DE102011080467A1 - Zugangsregelung für Daten oder Applikationen eines Netzwerks - Google Patents

Zugangsregelung für Daten oder Applikationen eines Netzwerks Download PDF

Info

Publication number
DE102011080467A1
DE102011080467A1 DE102011080467A DE102011080467A DE102011080467A1 DE 102011080467 A1 DE102011080467 A1 DE 102011080467A1 DE 102011080467 A DE102011080467 A DE 102011080467A DE 102011080467 A DE102011080467 A DE 102011080467A DE 102011080467 A1 DE102011080467 A1 DE 102011080467A1
Authority
DE
Germany
Prior art keywords
endpoint
status
terminal
class
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102011080467A
Other languages
English (en)
Inventor
Monika Maidl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102011080467A priority Critical patent/DE102011080467A1/de
Priority to PCT/EP2012/063808 priority patent/WO2013017394A1/de
Publication of DE102011080467A1 publication Critical patent/DE102011080467A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6236Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Es wird eine Zugangskontrolle auf Daten und Anwendungen, die z.B. in einer Cloud gespeichert sind, vorgeschlagen, die auf der Identität eines Benutzers bzw. Endgeräts und auf einem "Endpunkt-Status" des Endgeräts selbst basiert. Dies kombiniert die Möglichkeiten der Netzwerk-Endpunkt-Beurteilung (NEA) mit Daten und Anwendungsprogrammen, die in der Cloud liegen. So kann ein Dienstanbieter wirksam den Zugriff einschränken auf solche Geräte, die eine bestimmte Vorgabe erfüllen, z.B. eine bestimmte Version einer Aktualisierungssoftware oder ein sonstiges Programm (z.B. ein Virenschutzprogramm) enthalten. Dies erhöht die Sicherheit bezüglich der Datenverarbeitung in der Cloud. Der Ansatz funktioniert beispielsweise für Dokumentenmanagement als auch für in der Cloud ausgelagerte Datenbanken oder Applikationen. Die Erfindung kann für jede Art der verteilten Datenverarbeitung eingesetzt werden, in der die Daten oder Applikationen vor unberechtigten Zugriffen geschützt werden sollen.

Description

  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Regelung eines Zugangs zu Daten oder Applikationen eines Netzwerks. Weiterhin werden ein entsprechendes System bzw. ein Computerprogrammprodukt vorgeschlagen.
  • Der Begriff "Cloud Computing" umschreibt einen Ansatz, abstrahierte informationstechnische (IT) Infrastrukturen (z.B. Rechenkapazität, Datenspeicher, Netzwerkkapazitäten oder auch fertige Software) dynamisch an den Bedarf angepasst über ein Netzwerk zur Verfügung zu stellen. Aus Sicht des Nutzers scheint die zur Verfügung gestellte Infrastruktur fern und undurchsichtig, wie in eine "Wolke" gehüllt.
  • Bei diesem Ansatz wird ein Teil der IT-Landschaft (in diesem Zusammenhang etwa Hardware wie Rechenzentrum, Datenspeicher sowie Software) nicht mehr auf Nutzerseite betrieben oder am Ort des Nutzers bereitgestellt, sondern beispielsweise bei einem oder mehreren Anbietern als Dienst gemietet, wobei diese Anbieter geografisch entfernt angesiedelt sein können. Die Anwendungen oder Daten befinden sich nicht mehr (nur) auf dem lokalen Rechner oder einem (Firmen-)Rechenzentrum, sondern in der "Wolke", nachfolgend bezeichnet als Cloud. Die Cloud kann dabei Teil des Internets sein oder dieses umfassen.
  • Cloud Computing bietet die Möglichkeit, netzbasierte Anwendungen in neuen Geschäftsmodellen anzubieten. Dienstleistungen in der Cloud können dabei auf verschiedenen Ebenen zur Verfügung gestellt werden:
  • (a) Infrastruktur:
  • Ein potentieller Kunde "mietet" Rechenleistung, um seine eigenen Dienste zu realisieren. Cloud Computing nutzt hierzu Rechenzentren, die sich entweder konzentriert an einem Ort befinden, oder die zur Erbringung von flexiblen Diensten verteilt zusammengeschaltet sein können. Auf diesen Rechnern werden virtuelle Maschinen ausgeführt. Die Kunden laden Daten (z.B. Bilder) in die Cloud, die Verarbeitung erfolgt ohne Benutzerinteraktion im Rechenzentrum.
  • (b) Plattform:
  • Der Kunde erhält Zugriff auf eine Plattform, die zum einen die Infrastruktur für die Erbringung eines Dienstes als auch bestimmte Softwareteile (z.B. Middleware) umfasst, mit deren Hilfe Dienste erstellt werden können. Der damit erstellte Dienst ist beispielsweise eine Webapplikation.
  • (c) Software:
  • Ein Cloud-Anbieter (auch bezeichnet als Cloud-Provider) bietet eine netzbasierte Applikation an, die der Kunde mittels seines Browsers nutzt. Dabei können von dem Kunden über den Browser Dokumente oder Datensätze angelegt oder bearbeitet werden.
  • Die Auslagerung von Applikationen und Daten kann eine Sicherheitsbedrohung darstellen, denn Daten und Dokumente werden bei dem Cloud-Anbieter gespeichert und – je nach Typ der Cloud bzw. Implementierung des Dienstes – dort auch verarbeitet (d.h. auf diese Daten wird auch in der Cloud zugegriffen).
  • Eine Security Assertion Markup Language (kurz SAML) ist bekannt als ein XML-Framework zum Austausch von Authentifizierungs- und Autorisierungsinformationen. Sie stellt Funktionen bereit, um sicherheitsbezogene Informationen zu beschreiben und zu übertragen. Bei der Entwicklung von SAML wurden die folgenden Anwendungsfälle berücksichtigt:
    • – Single Sign-on (ein Benutzer ist nach der Anmeldung an einer Webanwendung automatisch auch zur Benutzung von weiteren Anwendungen berechtigt).
    • – Verteilte Transaktionen (mehrere Benutzer arbeiten gemeinsam an einer Transaktion und teilen sich die Sicherheitsinformationen).
    • – Autorisierungsdienste (die Kommunikation mit einem Dienst läuft über eine Zwischenstation, die die Berechtigung überprüft).
  • Diese Dienste sollen vor allem für Webservices angeboten werden. SAML umfasst sogenannte SAML-Assertions, ein SAML-Protokoll, SAML-Bindings und Profile.
  • Derartige SAML-Assertions werden von einem Identity-Provider zu einem Service-Provider übertragen. Bei den SAML-Assertions handelt es sich um Aussagen ("statements"), die der Service-Provider nutzt, um zu entscheiden, ob ein Zugriff zugelassen werden soll. Die folgenden Typen von Aussagen werden von SAML genutzt:
    • – Authentifikations-Aussagen ("Authentication Statements"): Zusicherung einer Authentifizierung für ein Subjekt S zu einer Zeit T mittels einer Methode M (für Single Sign-On).
    • – Attribut-Aussagen ("Attribute Statements"): Zusicherung, dass ein Subjekt S über ein Attribut A mit einem Wert a verfügt (für eine verteilte Transaktion/Autorisierung).
    • – Autorisierations-Entscheidungs-Aussagen ("Authorization Decision Statements"): Autorisierung bestimmter Ressourcen.
  • Details zu SAML sind z.B. Wikipedia unter [http://de.wikipedia.org/wiki/Security_Assertion_Markup_Langu age] entnehmbar.
  • Weiterhin ist ein Ansatz zu Beurteilung von Netzwerk-Endpunkten (NEA: "Network Endpoint Assessment" hier auch bezeichnet als Netzwerk-Endpunkt-Beurteilung) gemäß RFC 5209 bekannt [http://tools.ietf.org/html//rfc5209]. Demnach können Netzwerk-Endpunkte klassifiziert und beurteilt werden und es kann basierend auf einer derartigen Einschätzung ein Zugang zu Netzwerken auf OSI-Schicht 2 und 3 gesteuert werden.
  • In Firmennetzwerken (z.B. sogenannten Intranets) wird auf diese Art kontrolliert, welche Geräte Zugriff auf das Firmennetzwerk erhalten bzw. zu welchem separaten Netzwerk innerhalb des Firmennetzwerks das Gerät verbunden wird.
  • Internetdienstanbieter (ISP = Internet Service Provider) verwenden die Netzwerk-Endpunkt-Beurteilung auf Client-Geräten für den Zugang zum Internet. Die Netzwerk-Endpunkt-Beurteilung erfolgt dabei nicht auf der Anwendungsschicht, z.B. wenn auf Dienste des Internets, z.B. mittels eines Netzbrowsers, zugegriffen wird; dort (auf Anwendungsschicht) erfolgt die Zugriffskontrolle üblicherweise über eine Authentifikation mittels Benutzername und Kennwort.
  • Allerdings werden zunehmend Applikationen und Dienste über das Internet bzw. netzbasiert bereitgestellt, insbesondere anhand der eingangs erläuterten Cloud. Hierbei wird Software als ein Dienst z.B. über die Netzwerkschnittstelle des Internets angeboten. Derartige Dienste werden vermehrt auch für sicherheitsrelevante, vertrauliche oder persönliche Daten verwendet, z.B. Online-Bankanwendungen.
  • Solche Dienste schützen sich gegen missbräuchliche Verwendung dadurch, dass die Benutzer sich (auf der Anwendungsebene) authentisieren müssen. Es besteht aber auch die Möglichkeit, dass ein Dienst durch auf einem Computer des Anwenders ablaufende schädliche Software (sogenannte "Malware", umfassend z.B. Viren, Trojaner etc.) kompromittiert oder missbräuchlich verwendet wird, mit entsprechend negativen Auswirkungen auf Anwender und Betreiber. Ein Beispiel stellt derartige schädliche Software dar, die Passwörter oder PINs des Benutzers ausspäht, damit diese später missbräuchlich verwendet werden können. Andererseits könnte schädliche Software auf dem Anwenderrechner auch dazu geeignet sein, den Dienst selbst anzugreifen.
  • Während zur Zeit die Authentisierung von Benutzern meist auf einer Eingabe von Benutzername und Passwort basiert, bietet SAML ein Rahmenwerk zum Austausch von Authentifizierungs- und Autorisierungsinformationen. Damit ist es möglich, die Authentifikation eines Benutzers von dem Dienstanbieter auf eine Organisation, der der Benutzer angehört (z.B. eine Firma, für die der Benutzer arbeitet oder bei der er angestellt ist) oder eine unabhängige dritte Partei, zu übertragen. Somit kann sich ein Benutzer durch eine einmalige Authentifikation bei mehreren Systemen und/oder Diensten anmeldet (Single-Sign-On).
  • Das bekannte SAML-Rahmenwerk funktioniert wie folgt:
    • (a) Der Benutzer authentifiziert sich bei einer Instanz, die einen Berechtigungsnachweis bzw. ein Token (z.B. eine elektronische Marke für einen Zugriff oder Zugang) bereitstellt. Diese Instanz wird auch als Token-Provider bezeichnet. Bei dem Token-Provider kann es sich z.B. um die Firma des Benutzers (oder um eine unabhängige dritte Partei) handeln. Der Benutzer erhält ein zeitlich begrenztes Token (d.h. eine SAML-Assertion) das eine Identitätsinformation, sonstige Attribute und den Typ des verwendeten Authentifikationsmechanismus enthält. Das Token hat beispielsweise das Format einer XML-Datei.
    • (b) Der Benutzer fügt das Token einer Anfrage bei (z.B. einer http-Anfrage), um auf den gewünschten Dienst zugreifen zu können.
    • (c) Ein Server überprüft das Token des Benutzers und gewährt den Zugriff, falls das Token verifiziert werden konnte.
  • Eine Infrastruktur für eine bekannte Netzwerk-Endpunkt-Beurteilung (NEA) umfasst:
    • (a) einen NEA-Client, der auf dem Gerät des Benutzers vorgesehen ist und Eigenschaften des Geräts ermittelt, z.B. einen Aktualisierungsstatus (Patch-Level) oder einen Virenschutzstatus (z.B. ob ein Virenschutzprogramm installiert ist und ggf. in welcher Version dieses Virenschutzprogramm installiert bzw. ob das richtige Virenschutzprogramm installiert ist);
    • (b) einen NEA-Server in dem Netzwerk (z.B. einen RADIUS-Server), der die von dem NEA-Client ermittelten Eigenschaften erhält, verarbeitet und entscheidet, ob und ggf. welche Art des Zugangs gewährt werden soll.
  • Hierbei ist es von Nachteil, dass man Dienste im Internet nicht in analoger Weise durch eine Netwerk-Endpunkt-Beurteilung schützen kann.
  • Die Aufgabe der Erfindung besteht darin, den vorstehend genannten Nachteil zu vermeiden und insbesondere eine Lösung zu schaffen, um die Sicherheit von in einem Netzwerk, insbesondere einer Cloud, laufenden Diensten und der dort gespeicherten Daten zu erhöhen.
  • Diese Aufgabe wird gemäß den Merkmalen der unabhängigen Ansprüche gelöst. Bevorzugte Ausführungsformen sind insbesondere den abhängigen Ansprüchen entnehmbar.
  • Zur Lösung der Aufgabe wird ein Verfahren angegeben zur Regelung eines Zugangs auf Daten oder Applikationen eines Netzwerks,
    • – bei dem eine Berechtigungs-Information eines Endgeräts überprüft wird und
    • – bei dem anhand eines Endpunkt-Status des Endgeräts eine Endpunkt-Klasse bestimmt wird und der Zugang anhand der Endpunkt-Klasse geregelt wird.
  • Bei der Berechtigungs-Information kann es sich beispielsweise um eine Authentisierungsinformation eines Benutzers (an dem Endgerät) oder des Endgeräts handeln.
  • Ein Vorteil des vorliegenden Ansatzes besteht darin, es einem Dienstebetreiber zu ermöglichen, nicht nur den Benutzer zu authentisieren, sondern auch ausschließen zu können, dass Benutzer mit kompromittierten Geräten auf den Dienst zugreifen und dadurch sich oder den Dienst gefährden.
  • Bei dem Endpunkt-Status handelt es sich vorzugsweise um den Status des Endgeräts.
  • Grundsätzlich kann eine solche Regelung des Zugangs für unterschiedliche Daten oder Applikationen (z.B. Programme) erfolgen, die zumindest teilweise in dem Netzwerk gespeichert sind oder dort ablaufen. Bei dem Netzwerk kann es sich um das Internet oder um eine beliebige Cloud handeln. Der Zugriff erfolgt z.B. von einem Benutzerendgerät (z.B. einem Computer oder einem Telefon). Als Computer kommen eine Vielzahl von Geräten in Frage, z.B. ein Arbeitsplatzrechner, ein Notebook, ein portables Gerät, ein Gerät mit einer Funkschnittstelle (z.B. zu einem Mobilfunknetzwerk und/oder zu einem drahtlosen Netzwerk (WLAN)), ein Smartphone, ein Tablet-PC, ein Server, etc.
  • Die Regelung des Zugangs kann dabei in Abhängigkeit von der Endpunkt-Klasse auf unterschiedliche Arten erfolgen: Beispielsweise kann kein Zugang, limitierter Zugang oder voller Zugang auf die Ressourcen des Netzwerks erfolgen. Der Zugang umfasst hierbei beispielhaft auch einen Zugriff auf derartige Ressourcen des Netzwerks. Bei dem limitierten Zugang kann z.B. abhängig von dem Endpunkt-Status und einem ggf. damit verbundenen Benutzerstatus (sofern sich der Benutzer an dem Endpunkt authentifiziert hat) der Zugang geregelt werden. Insbesondere ist es möglich, dass nur auf einen bestimmten Teil des Netzwerks, z.B. bestimmte vorgegebene Daten und/oder Applikationen ein Zugriff in Abhängigkeit von der Endpunkt-Klasse und/oder dem Endpunkt-Status erfolgt.
  • Hierbei sei ausdrücklich darauf hingewiesen, dass die obigen Merkmale keine zeitliche Abfolge festlegen: So kann z.B. die Berechtigungs-Information überprüft und dann die Endpunkt-Klasse bestimmt werden oder umgekehrt kann zuerst die Endpunkt-Klasse bestimmt werden und dann die Berechtigungs-Information überprüft werden.
  • Der vorliegende Ansatz ermöglicht es Dienstanbietern nicht nur die Identität des Benutzers bzw. des Endgeräts, sondern auch eine Netzwerk-Endpunkt-Beurteilung, also eine Endpunktbeurteilung des Benutzergeräts für die Entscheidung, ob ein Zugang erfolgen soll oder nicht, zu berücksichtigen. Damit kann der Dienstanbieter wirksam den Zugriff einschränken auf solche Geräte, die eine bestimmte Vorgabe erfüllen, z.B. eine bestimmte Version einer Aktualisierungssoftware oder ein sonstiges Programm (z.B. ein Virenschutzprogramm) enthalten.
  • Dienste und Anwendungsprogramme, die derzeit über das Internet angeboten werden, verfügen über keinerlei Netzwerk-Endpunkt-Beurteilung, sondern verwenden lediglich eine Benutzer-Authentifikation als Zugangs- bzw. Zugriffskontrolle.
  • Eine Weiterbildung ist es, dass der Endpunkt-Status die Berechtigungs-Information aufweist.
  • Eine andere Weiterbildung ist es, dass
    • – das Endgerät bei einer Berechtigungs-Bereitstellungsinstanz authentifiziert wird und
    • – von der Berechtigungs-Bereitstellungsinstanz dem Endgerät die Berechtigungsinformation bereitgestellt wird.
  • Bei der Berechtigungsinformation kann es sich z.B. um ein Token handeln, das für eine vorgegebene Zeitdauer gültig ist. Die Berechtigungs-Bereitstellungsinstanz kann die beispielhaft im nachfolgenden Ausführungsbeispiel als Credential Provider bezeichnete Komponente sein.
  • Insbesondere ist es eine Weiterbildung, dass
    • – von der Berechtigungs-Bereitstellungsinstanz einem Beurteilungs-Server der Endpunkt-Status bereitgestellt wird,
    • – von dem Beurteilungs-Server basierend auf dem Endpunkt-Status die Endpunkt-Klasse bestimmt wird,
    • – die Endpunkt-Klasse der Berechtigungs-Bereitstellungsinstanz bereitgestellt wird,
    • – dem Endgerät von der Berechtigungs-Bereitstellungsinstanz die Endpunkt-Klasse und die Berechtigungs-Information bereitgestellt werden,
    • – von dem Endgerät die Endpunkt-Klasse und die Berechtigungs-Information an eine Zugangskontrolle übermittelt werden und
    • – von der Zugangskontrolle basierend auf der Endpunkt-Klasse und der Berechtigungs-Information der Zugang des Endgeräts geregelt wird.
  • Auch ist es eine Weiterbildung, dass
    • – von dem Endgerät der Endpunkt-Status und die Berechtigungs-Information an eine Zugangskontrolle übermittelt werden,
    • – von der Zugangskontrolle einem Beurteilungs-Server der Endpunkt-Status bereitgestellt wird,
    • – von dem Beurteilungs-Server basierend auf dem Endpunkt-Status die Endpunkt-Klasse bestimmt wird,
    • – von dem Beurteilungs-Server der Zugangskontrolle die Endpunkt-Klasse bereitgestellt wird,
    • – von der Zugangskontrolle basierend auf der Endpunkt-Klasse und der Berechtigungs-Information der Zugang des Endgeräts geregelt wird.
  • Bei dem Beurteilungs-Server handelt es sich vorzugsweise um einen Endpunkt-Beurteilungs-Server. Der Beurteilungs-Server führt eine Netzwerk-Endpunkt-Beurteilung entsprechend eines Klassifikations-Schemas durch und bestimmt eine Endpunkt-Klasse basierend auf dem Klassifikations-Schema. Beispielsweise kann das Klassifikations-Schema unterteilt sein in "einfach", "mittel" und "hoch". Die Endpunkt-Klasse wird beispielsweise in XML gespeichert.
  • Ferner ist es eine Weiterbildung, dass mittels einer Klassifikations-Vereinbarung die Endpunkt-Klasse basierend auf dem Endpunkt-Status ermittelt wird.
  • Eine Zuordnung eines Endpunkt-Status zu der Endpunkt-Klasse wird beispielsweise mittels einer Klassifikations-Vereinbarung festgelegt.
  • Im Rahmen einer zusätzlichen Weiterbildung wird der Endpunkt-Status anhand einer Status-Vereinbarung bestimmt.
  • So kann eine Struktur des Endpunktstatus in einem XML-Schema festgelegt sein und als eine Status-Vereinbarung bezeichnet werden. Eine Endpunkt-Beurteilungs-Vereinbarung kann verwendet werden, um Aktionen für den Endpunkt-Beurteilungs-Client zu definieren entsprechend einer vorgegebenen Status-Vereinbarung.
  • Eine nächste Weiterbildung besteht darin, dass auf dem Endgerät ein Endgerät-Beurteilungs-Client ausgeführt wird, der den Endpunkt-Status bestimmt.
  • Insbesondere kann der Endgerät-Beurteilungs-Client die hier beschriebenen Kommunikationen mit dem Endgerät, der Berechtigungs-Bereitstellungsinstanz und/oder der Zugangskontrolle veranlassen, übernehmen oder koordinieren.
  • Eine Ausgestaltung ist es, dass der Endpunkt-Status mindestens eine der folgenden Informationen umfasst:
    • – Status und/oder Version einer Software,
    • – Status und/oder Version eines Virenschutzprogramms,
    • – Zustand und/oder Version eines Betriebssystems
    • – Zustand und/oder Version einer Anwendung, die auf dem Gerät installiert ist oder dort ausgeführt wird.
  • Die vorstehende Aufgabe wird auch gelöst mittels einer Vorrichtung zur Regelung eines Zugangs auf Daten oder Applikationen eines Netzwerks umfassend eine Verarbeitungseinheit, die derart eingerichtet ist, dass
    • – eine Berechtigungs-Information eines Endgeräts überprüfbar ist und
    • – anhand eines Endpunkt-Status des Endgeräts eine Endpunkt-Klasse bestimmt wird und der Zugang anhand der Endpunkt-Klasse geregelt wird.
  • Die Verarbeitungseinheit kann insbesondere eine Prozessoreinheit und/oder eine zumindest teilweise fest verdrahtete oder logische Schaltungsanordnung sein, die beispielsweise derart eingerichtet ist, dass das Verfahren wie hierin beschrieben durchführbar ist. Besagte Verarbeitungseinheit kann jede Art von Prozessor oder Rechner oder Computer mit entsprechend notwendiger Peripherie (Speicher, Input/Output-Schnittstellen, Ein-Ausgabe-Geräte, etc.) sein oder umfassen.
  • Die vorstehenden Erläuterungen betreffend das Verfahren gelten für die Vorrichtung entsprechend. Die Vorrichtung kann in einer Komponente oder verteilt in mehreren Komponenten ausgeführt sein. Insbesondere kann auch ein Teil der Vorrichtung über eine Netzwerkschnittstelle (z.B. das Internet) angebunden sein.
  • Weiterhin wird zur Lösung der Aufgabe ein System oder ein Computernetzwerk vorgeschlagen umfassend mindestens eine der hier beschriebenen Vorrichtungen.
  • Die hierin vorgestellte Lösung umfasst ferner ein Computerprogrammprodukt, das direkt in einen Speicher eines digitalen Computers ladbar ist, umfassend Programmcodeteile die dazu geeignet sind, Schritte des hier beschriebenen Verfahrens durchzuführen.
  • Weiterhin wird das oben genannte Problem gelöst mittels eines computerlesbaren Speichermediums, z.B. eines beliebigen Speichers, umfassend von einem Computer ausführbare Anweisungen (z.B. in Form von Programmcode) die dazu geeignet sind, dass der Computer Schritte des hier beschriebenen Verfahrens durchführt.
  • Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden schematischen Beschreibung von Ausführungsbeispielen, die im Zusammenhang mit den Zeichnungen näher erläutert werden. Dabei können zur Übersichtlichkeit gleiche oder gleich wirkende Elemente mit gleichen Bezugszeichen versehen sein.
  • Es zeigen:
  • 1 ein schematisches Diagramm zur Veranschaulichung einer einem Credential-Provider bereitgestellten Netzwerk-Endpunkt-Beurteilung;
  • 2 ein schematisches Diagramm basierend auf 1, wobei die Beurteilung des Endpunkts von einer Organisation durchgeführt werden kann, der der Benutzer bzw. das Endgerät des Benutzers zugeordnet ist (z.B. von einer Firma, bei der der Benutzer angestellt ist).
  • Der vorliegende Vorschlag nutzt insbesondere die folgenden (funktionalen) Komponenten:
  • (A) Einen Endpunkt-Beurteilungs-Client:
  • Hierbei handelt es sich beispielsweise um ein Programm, das auf dem Gerät des Benutzers abläuft und dieses beurteilt. Dabei können beispielsweise unterschiedliche Informationen oder Zustände festgestellt und gespeichert werden:
    • – Status und/oder Version einer Software (auch bezeichnet als "Patch-Level"),
    • – Status und/oder Version eines Virenschutzprogramms,
    • – Zustand und/oder Version eines Betriebssystems
    • – Zustand und/oder Version einer Anwendung, die auf dem Gerät installiert ist oder dort ausgeführt wird.
  • Diese Information entspricht einem Status des Endpunkts (hier des Geräts des Benutzers) und wird beispielsweise in ein Dokument oder in einer Datei abgespeichert. Vorteilhaft kann hierfür ein XML-Dokument (XML: Extensible Markup Language, zu Deutsch: "erweiterbare Auszeichnungssprache") verwendet werden.
  • So kann eine Struktur des Endpunktstatus in einem XML-Schema festgelegt sein und als eine Status-Vereinbarung (auch bezeichnet als eine Status-Policy) bezeichnet werden.
  • Eine Endpunkt-Beurteilungs-Vereinbarung (auch bezeichnet als eine Endpunkt-Beurteilungs-Policy) kann verwendet werden, um Aktionen für den Endpunkt-Beurteilungs-Client zu definieren entsprechend einer vorgegebenen Status-Vereinbarung.
  • (B) Einen Endpunkt-Beurteilungs-Server:
  • Der Endpunkt-Beurteilungs-Server führt eine Netzwerk-Endpunkt-Beurteilung entsprechend eines Klassifikations-Schemas durch und bestimmt eine Endpunkt-Klasse basierend auf dem Klassifikations-Schema. Beispielsweise kann das Klassifikations-Schema unterteilt sein in "einfach", "mittel" und "hoch".
  • Die Endpunkt-Klasse wird beispielsweise in XML gespeichert. Eine Zuordnung eines Endpunkt-Status zu der Endpunkt-Klasse wird durch eine Klassifikations-Vereinbarung (auch bezeichnet als eine Klassifikations-Policy) festgelegt.
  • (C) Eine Instanz zur Bereitstellung einer Berechtigung und/oder eines Token ("Berechtigungs-Bereitstellungsinstanz", fortan der Einfachheit halber bezeichnet als "Credential-Provider"):
  • Es wird vorgeschlagen, einen gemäß des SAML-Rahmenwerks bekannten Token-Provider (siehe Einleitung) zu erweitern, so dass dieser eine Berechtigung bzw. ein Token bereitstellt betreffend die Identität und die Authentifikation eines Benutzers, wie sie z.B. für einen Single-Sign-On-Mechanismus benötigt wird. Hierzu werden für den Credential-Provider insbesondere die folgenden Aufgaben vorgesehen:
    • – Der Credential Provider erhält den Endpunkt-Status von dem Endpunkt-Beurteilungs-Client, der auf dem Gerät ausgeführt wird. Der Credential Provider kann auch dazu eingesetzt werden, die aktuelle Version der Endpunkt-Beurteilungs-Vereinbarung von dem Endpunkt-Beurteilungs-Server zu beziehen und zu dem Endpunkt-Beurteilungs-Client zu übermitteln.
    • – Der Credential Provider fordert eine Klassifikation des Endpunkt-Status von dem Endpunkt-Beurteilungs-Server an.
    • – Der Credential Provider stellt eine Information über den Endpunkt z.B. mittels eines von ihm generierten Token bereit. Hierbei bezeichnet das Token stellvertretend jedwede Art einer Berechtigung, die in diesem Beispiel von dem Credential Provider zur Verfügung gestellt wird. Es können insbesondere zwei Optionen unterschieden werden: • Einerseits kann der Credential Provider die Endpunkt-Klasse wie er sie von dem Endpunkt-Beurteilungs-Server erhalten hat, in Form eines XML-Eintrags in dem Token bereitstellen. • Andererseits kann der vollständige Endpunkt-Status, wie er von dem Endpunkt-Beurteilungs-Client erhalten wurde, als XML-Eintrag in dem Token bereitgestellt werden.
  • (D) Eine Zugangskontrollkomponente:
  • Die Zugangskontrollkomponente des Dienstes erhält das Token und überprüft dessen Signatur. Ist die Signatur erfolgreich verifiziert, entscheidet die Zugangskontrollkomponente ob und ggf. in welchem Umfang ein Zugang gewährt werden soll (bei dem Zugang kann es sich auch um einen Zugriff z.B. auf Daten oder Applikationen handeln).
  • Insbesondere kann der Zugang mit Einschränkungen belegt werden. Beispielsweise kann der Zugang auf bestimmte Komponenten oder Daten beschränkt werden bzw. kann vorgegeben werden, dass nur bestimmte Aktionen erlaubt sind. Die Entscheidung über den Umfang des Zugangs basiert auf den in der Berechtigung enthaltenen Informationen, z.B. der Identität, dem Authentifizierungsstatus und/oder der Endpunkt-Klasse.
  • Beispielsweise kann eine Endpunkt-Klasse "einfach" anzeigen, dass der Zugang auf einen lesenden Zugriff beschränkt werden soll und nur auf solche Komponenten oder Daten erfolgen darf, die für einen allgemeinen öffentlichen Zugriff bestimmt sind. Andererseits können Administratoren mittels einer Endpunkt-Klasse "hoch" vollen Zugriff zu einer Vielzahl von oder zu allen Komponenten oder Daten erhalten.
  • Falls das Token einen Endpunkt-Status anstelle einer Endpunkt-Klasse enthält, übermittelt die Zugangskontrollkomponente beispielsweise den Endpunkt-Status an den Endpunkt-Beurteilungs-Server um die entsprechende Endpunkt-Klasse für diesen Endpunkt zu erhalten.
  • 1 zeigt ein schematisches Diagramm zur Veranschaulichung einer einem Credential-Provider 103 bereitgestellten Netzwerk-Endpunkt-Beurteilung.
  • Nachfolgend werden einzelne Schritte dieser Netzwerk-Endpunkt-Beurteilung erläutert; die nachfolgend nummerierten Schritte (1) bis (5) finden sich entsprechend auch in der 1.
    • (1) Ein Benutzer authentifiziert sich über ein Benutzerendgerät 101 bei dem Credential-Provider 103.
    • (2) Ein auf dem Benutzerendgerät 101 ablaufender Endpunkt-Beurteilungs-Client 102 sammelt Informationen über den Status des Betriebssystems und der Anwendungsprogramme entsprechend einer Vorgabe einer Status-Vereinbarung und übermittelt einen daraus generierten Endpunkt-Status an den Credential-Provider 103. Zuvor könnte optional der Endpunkt-Beurteilungs-Client 102 die neueste Version einer Endpunkt-Beurteilungs-Vereinbarung von dem Credential-Provider 103 oder von einem Endpunkt-Beurteilungs-Server 104 angefordert (und erhalten) haben.
    • (3) Der Credential-Provider 103 stellt einen Endpunkt-Status (z.B. als XML-Eintrag) in einem Token dem Benutzerendgerät 101 bereit.
    • (4) Das Benutzerendgerät 101 sendet das Token zusammen mit einer Anfrage betreffend einen Dienst oder ein Programm an eine Zugangskontrollkomponente 105.
    • (5) Die Zugangskontrollkomponente 105 überprüft das Token, extrahiert den Endpunkt-Status und übermittelt diesen an den Endpunkt-Beurteilungs-Server 104. Der Endpunkt-Beurteilungs-Server 104 ordnet den Endpunkt-Status einer Endpunkt-Klasse zu und übermittelt diese Endpunkt-Klasse an die Zugangskontrollkomponente 105.
    • (6) Die Zugangskontrollkomponente 105 trifft die Entscheidung über den Zugang zu einem Dienst 106 basierend auf der Identität des Benutzers, dem Authentifikations-Status und der Endpunkt-Klasse. Die Zugangskontrollkomponente 105 ist hierfür vorzugsweise mit einer Zugangs-Kontroll-Vereinbarung (auch bezeichnet als Zugangs-Kontroll-Policy) konfiguriert, die das gleiche Klassifikations-Schema verwendet wie der Endpunkt-Beurteilungs-Server 104. Der Endpunkt-Beurteilungs-Server 104 wird beispielsweise von dem Dienstanbieter betrieben, der das Klassifikations-Schema und die Zugangs-Kontroll-Vereinbarung entsprechend seinen Anforderungen vorgegeben kann, d.h. in Abhängigkeit von Faktoren, die für die Entscheidung über den Zugang (und die Art des Zugangs) entscheidend sind.
  • 2 zeigt ein schematisches Diagramm basierend auf 1, wobei die Beurteilung des Endpunkts von einer Organisation durchgeführt werden kann, der der Benutzer zugeordnet ist (z.B. von einer Firma, bei der der Benutzer angestellt ist).
  • Nachfolgend werden einzelne Schritte dieser Netzwerk-Endpunkt-Beurteilung erläutert; die nachfolgend nummerierten Schritte (1) bis (5) finden sich entsprechend auch in der 2.
    • (1) Ein Benutzer authentifiziert sich über ein Benutzerendgerät 101 bei dem Credential-Provider 103.
    • (2) Der Endpunkt-Beurteilungs-Client 101 sammelt Informationen über den Status des Betriebssystems und der Anwendungsprogramme entsprechend einer Vorgabe der Status-Vereinbarung und übermittelt einen daraus generierten Endpunkt-Status an den Credential-Provider 103. Zuvor könnte optional der Endpunkt-Beurteilungs-Client 102 die neueste Version der Endpunkt-Beurteilungs-Vereinbarung von dem Credential-Provider 103 oder von dem Endpunkt-Beurteilungs-Server 104 angefordert (und erhalten) haben.
    • (3) Der Credential-Provider 103 übermittelt einen Endpunkt-Status an den Endpunkt-Beurteilungs-Server und erhält die zugehörige Endpunkt-Klasse.
    • (4) Der Credential-Provider 103 stellt die Endpunkt-Klasse (z.B. als XML-Eintrag) in dem Token dem Benutzerendgerät 101 bereit.
    • (5) Das Benutzerendgerät 101 sendet das Token zusammen mit einer Anfrage betreffend einen Dienst oder ein Programm an die Zugangskontrollkomponente 105.
    • (6) Die Zugangskontrollkomponente 105 überprüft das Token und trifft die Entscheidung über den Zugang zu einem Dienst 106 basierend auf der Identität des Benutzers, dem Authentifikations-Status und der Endpunkt-Klasse. Die Zugangskontrollkomponente 105 ist hierfür vorzugsweise mit der Zugangs-Kontroll-Vereinbarung konfiguriert, die das gleiche Klassifikations-Schema verwendet wie der Endpunkt-Beurteilungs-Server 104. Um eine Zugangs-Kontroll-Vereinbarung, die eine Information "Endpunkt-Klasse" verwendet, erstellen zu können, kennt der Credential-Provider 103 vorzugsweise die Klassifikations-Vereinbarung, d.h. die Zuordnung zwischen dem Endpunkt-Status und der Endpunkt-Klasse. Somit besteht vorzugsweise eine Form des Informationsaustausches oder einer Vereinbarung zwischen der Organisation (der der Benutzer zugeordnet ist) und dem Anbieter.
  • Ein Vorteil dieser Option besteht darin, dass die Organisation vorgeben kann, welche Aspekte des Geräts für die Zugangskontrolle berücksichtigt werden sollen. Damit erhält die Organisation zusätzliche Kontrolle über die Sicherheitsmechanismen, was insbesondere für sicherheitsrelevante Dienste und Daten der Organisation von Vorteil ist.
  • Hier werden beispielhaft zwei Optionen zur Beurteilung von Endpunkten, die auf über das Internet bereitgestellte Dienste zugreifen, beschrieben. Eine weitere Möglichkeit besteht darin, dass der Provider den Endpunkt-Beurteilungs-Server betreibt und die Organisation das Klassifikations-Schema und die Klassifikations-Vereinbarung bestimmt, die von dem Endpunkt-Beurteilungs-Server umgesetzt werden soll.
  • Obwohl die Erfindung im Detail durch das mindestens eine gezeigte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht darauf eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • http://de.wikipedia.org/wiki/Security_Assertion_Markup_Langu age [0012]
    • RFC 5209 [0013]
    • http://tools.ietf.org/html//rfc5209 [0013]

Claims (12)

  1. Verfahren zur Regelung eines Zugangs auf Daten oder Applikationen eines Netzwerks, – bei dem eine Berechtigungs-Information eines Endgeräts überprüft wird und – bei dem anhand eines Endpunkt-Status des Endgeräts eine Endpunkt-Klasse bestimmt wird und der Zugang anhand der Endpunkt-Klasse geregelt wird.
  2. Verfahren nach Anspruch 1, bei dem der Endpunkt-Status die Berechtigungs-Information aufweist.
  3. Verfahren nach Anspruch 2, – bei dem das Endgerät bei einer Berechtigungs-Bereitstellungsinstanz authentifiziert wird, – bei dem von der Berechtigungs-Bereitstellungsinstanz dem Endgerät die Berechtigungsinformation bereitgestellt wird.
  4. Verfahren nach Anspruch 3, – bei dem von der Berechtigungs-Bereitstellungsinstanz einem Beurteilungs-Server der Endpunkt-Status bereitgestellt wird, – bei dem von dem Beurteilungs-Server basierend auf dem Endpunkt-Status die Endpunkt-Klasse bestimmt wird, – bei dem die Endpunkt-Klasse der Berechtigungs-Bereitstellungsinstanz bereitgestellt wird, – bei dem dem Endgerät von der Berechtigungs-Bereitstellungsinstanz die Endpunkt-Klasse und die Berechtigungs-Information bereitgestellt werden, – bei dem von dem Endgerät die Endpunkt-Klasse und die Berechtigungs-Information an eine Zugangskontrolle übermittelt werden und – bei dem von der Zugangskontrolle basierend auf der Endpunkt-Klasse und der Berechtigungs-Information der Zugang des Endgeräts geregelt wird.
  5. Verfahren nach Anspruch 3, – bei dem von dem Endgerät der Endpunkt-Status und die Berechtigungs-Information an eine Zugangskontrolle übermittelt werden, – bei dem von der Zugangskontrolle einem Beurteilungs-Server der Endpunkt-Status bereitgestellt wird, – bei dem von dem Beurteilungs-Server basierend auf dem Endpunkt-Status die Endpunkt-Klasse bestimmt wird, – bei dem von dem Beurteilungs-Server der Zugangskontrolle die Endpunkt-Klasse bereitgestellt wird, – bei dem von der Zugangskontrolle basierend auf der Endpunkt-Klasse und der Berechtigungs-Information der Zugang des Endgeräts geregelt wird.
  6. Verfahren nach einem der Ansprüche 4 oder 5, bei dem mittels einer Klassifikations-Vereinbarung die Endpunkt-Klasse basierend auf dem Endpunkt-Status ermittelt wird.
  7. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der Endpunkt-Status anhand einer Status-Vereinbarung bestimmt wird.
  8. Verfahren nach einem der vorhergehenden Ansprüche, bei dem auf dem Endgerät ein Endgerät-Beurteilungs-Client ausgeführt wird, der den Endpunkt-Status bestimmt.
  9. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der Endpunkt-Status mindestens eine der folgenden Informationen umfasst: – Status und/oder Version einer Software, – Status und/oder Version eines Virenschutzprogramms, – Zustand und/oder Version eines Betriebssystems – Zustand und/oder Version einer Anwendung, die auf dem Gerät installiert ist oder dort ausgeführt wird.
  10. Vorrichtung zur Regelung eines Zugangs auf Daten oder Applikationen eines Netzwerks umfassend eine Verarbeitungseinheit, die derart eingerichtet ist, dass – eine Berechtigungs-Information eines Endgeräts überprüfbar ist und – anhand eines Endpunkt-Status des Endgeräts eine Endpunkt-Klasse bestimmt wird und der Zugang anhand der Endpunkt-Klasse geregelt wird.
  11. System oder Computernetzwerk umfassend mindestens eine Vorrichtung gemäß Anspruch 10.
  12. Computerprogrammprodukt, das direkt in einen Speicher eines digitalen Computers ladbar ist, umfassend Programmcodeteile die dazu geeignet sind, Schritte des Verfahrens gemäß einem der Ansprüche 1 bis 9 durchzuführen.
DE102011080467A 2011-08-04 2011-08-04 Zugangsregelung für Daten oder Applikationen eines Netzwerks Withdrawn DE102011080467A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102011080467A DE102011080467A1 (de) 2011-08-04 2011-08-04 Zugangsregelung für Daten oder Applikationen eines Netzwerks
PCT/EP2012/063808 WO2013017394A1 (de) 2011-08-04 2012-07-13 Zugangsregelung für daten oder applikationen eines netzwerks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102011080467A DE102011080467A1 (de) 2011-08-04 2011-08-04 Zugangsregelung für Daten oder Applikationen eines Netzwerks

Publications (1)

Publication Number Publication Date
DE102011080467A1 true DE102011080467A1 (de) 2013-02-07

Family

ID=46516747

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102011080467A Withdrawn DE102011080467A1 (de) 2011-08-04 2011-08-04 Zugangsregelung für Daten oder Applikationen eines Netzwerks

Country Status (2)

Country Link
DE (1) DE102011080467A1 (de)
WO (1) WO2013017394A1 (de)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014144700A1 (en) * 2013-03-15 2014-09-18 Symantec Corporation Systems and methods for identifying a secure application when connecting to a network
EP2965247A4 (de) * 2013-03-09 2016-10-12 Intel Corp Sichere benutzerauthentifizierung mit verbesserter einmaliger passcode-überprüfung
WO2018049936A3 (zh) * 2016-09-14 2018-05-03 广东欧珀移动通信有限公司 一种数据迁移的方法及终端
US10230813B2 (en) 2013-11-07 2019-03-12 Phoenix Contact Gmbh & Co. Kg Network system, coupling unit, and method for operating a network system
CN112241533A (zh) * 2019-07-18 2021-01-19 西门子股份公司 为工业化边界设备提供应用容器的安全信息的方法和系统

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7028065B2 (ja) * 2018-05-30 2022-03-02 コニカミノルタ株式会社 画像処理装置、その制御方法、およびプログラム

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101434769B1 (ko) * 2010-01-22 2014-08-27 인터디지탈 패튼 홀딩스, 인크 신뢰적인 연합 아이덴티티 관리 및 데이터 액세스 인가를 위한 방법 및 장치

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
http://de.wikipedia.org/wiki/Security_Assertion_Markup_Langu age
http://tools.ietf.org/html//rfc5209
RFC 5209

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2965247A4 (de) * 2013-03-09 2016-10-12 Intel Corp Sichere benutzerauthentifizierung mit verbesserter einmaliger passcode-überprüfung
WO2014144700A1 (en) * 2013-03-15 2014-09-18 Symantec Corporation Systems and methods for identifying a secure application when connecting to a network
US9313203B2 (en) 2013-03-15 2016-04-12 Symantec Corporation Systems and methods for identifying a secure application when connecting to a network
US10230813B2 (en) 2013-11-07 2019-03-12 Phoenix Contact Gmbh & Co. Kg Network system, coupling unit, and method for operating a network system
WO2018049936A3 (zh) * 2016-09-14 2018-05-03 广东欧珀移动通信有限公司 一种数据迁移的方法及终端
CN112241533A (zh) * 2019-07-18 2021-01-19 西门子股份公司 为工业化边界设备提供应用容器的安全信息的方法和系统

Also Published As

Publication number Publication date
WO2013017394A1 (de) 2013-02-07

Similar Documents

Publication Publication Date Title
DE112011101729B4 (de) Verwaltung von Ressourcenzugriff
DE102007033615B4 (de) Verfahren und Vorrichtung zum Umwandeln von Authentisierungs-Token zur Ermöglichung von Interaktionen zwischen Anwendungen
DE60205289T2 (de) System und Verfahren zur gesicherte Funkübertragung von Konfigurationsdaten
DE112012002741T5 (de) Identitäts- und Berechtigungsprüfungsverfahren für die Sicherheit einer Cloud-Datenverarbeitungsplattform
DE60308692T2 (de) Verfahren und system für benutzerbestimmte authentifizierung und einmalige anmeldung in einer föderalisierten umgebung
DE112020000538T5 (de) Feinkörnige zugriffskontrolle auf token-grundlage
DE102012203561A1 (de) Die Personifikation/Bevollmächtigung eines Benutzers in einem Merkmal-basierenden Authentifizierungssystem
DE112018004411T5 (de) Zugriffssteuerung in mikrodienst-architekturen
DE112011102224B4 (de) Identitätsvermittlung zwischen Client- und Server-Anwendungen
DE10296804T5 (de) Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server
DE102011080467A1 (de) Zugangsregelung für Daten oder Applikationen eines Netzwerks
DE102011077218A1 (de) Zugriff auf in einer Cloud gespeicherte Daten
DE102014222852A1 (de) Autorisierungsserversystem, Steuerverfahren dafür und Speichermedium
DE102014206325A1 (de) Verteiltes Authentifizierungssystem
DE102008024783A1 (de) Sichere, browser-basierte Einmalanmeldung mit Clientzertifikaten
DE112017002794T5 (de) Verfahren und vorrichtung zum ausstellen eines berechtigungsnachweises für ein incident area network
DE112020002343T5 (de) Verteilung von Sicherheitsberechtigungsnachweisen
DE112022004486T5 (de) Schrittweises überprüfen von zugriffs-token
DE112016002392T5 (de) Autorisierung in einem verteilten System unter Verwendung von Zugriffssteuerungslisten und Gruppen
DE102008062984A1 (de) Prozess zur Authentifizierung eines Nutzers durch ein Zertifikat unter Verwendung eines Ausserband-Nachrichtenaustausches
EP2575385B1 (de) Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos, zum Durchführen einer Transaktion, sowie Endgerät
DE112022000340T5 (de) Attributgestützte verschlüsselungsschlüssel als schlüsselmaterial zum authentifizieren und berechtigen von benutzern mit schlüssel-hash-nachrichtenauthentifizierungscode
DE102012007217A1 (de) IT-Verfahren für den sicheren Umgang mit Sensitiven Daten im Kontext des Cloud Computings
DE102014204344B4 (de) Authentifizierungsvorrichtung, Authentifizierungssystem und Authentifizierungsverfahren
DE102014210058B4 (de) Informationsverarbeitungsserversystem, Steuerverfahren und Programm

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee