-
Die
Erfindung betrifft ein Verfahren zum sicheren Erkennen des Endes
einer Anwender-Sitzung gemäß dem Oberbegriff
des einzigen Anspruchs.
-
Ein
so genanntes Internet-Gateway, beispielsweise ein so genannter WLAN
(engl.: Wireless Local Area Network)-Access-Point beziehungsweise WLAN-Zugriffspunkt
oder ein so genanntes ADSL (engl.: Asymmetric Digital Subscriber
Line)-Modem, das anwenderspezifische Beschränkungen bezüglich des Internet-Zugangs
durchsetzt, muss einen jeweiligen Anwender authentisieren und dann
den abzuwickelnden Datenverkehr zu einem jeweiligen authentisierten
Anwender jeweils korrekt dem jeweils betreffenden authentisierten
Anwender zuordnen.
-
Um
Fehler in der Zuordnung eines Datenverkehrs zu einem authentisierten
Anwender zu vermeiden, ist es notwendig, dass durch das Internet-Gateway
ein Ende einer Sitzung eines authentisierten Anwenders erkannt wird,
und zwar möglichst
zeitnah zum wirklichen Ende der betreffenden Anwender-Sitzung.
-
Das
Ende einer Anwender-Sitzung wird auf verschiedene Art und Weise
erkannt.
-
Es
gibt eine vorgegebene Zeitdauer, die ein Anwender inaktiv sein darf,
bevor das Ende der Anwender-Sitzung angenommen wird.
-
Einer
Anwender-Sitzung ist eine absolute Sitzungsdauerlänge zugeordnet,
bei deren Erreichen die Anwender-Sitzung als beendet angesehen wird (absoluter
Zeitablauf).
-
Ein
Anwender gibt ein so genanntes Logout (Abmelden von der Anwender-Sitzung)
ein. In diesem Fall ist das Ende der betreffenden Anwender-Sitzung
bewusst herbeigeführt
beziehungsweise erzwungen worden.
-
Der
Datenverkehr, der zu einem konkreten Anwender gehört, kann
im Allgemeinen nur durch „schwache" und nicht eindeutige
Verfahren diesem Anwender zugeordnet werden. Problematisch ist hier insbesondere
die Verarbeitung der so genannten MAC (Media-Access-Control)- und/oder
IP (Internet-Protocol)-Adresse.
-
Es
besteht weiter das Problem, dass die vorgegebene maximale Zeitdauer,
bis zu der eine Anwender-Inaktivität toleriert ist, einerseits
möglichst kurz
sein soll, damit das Ende einer betreffenden Anwender-Sitzung möglichst
exakt mit einer tatsächlich getätigten letzten
Anwender-Sitzungsaktivität
zusammenfällt,
das heißt,
dass das Ende der Anwender-Sitzung möglichst zeitnah zur letzten
Sitzungs-Aktivität
erkannt wird, dass sich aber andererseits ein Anwender nicht sofort
wieder neu gegenüber
dem Internet-Gateway authentisieren beziehungsweise dort anmelden
muss, nur weil er eine kurze Pause eingelegt hat.
-
Im übrigen soll
die Exaktheit des Erkennens der Beendigung einer aktiven Anwender-Sitzung
eines konkreten Anwenders nicht davon abhängen, dass der betreffende
konkrete Anwender stets seine sich im aktiven Modus befindliche
Anwender-Sitzung durch
ein Logout, das heißt,
durch ein konkretes Abmelden, explizit beendet.
-
Die
vorgenannten Probleme sind insbesondere dann relevant, wenn ein
und dasselbe Client-Gerät,
das an das Internet-Gateway
angeschlossen ist, wechselweise von unterschiedlichen Anwendern
benutzt ist.
-
Beispielsweise
kann in einem Heimbereich einer Familie ein einzelner so genannter
Personal Computer (PC) oder ein ein zelnes so genanntes Notebook
als ein Client-Gerät
im Wechsel von den einzelnen Familienmitgliedern benutzt sein, wobei,
und das sei zumindest hier für
den vorliegenden Beispielfall so, den einzelnen Familienmitglieder
unterschiedliche Nutzungsrechte zugeordnet sind.
-
Wird
in so einem Fall das Ende einer aktiven Anwender-Sitzung für ein konkretes
Familienmitglied nicht exakt erkannt, kann ein nachfolgendes Familienmitglied
die Anwender-Sitzung des vorausgegangen aktiv gewesenen Familienmitglieds
weiterführen, und
zwar mit den Rechten, die das vorausgegangen aktiv gewesene Familienmitglied
hat, auch wenn das nachfolgende Familienmitglied diese Rechte selbst nicht
hat.
-
Im
Detail könnten
so zum Beispiel die Kinder einer Familie auf Web-Seiten zugreifen,
für deren
Zugriff aber nur die Eltern die Rechte haben. Für die Kinder ist dieser Zugriff
gesperrt, wenn sie sich zwar mit Hilfe des gleichen Computers, aber
mit ihrer eigenen Kennung anmelden. Die Kinder könnten dann auf die Weg-Seiten
zugreifen, wenn die Eltern im Glauben, die Anwender-Sitzung gleich
wieder weiter zu führen,
die Anwender-Sitzung unterbrechen und dann die Anwender-Sitzung
doch nicht mehr sofort weiter führen.
Wird dann das Ende der Anwender-Sitzung der Eltern beispielsweise
wegen der zu großen Zeitkonstante
für eine
tolerierte Inaktivität
nicht zeitnah genug erkannt, können
die Kinder an Stelle der Eltern die sich noch in Aktion befindliche
Anwender-Sitzung weiter führen
und zum Beispiel auf die oben erwähnten Web-Seiten zugreifen.
-
Um
eine Anwender-Sitzung zu starten, sind Authentisierungsmaßnahmen
für die
Authentisierung am Internet-Gateway notwendig. Diese Maßnahmen sind
aufwändig,
insbesondere dann, wenn sie nach mehreren zu langen Pausen immer
wieder auszuführen
sind. Es ist daher wünschenswert,
hierfür
eine automatische Durchführung
zu haben, die insbesondere für
den Heimbereich geeignet ist.
-
Es
ist bekannt, neben der vorgegebenen Zeitdauer, bis zu der eine Inaktivität innerhalb
einer aktiven Anwender-Sitzung toleriert ist, eine absolute Zeitdauer,
bis zu der eine Anwender-Sitzung längstens dauern kann, zu berücksichtigen.
Ferner ist bekannt, ein explizites so genanntes „Log-Off", ein explizites Abmelden, ein explizites
Beenden einer Anwender-Sitzung,
zu berücksichtigen.
-
Weiter
ist bekannt, so genannte „HTTP-Cookies" zu verwenden, um
das Surf-Verhalten eines Anwenders gegenüber einem konkreten Web-Server
verfolgen und um den Anwendernamen eines betreffenden Anwenders
für künftige Anmeldung
vorbelegen zu können.
Erstgenanntes ist auch unter dem Begriff: „Session Tracking" bekannt. Zuletztgenanntes
ist auch unter dem Begriff: „Remember-Login-Name" bekannt.
-
Weiter
ist ein Verfahren zur Authentisierung eines konkreten Anwenders
gegenüber
einem Internet-Gateway bekannt, bei dem das Anmelden mit einem Anwendernamen
und einem Passwort auf einer so genannten „HTML-Seite" erfolgt. Ein solches
Authentisierungs-Verfahren ist beispielsweise beim heute schon erhältlichen
Breitband Router: D-Link DFL-700 Network Security Firewall, eingesetzt.
-
Um
nach einer solchen Anwender-Authentisierung auf einem entsprechend
zugehörigen
Internet-Gateway den nachfolgenden Netz- beziehungsweise Datenverkehr,
der überwiegend
nicht an das Internet-Gateway selbst gerichtet ist, sondern nur über dieses
zu einem anderen Netzbereich transportiert wird, dem jeweils zugehörig authentisierten
Anwender zuordnen zu können,
werden beispielsweise folgende Eigenschaften vom betreffenden Internet-Gateway
ausgewertet:
- – Client MAC- und/oder IP-Adresse;
- – Im
Fall eines WLAN-Zugriffspunktes kann eine bestehende WLAN-Assoziierung
und ein eventuell verwendeter transienter Sicherheitsparameter ausgewertet
werden, ein so genannter „Pairwise-Transient-Key" (PTK), der während des
Ablaufs eines so genannten „4-Way-Handshake- Verfahrens" von einem so genannten „Master-Session-Key" (MSK) abgeleitet
worden ist. Dabei kann es jedoch sein, dass eine WLAN-Assoziierung,
die mit einem Netzwerk-Key, einem so genannten „Pre-Shared-Key" (PSK), abgesichert ist,
in vielen Fällen
auch bei einem Anwenderwechsel bestehen bleibt. Beispielsweise sind
bei Windows XP die WLAN-Profile nicht anwenderspezifisch definiert;
- – HTTP-Cookie
für HTTP[S]-Netzverkehr
zum Internet-Gateway, zum Beispiel für die Anwender-Login/Logout-Seite
oder für
die Administrations-Seiten;
- – SSL/TLS-Sitzung
für HTTPS-Netzverkehr
zum Zugriffspunkt.
-
An
dieser Stelle seien einige wiederkehrende bekannte Kurzbezeichnungen
näher erläutert:
- Web-Browser:
Web-Browser sind Computerprogramme zum Betrachten von Web-Seiten
im Internet. Neben HTML-Seiten können
sie verschiedene andere Arten von Dokumenten anzeigen.
- HTTP: Das Hypertext Transfer Protocol (HTTP) ist ein Protokoll
zur Übertragung
von Daten über
ein Netzwerk. Es wird hauptsächlich
eingesetzt, um Web-Seiten und andere Daten aus dem World Wide Web
(WWW) in einen Web-Browser zu laden.
- HTTPS: HTTPS steht für
Hypertext Transfer Protocol Secure (HTTPS) und ist ein Netzwerkprotokoll,
das eine gesicherte HTTP-Verbindung zwischen Rechnern ermöglicht.
- TLS: TLS steht für
Transport Layer Security und ist ein Protokoll zur Verschlüsselung
von Datenübertragungen
im Internet.
- SSL: SSL steht für
Secure Socket Layer oder auch Secure Server Line und steht für ein Netzwerkprotokoll
zur sicheren Übertragung
u. a. von Internet-Seiten.
- HTML: Die Hypertext Markup Language (HTML) ist ein Dokumentenformat
zur Auszeichnung von Hypertext im World Wide Web. Sie ist eine Auszeichnungssprache
zur Beschreibung von Informationen in Hypertexten.
- Cookie: Ein Cookie ist ein kurzer Eintrag in einer meist kleinen
Datenbank auf einem Computer und dient dem Austausch von Informationen
zwischen Computerprogrammen oder der zeitlich beschränkten Archivierung
von Informationen.
- HTTP-Cookie: Ein HTTP-Cookie bezeichnet Informationen, die ein
Web-Browser sendet, die dann der Browser wiederum bei späteren Zugriffen
auf denselben Web-Server zurücksendet.
- MAC: Media Access Control. MAC ist ein Begriff aus der Netzwerkkommunikation
und beschreibt ein Netzwerkprotokoll.
- MAC-Adresse: Die MAC-Adresse (Media Access Control, auch LAN-Adresse, Ethernet-ID
oder Apple Airport-ID genannt) ist die Hardware-Adresse aller Netzwerkgeräte, die
zur eindeutigen Identifikation des Geräts im Netzwerk dient.
- IP: Internet Protokoll. IP bezeichnet ein Protokoll in der Netzwerktechnik.
- IP-Adresse: Eine IP-Adresse (Internet Protocol Adresse) ist
ein Datum, welches eine logische Adressierung von Geräten (Hosts)
in IP-Netzwerken wie zum Beispiel dem Internet erlaubt. Ein Host
(zum Beispiel Computer, Router, Drucker, IP-Telefon) hat zu einem Zeitpunkt dabei
mindestens eine IP-Adresse, die in seinem Subnetz eindeutig ist.
Damit ermöglichen
IP-Adressen den Geräten
im Netzwerk miteinander zu kommunizieren.
- URL: Uniform Ressource Locator. URLs identifizieren eine Ressource über ihren
primären
Zugriffsmechanismus, häufig
http oder ftp, und den Ort der Ressource in Computernetzwerken.
-
Aus
verschiedenen Dokumenten sind Netzzugangssysteme bekannt.
-
Beispielsweise
ist aus dem Dokument US 2003/0074580 A1 eine Netzzugangs-Systemschnittstelleneinheit
bekannt, welche ein Identitäts- und/oder
Zugriffs-Management umfasst. Dieses Management überwacht die Autorisierung
eines Anwenders auf eine Art, die ohne einen Netz-Agenten auskommt.
-
Aus
dem Dokument US 2005/0091338 A1 ist ein Zugriffssystem bekannt,
das eine personalisierte Sicherungskomponente für den Zugang zu einem Computerterminal
umfasst. Das System arbeitet mit einer Kommunikationsverbindung,
die abbricht, wenn sich ein Benutzer zu lange entfernt und zu lange
keine Re- Initialisierung
veranlasst. Die Folge ist, dass der Zugriff zum Netzsystem gesperrt
wird.
-
Aus
dem Dokument US 2005/0251856 A1 ist eine Sicherheitsplattform bekannt,
die an ein privates Netz angeschlossen wird und den Zugang zum privaten
Netz von einem allgemeinen Netz (wie dem Internet) ermöglicht.
Hierfür
ist eine Art Rückvollmachtsystem
installiert, das Zugriffswünsche
ausgibt und ankommende Zugriffswünsche
beantwortet. Der Zugriff auf einen gewünschten Server im allgemeinen Netz
oder im privaten Netz erfolgt dabei in Abhängigkeit von der Abprüfung von
Identifikationsinformationen durch das besagte Rückvollmachtsystem.
-
Aus
dem Dokument US 2002/0165971 A1 ist eine Methode für das Beenden
einer Authentisierungssitzung bekannt, wenn Aktionen erkannt werden,
die ein Sitzungsende zumindest vermuten lassen. Eine Reautentisierung
ist dann notwendig.
-
Aufgabe
der vorliegenden Erfindung ist es, ausgehend von einem Verfahren
der eingangs genannten Art, ein Verfahren zum sicheren Erkennung des
Endes einer Anwender-Sitzung anzugeben mit den Vorteilen, automatisch
ausführbar
und für
den Heimbereich geeignet zu sein.
-
Diese
Aufgabe wird erfindungsgemäß durch ein
Verfahren gelöst,
das die Verfahrensschritte im kennzeichnenden Teil des einzigen
Anspruchs aufweist.
-
Danach
erfolgt die für
einen konkret betreffenden Anwender des besagten Client-Geräts erstmalig
durchgeführte
Anwender-Authentisierung
zwischen dem betreffenden Client-Gerät und dem Internet-Gateway
durch HTTP oder HTML (HTTP-Basic, Digest-Authentication; HTML-Form-Based-Authentication),
das heißt,
gegenüber
einem Web-Server auf dem Internet-Gateway. Der Web-Server installiert
auf dem Client-Gerät
eine entsprechende Statusinformation (HTTP-Cookie). Nach erfolgter
Authentisierung gewährt
das Internet-Gateway dem besagten konkret betreffenden Anwender
beziehungsweise dessen Client-Gerät einen
Zugriff, der den Berechtigungen des authentisierten besagten konkret
betreffenden Anwenders entspricht (Firewall, Paketfilter). Läuft im Laufe
der Zeit ein erster Zeitzähler
bezüglich
einer tolerierten Anwender-Inaktivität und/oder bezüglich einer
absoluten Sitzungsdauerlänge
für eine
aktuelle Anwender-Sitzung ab, erfolgt bei einem nächsten HTTP-Request
durch das Client-Gerät
des besagten Anwenders zu einem gewünschten Web-Server im Internet
vom Internet-Gateway ein HTTP-Re-Direct auf eine HTTP-Seite auf
dem Internet-Gateway.
Daraufhin, entweder automatisch durch das Client-Gerät oder
nach einer entsprechenden Aufforderung an den Anwender durch entsprechende
Betätigung durch
den Anwender, sendet das Client-Gerät die installierte Statusinformation
(HTTP-Cookie) an das Internet-Gateway. Das Internet-Gateway überprüft die zugesandte
Statusinformation. Bei einem positiven Überprüfungsergebnis sendet dann das
Internet-Gateway ein weiteres HTTP-Re-Direct, jetzt auf die vom
Client-Gerät
ursprünglich
angeforderte Web-Seite. Bei einem negativen Überprüfungsergebnis wird vom Internet-Gateway
eine erneute Anwender-Authentisierung, wie anfangs, gefordert.
-
Letzteres
wird auch dann gefordert, wenn ein gegebenenfalls vorhandener zweiter
Zeitzähler
bezüglich
der tolerierten Anwender-Inaktivität und/oder bezüglich der
absoluten Sitzungsdauerlänge
vorhanden und überschritten
ist, wobei der jeweilige zweite Zeitzähler länger andauernd eingestellt
ist, als der jeweilig entsprechende erste Zeitzähler.
-
Vorzugsweise
verwendet das Internet-Gateway sowohl Zeitzähler für das Erkennen der Zeitspanne
einer momentanen Nichtnutzung der Anwender-Sitzung durch den Anwender
als auch Zeitzähler für das Erkennen
des Erreichens beziehungsweise Überschreitens
einer absoluten Sitzungsdauerlänge. Weiter
vorzugsweise verwendet das Internet-Gateway jeweils zwei Werte sowohl
für den
Zähler
für eine tolerierte
Inaktivität
als auch für
den Zähler
für eine absolute
Sitzungsdauerlänge.
Der jeweils kürzere Wert
gibt an, dass das oben beschriebene Verfahren zur sofortigen Re-Authentisierung
ohne Anwenderzutun zulässig
ist und demzufolge ohne Anwenderzutun durchgeführt werden soll. Ist jedoch
jeweils der länger
andauernde Zeitzählerwert
abgelaufen, ist eine erneute, vollständige Anwender-Authentisierung,
wie ganz zu Anfangs auch, also eine Anwender-Authensisierung mit
Anwenderzutun, erforderlich.
-
Zumindest
die ersten Zeitzähler
können
relativ kurz eingestellt werden, weil ohne Mehraufwand für einen
Anwender die automatische Re-Authentisierung durchgeführt ist.
-
Vorteilhafte
Ausgestaltungen der Erfindung sind Gegenstand von Unteransprüchen.
-
In
einer Variante wird, falls die während
der Re-Authentisierung
gesendete Statusinformation zu der Anwender-Sitzung eines anderen Anwenders gehört, die
aktuelle Anwender-Sitzung diesem anderen Anwender zugeordnet und
ab diesem Zeitpunkt auch die zu diesem Anwender gehörende entsprechende Berechtigung
durchgesetzt.
-
Falls
bei vorhanden Sein eines kürzer
und eines länger
andauernden Zeitzählers
der kürzer
andauernde Zeitzähler
bereits abgelaufen ist, der länger
andauernde aber noch nicht, der Datenverkehr, der nicht für die Re-Authentisierung
geeignet ist, das heißt,
jeglicher Datenverkehr außer
dem HTTP-Request,
weiterhin dem betreffenden authentisierten Anwender zugeordnet und
dessen entsprechenden Berechtigungen durchgesetzt. Erst wenn auch
der länger
andauernde Zeitzähler
abgelaufen ist, werden die Berechtigungen durchgesetzt, die gelten,
solange ein Anwender noch nicht authentisiert ist.
-
Falls
die Kommunikation zum Internet-Gateway Spezialprotokolle beinhaltet
wie zum Beispiel HTTPS, das heißt
HTTP über
SSL/TLS anstatt ungesichertem HTTP, kann anstatt oder zusätzlich zur
Cockie-basierten Statusinformation auch die Spezialprotokoll-Sitzung,
das heißt
zum Beispiel die SSL/TLS-Sitzung,
als Statusinformation ausgewertet werden.
-
Durch
das erfindungsgemäße Verfahren
wird das Erkennen einer fortbestehenden bzw. beendeten Anwender-Sitzung
für Netzverkehr über ein
Internet-Gateway verbessert. Dies wird erreicht, indem die Auswertung
eines verlässlichen,
eindeutig dem betreffenden Anwender zuordenbaren Kriteriums für Datenverkehr
zum Internet-Gateway kombiniert wird mit der Auswertung von weniger
verlässlichen
Kriterien, wie zum Beispiel Client-IP/MAC-Adresse, für Datenverkehr,
der nicht zum Internet-Gateway gerichtet ist. Dieses kombinierte,
verbesserte Erkennen erfolgt für
den Anwender transparent. Er merkt gegebenenfalls lediglich eine
leichte Aktionsverzögerung im
Datenverkehr.
-
Die
Erfindung erlaubt, für
die kurzdauernden Zeitspannen, das heißt für die Nichtnutzungs-Zeitabläufe, kleine
Werte zu verwenden, ohne den Anwender durch häufige Re-Authentisierungen
zu belästigen.
Dadurch kann das Ende einer Anwender-Sitzung genauer und zuverlässiger erkannt
werden.
-
Speziell
für eine
Anwender-Authentisierung im Heimbereich kann eine sehr anwenderfreundliche Authentisierung
auf einem Internet-Gateway erreicht werden. Hier würden die
lang andauernden Zeitzähler
auf sehr große
Werte gesetzt werden, zum Beispiel auf mehrere Tage oder sogar unbegrenzt
lang. Ein Anwender müsste
sich dann gar nicht explizit am Internet-Gateway authentisieren. Die Authentisierung
würde,
ohne dass eine Anwenderinteraktion erforderlich ist, erfolgen. Dies
funktioniert, weil auf üblichen
Betriebssystemen bzw. bei üblichen
Web-Browsern die Cookies individuell für jeden Anwender organisiert
sind.
-
Wenn
zum Beispiel im Heimbereich ein Personal Computer zuerst von einem
ersten Anwender verwendet wird und kurz darauf von einem zweiten, ohne
dass ein Ablauf der absoluten Sitzungsdauerlänge erkannt wurde, so wird
beim Ablauf des kurz andauernden Zeitzählers eine Re-Authentisierung durchgeführt und
dabei erkannt, dass der aktuelle Anwender nun ein anderer Anwender
als der frühere ist.
Entweder kann dann eine explizite Authentisierung durchgeführt werden,
oder, wenn der zweite Anwender durch das für ihn eingerichtete Cookie
erkannt wurde, können
auch unmittelbar die für
diesen zweiten Anwender geltenden Berechtigungen durchgesetzt werden.
-
Im
Gegensatz zu bekannten Lösungen
kann selbst dann, wenn durch den Nichtnutzungs-Zeitablauf-Mechanismus
der Anwenderwechsel nicht erkannt wurde, der neue Anwender nur während einer relativ
kurzen weiteren Zeit, nämlich
bis zur nächste Re-Authentisierung
basierend auf der absoluten Sitzungsdauerlänge, die Sitzung des vorigen
Anwenders weiterbenutzen.
-
Nachfolgend
wird die Erfindung anhand einer Zeichnung näher erläutert. Darin zeigen:
-
1 ein
bekanntes Einsatzszenario für
einen Internet-Zugang,
-
2 einen
schematischen Ablauf eines bekannten HTTP-Re-Direct-Vorgangs, und
-
3 und 4 einen
schematischen Ablauf einer Internet-Verbindung gemäß der Erfindung.
-
In
der 1 ist ein Notebook (Wireless Client) über ein
Internet-Gateway (WLAN-Access-Point), das die eigentliche Internet-Verbindung herstellt,
mit dem Internet (Internet) verbunden. Das Internet-Gateway, das
im vorliegenden Ausführungsbeispiel,
wie gesagt, ein WLAN-Access-Point ist, könnte beispielsweise auch durch
ein ADSL-Modem, das gemäß dem Ethernet-Standard
arbeitet, realisiert sein.
-
Weiter
ist gemäß dem in
der 1 dargestellten Ausführungsbeispiel das Notebook
gerade auf die Internet-Seite: www.google.com, aufgeschaltet.
-
Die 2 zeigt
in schematischer Darstellung ein Nachrichtenflussdiagramm. Darin
sind die grundlegenden Abläufe
bezüglich
einer Internet-Re-Direction auf eine Anmeldeseite eines Gateways
dargestellt.
-
Das
Internet-Gateway arbeitet für
einen Anwender zum Beispiel als WLAN-Zugriffspunkt, über den
er auf das Internet zugreifen kann. Solche Internet-Re-Directions
werden zum Beispiel von Freenet benutzt, um Anwender, die sich in
das Internet einwählen
wollen, anstelle derjenigen Homepage, auf die sie sich einwählen wollten,
auf die Freenet-Homepage zu zwingen. Auch im Zusammenhang mit öffentlichen
WLAN-hotspots werden die Internet-Re-Directions verwendet, um Kunden
auf eine vorgegebene Willkommens-Seite zu zwingen, auf der zum Beispiel
frei verfügbare
Lokalinformationen angezeigt sind. Solche Lokalinformationen können zum
Beispiel Informationen über
Flughäfen
oder Speisekarten von Restaurants betreffen. Auch sind derartige
Internet-Re-Directions dazu benutzt, dem Anwender die Möglichkeit
zu geben, Authentisierungsdaten einzugeben, damit der Anwender einen Zugriff
auf Seiten des öffentlichen
Internets bekommen kann.
-
Das
Internet-Gateway überwacht
die Zugriffsanforderungen auf das Port 80 (http). Beim ersten Zugriff
in einer Anwender-Sitzung
fängt das
Internet-Gateway die Zugriffsanforderung ab und leitet sie auf eine
besondere Anmelde-Seite um. In dem in der 2 gezeigten
Beispiel greift ein Anwender auf den http-Server www.google.com
zu und fordert die darauf liegende Datei: "/index.html", an. Diese Zugriffsanforderung wird
vom Internet-Gateway abgefangen. Das Internet-Gateway sendet eine HTTP-Re-Direction-Meldung:
302 Moved Temporarily, zurück,
mit der die URL-Adresse angezeigt wird, auf die stattdessen umgeleitet
wird. Im vorliegenden Fall ist dies die Anmelde-Seite des Internet-Gateways:
http://192.168.0.1/login.html. Der An wender fordert daraufhin diese
Anmelde-Seite an Stelle seiner ursprünglichen Internet-Seite an.
Nachdem sich der Anwender authentisiert hat werden von ihm getätigte Internet-Zugriffe
nicht mehr länger
vom Internet-Gateway abgefangen. Wenn der Anwender jetzt zum Beispiel
den www.google.com-Server anfordert, wird diese Anforderung sofort
an den betreffenden Server weitergeleitet. Vorzugsweise erinnert
sich das Internet-Gateway
des Anwenders nach der abgeschlossenen Authentisierung an die ursprünglich angeforderte
URL-Adresse und leitet den Anwender zu der entsprechenden Zieladresse
weiter.
-
In
den 3 und 4 ist die erfindungsgemäße Re-Authentisierung,
nämlich
eine Cookie-basierte Re-Authentisierung, näher dargestellt. Die Cookie-basierte
Re-Authentisierung kann auf zwei unterschiedliche Arten benutzt
werden.
-
Sie
kann zur Re-Aktivierung einer abgelaufenen Anwender-Sitzung eines Anwenders
benutzt werden, die beendet wurde nach einer Periode der Inaktivität des Anwenders,
die so lange dauerte, dass eine absolut erlaubte Sitzungsdauerlänge überschritten
wurde. Der Anwender ist dann trotzdem nicht gezwungen, seinen Benutzernamen
und sein Passwort erneut einzugeben.
-
Sie
kann weiter ähnlich
der automatischen Authentisierung eines Anwenders gegenüber dem Internet-Gateway
benutzt werden, im Prinzip entsprechend einer lang andauernden Anwender-Sitzung. Wenn unterschiedliche
Anwender denselben Personal Computer verwenden, müssen sie
auf dem Personal Computer unterschieden sein, beispielsweise auf
der Grundlage, dass jeder Anwender ein unterschiedliches Web-Browser-Profil
hat. Das Web-Browser-Profil legt Anwender spezifische Einstellungen
wie zum Beispiel so genannte bookmarks und andere Anwender bezogene
Eigentümlichkeiten fest,
auch können
Anwender bezogene Cookies mit berücksichtigt sein. Wenn also
das Betriebssystem eines Personal Computers oder der genutzte Internet-Browser
schon unterschiedliche Anwender unterscheiden und unterschiedliche
Profile mit jedem dieser Anwender in Verbindung bringen, kann dieses Wissen
dazu genutzt werden, dass ein Internet-Gateway automatisch den gegenwärtig aktiven
Anwender authentisiert. Auf diese Weise ist ein Anwender nicht gezwungen
bei einem Internet-Zugriff seinen Benutzernamen und sein Passwort
explizit in ein HTML-Formblatt einzugeben. Er muss seinen Internet-Gateway-Benutzernamen
und sein Internet-Gateway-Passwort für einen Internet-Zugriff nur beim
ersten Internet-Zugriff eingeben. Diese Informationen sind dann
in Form eines Cookies für
spätere Dienste
gespeichert.
-
Die 3 und 4 zeigen,
wie schon erwähnt,
den erfindungsgemäßen Re-Authentisierungs-Vorgang
an Hand eines schematischen Nachrichtenflussdiagramms näher. Dabei
sind die 3 und 4 in der
Weise zu verstehen, dass in der 4 die 3 fortgesetzt
ist. Die 4 ist also unterhalb der 3 an
die 3 anzuhängen.
-
Die
den 3 und 4 zu entnehmenden Texte sollen
als in die hier vorliegende Beschreibung aufgenommen angesehen werden.
Sie werden deshalb an dieser Stelle nicht nochmals explizit wiedergegeben.
Insgesamt sind nebeneinander drei Pfade angeordnet, von denen der
linke Pfad für
einen Anwender, der mittlere für
ein vom Anwender benutztes Internet-Gateway und der rechte für einen
Server im Internet ist. Dazwischen werden die entsprechend angegebenen
Informationen ausgetauscht. Die Pfeilrichtungen geben die Austauschrichtung
an. Von oben nach unten ist die zeitliche Folge aufgetragen.
-
Entsprechendes
gilt im Übrigen
auch für
die Darstellung in der 2.
-
Ergänzt werden
die in den 3 und 4 angegebenen
textlichen Informationen lediglich wie folgt: 3,
textliche Information: Formbasierte Authentisierung, bei der der
Access-Point ein Cookie setzt, wird mit der Information ergänzt: Dieses
könnte auch
im Zusammenhang mit der „Willkommen-Seite gesetzt
werden. 3, textliche Information Ac cess-Point
verifiziert und akzeptiert die ..., wird mit der Information ergänzt: Das
heißt,
die Informationen (zum Beispiel Anwender-MAC/IP-Adresse) erlauben es,
zukünftigen
Datenverkehr mit dem Datenverkehr eines authentisierten Anwenders
zu verbinden. Zu sehen ist das Ganze in Verbindung mit dem Anwender-Sitzungs-Status:
Zeitablauf. 4: textliche Information: Access-Point
verifiziert Cookie und legt fest, dass ..., wird mit der Information
ergänzt:
Es wird die Zeit der letzten Authentisierung geprüft, optional auch
die Anwender-IP/MAC-Adresse.
Es ist keine tatsächliche
Authentisierung notwendig, bei der der Anwender tatsächlich seinen
Benutzernamen und sein Passwort eingibt.
-
Ansonsten
wird zu den 3 und 4 noch folgendes
ausgeführt:
Zu
Beginn einer Anwender-Sitzung wird die Anwender-Sitzung eingerichtet.
Dabei ist es erforderlich, dass der Anwender seine Informationen:
Benutzername beziehungsweise Anwendername und Passwort beziehungsweise
Kennwort, eingibt. Das Internet-Gateway als Zugriffspunkt auf das
Internet installiert ein Coockie auf dem Client-Gerät, dem Gerät des betreffenden
Anwenders. Das Coockie ist vorzugsweise schon mit der ersten gesendeten HTTP-Antwort
gesetzt, nämlich
mit der gesendeten Anmelde-Seite des Zugriffspunkts. Dies erlaubt
dem Zugriffspunkt zu erkennen, wenn die zweite Meldung vom Anwender
gesendet wird, wobei diese Meldung dann den Benutzernamen und das
Passwort des Anwenders enthält,
ob das Client-Gerät
Coockies unterstützt.
Unterstützt
das Client-Gerät
keine Coockies, könnte
der Zugriffspunkt längere
Zeitaus-Werte verwenden, da die Re-Authentisierung für den Anwender
nicht durchsichtig wäre.
-
Zeitaus-Werte
können
sowohl eine absolute Sitzungsdauerlänge als auch eine Nichtnutzungszeitdauer
betreffen. Dabei kann für
beide Positionen sowohl ein Kurzzeitwert als auch ein Langzeitwert
berücksichtigt
sein. Wenn ein Langzeitwert überschritten
ist, ist wieder eine vollständige
Authentisierung notwendig, bei der die speziellen Anwender-Referenzangaben
eingegeben werden müssen.
Wenn allerdings nur ein Kurzzeitwert überschritten worden ist, ist
die Re-Authentisierung auf der Basis von Coockies akzeptiert.
-
Die
auf Coockies basierende Re-Authentisierung funktioniert folgendermaßen:
Der
Anwender greift auf einen Internet-Auftritt mit einer bestimmten
URL, zum Beispiel im öffentlichen
Internet, zu. Beispielsweise greift er auf den Internet-Auftritt
http://www.yahoo.com/index.html zu. Die HTTP-Anforderung zum Internet
wird vom Zugriffspunkt abgefangen. Der Zugriffspunkt sendet eine Re-Direction-Nachricht
(Moved Temporarily) an das Client-Gerät des Anwenders zurück, dass
er seine Anforderung auf die Anmelde-Seite des Zugriffspunkts richten
soll, die vom Zugriffspunkt zur Verfügung gestellt ist. Wenn der
Anwender seinen Zugriff mit dieser Anmelde-Seite anfordert, sendet
das Client-Gerät
des Anwenders mit dieser Anforderung dann auch gleich entsprechende
Coockies zum Zugriffspunkt. Wenn der Zugriffspunkt dann die auf
den übermittelten
Coockies basierende Re-Authentisierung akzeptiert, erfolgt die Wiederaktivierung
der wegen Zeitablaufs gesperrten Anwender-Sitzung. Der abgelaufene
Zeitzähler
wird dabei zurückgesetzt. Dem
Anwender wird eine zweite Re-Direction-Nachricht (zweie Umlenkungsnachricht)
zurückgesendet (Moved
Temporarily), in der dem Anwender mitgeteilt wird, dass seine Anforderung
nun an den ursprünglich
angeforderten Internet-Auftritt, im vorliegenden Fall die ursprünglich verlangte
URL http://www.yahoo.com/index.html, umgelenkt ist. Der Anwender kann
nun diesen Auftritt anfordern, ohne dass die Anforderung vom Zugriffspunkt
jetzt abgefangen ist. Es existiert nun wieder eine gültige Anwender-Sitzung für den betreffenden
Anwender.
-
Im
Falle, dass der Zugriffspunkt an Hand des ihm im Zuge der Umlenkungsmaßnahmen
vom Client-Gerät
zugesendeten Coockies entscheidet, dass die Re-Authentisierung des
Anwenders nicht annehmbar ist, lenkt der Zugriffspunkt in seiner
zweiten Antwort an den Anwender den Anwender auf die für diesen
Zugriff vorgesehene „normale" Anmelde-Seite, um
so dem Anwender die Möglichkeit
zu geben, dass er sich vollständig
von Neuem anmeldet.
-
Die
Identifizierung eines früher
schon einmal authentisierten Anwenders an Hand eines Coockies oder
an Hand einer vormaligen SSL/TLS-Sitzung kann auch dazu benutzt
werden, zu vermeiden, dass ein Anwender seinen Benutzernamen beziehungsweise
Anwendernamen, sein Passwort beziehungsweise Kennwort und so weiter
eingeben muss. Wenn ein gültiges
Coockie oder eine gültige
SSL/TLS-Sitzung für
einen Anwender erkannt worden ist, ist diese Information als eine
Anwender-Authentisierung akzeptiert. Optional kann die Gültigkeitsdauer
einer solchen Authentisierung zeitlich begrenzt sein. Nach dieser
Gültigkeitsdauer
muss sich der Anwender wieder ganz regulär mit seinem Anwendernamen
und Kennwort authentisieren. Die Sicherheit ist zwar in offensichtlicher
Weise reduziert, wenn das Kennwort nicht ebenfalls eingegeben wird.
Trotzdem liegt eine anwenderfreundliche Handhabung darin vor und kann
akzeptiert werden, wenn diese Vereinfachung mit einer automatischen
Re-Direction zu
dem aktuell angeforderten URL-Ziel kombiniert wird.
-
Der
Wert bzw. die Bedeutung, die im Coockie gespeichert wird erfolgt
in einer Form, die für
keinen der verschiedenen Anwender entschlüsselbar ist. Eine Möglichkeit
ist, einen vermeintlich zufälligen Wert
("nonce") zu speichern. Es
sollten aber auf jeden Fall nicht der Anwendername, ein Anwender-ID oder
ein Sitzungszähler
gespeichert werden. Derartige Informationen könnten ermittelt werden. Das Kennwort
sollte nicht gespeichert werden, weil es jedes Mal in entzifferbarer
Weise übertragen
werden würde,
wenn auf eine Internet-Seite auf dem Zugriffspunkt zugegriffen wird.
Außerdem
würde es
in entzifferbarer Weise auf dem Personal Computer gespeichert werden.