methods for managing messages in an enterprise network | |
DE60312235T2 (en) | METHOD AND SYSTEM FOR INHIBITING PREVENTION AND DEFLECTION | |
US7774832B2 (en) | Systems and methods for implementing protocol enforcement rules | |
US7707401B2 (en) | Systems and methods for a protocol gateway | |
US7818565B2 (en) | Systems and methods for implementing protocol enforcement rules | |
US20040111623A1 (en) | Systems and methods for detecting user presence | |
US20100146260A1 (en) | Tandem encryption connections to provide network traffic security method and apparatus | |
US20080196099A1 (en) | Systems and methods for detecting and blocking malicious content in instant messages | |
US20030065943A1 (en) | Method and apparatus for recognizing and reacting to denial of service attacks on a computerized network | |
WO2008147475A2 (en) | Providing a generic gateway for accessing protected resources | |
CN107317816A (en) | A kind of method for network access control differentiated based on client application | |
EP1298529A2 (en) | Proxy unit and method for computer-implemented protection of an application server program | |
EP1350375B1 (en) | Device for the forgery-proof identification, verification and authorisation of network applications | |
CH693921A5 (en) | Attack identification and defense method for server system of network service provider or operator uses electronic unit integrated in computer network | |
WO2006062961A2 (en) | Systems and methods for implementing protocol enforcement rules | |
DE10102979C2 (en) | Process for securing computers connected to a network for the purpose of checking network connections | |
WO2002067532A1 (en) | Method for transmitting data, proxy server and data transmission system | |
DE60031004T2 (en) | ELECTRONIC SECURITY SYSTEM AND METHOD FOR A COMMUNICATION NETWORK | |
WO2008086224A2 (en) | Systems and methods for detecting and blocking malicious content in instant messages | |
EP2591583B1 (en) | Method for secure communication and encryption for internet communication | |
DE102005050047B4 (en) | Method, arrangement and security gateway for secure authentication and data transmission between two data processing units via at least one network | |
DE102005050336A1 (en) | Safety gateway operating method, involves checking whether determined categories of resource address are preset with aid of safety gateway such that secure data communication is permitted to resource by safety gateway | |
WO2007122266A2 (en) | Protected execution of a service provider's data processing application for a user by means of a trustworthy execution environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8304 | Grant after examination procedure | ||
8364 | No opposition during term of opposition | ||
8339 | Ceased/non-payment of the annual fee | ||
8370 | Indication related to discontinuation of the patent is to be deleted | ||
8320 | Willingness to grant licences declared (paragraph 23) | ||
8327 | Change in the person/name/address of the patent owner |
Owner name: VALENTIN, TORSTEN, 59457 WERL, DE |
|
R071 | Expiry of right |