-
HINTERGRUND DER ERFINDUNG
-
1. Technisches Gebiet
-
Die vorliegende Offenbarung bezieht sich allgemein auf eine Vorrichtung, auf ein Verfahren und auf ein System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung und insbesondere auf eine Vorrichtung, auf ein Verfahren und auf ein System zum Steuern der Datenübertragung zwischen einem Anwender und einer Cloud auf der Grundlage von Kontextinformationen in den Open-Systems-Interconnection-Netzschichten (OSI-Netzschichten) 3 und 4 in Verbindung mit einem virtuellen Cloud-Desktop oder mit einem Cloud-Speicherdienst.
-
2. Beschreibung des verwandten Gebiets
-
Die kontextbewusste Sicherheitstechnologie bezieht sich auf eine Technologie zum Ausführen einer Sicherheitsfunktionalität wie etwa der Steuerung einer Datenübertragung auf der Grundlage von Kontextinformationen wie etwa des Orts und der Vorrichtung eines Anwenders und der Zeit.
-
Ein Cloud-Dienst ermöglicht, dass ein fernes Anwenderendgerät über ein Netz auf einen Cloud-Server zugreift und ihn verwendet. Zu diesem Zweck stellt ein Cloud-Dienst des Virtual Desktops Protokolle des Virtual Desktops für das Zusammenwirken wie etwa PC-over-IP (PCoIP), Independent Computing Architecture (ICA), das Simple Protocol for Independent Computing Environments (SPICE) usw. bereit und stellt ein Cloud-Speicherdienst Datenübertragungsprotokolle wie etwa Hyper Text Transfer Protocol (HTTP), Web Distribute Authoring and Versioning (WebDAV) usw. bereit und unterstützt er dadurch die Datenübertragung zwischen einem Cloud-Dienst und einem fernen Anwenderendgerät.
-
Die Datenübertragungssteuerung eines herkömmlichen Cloud-Dienstes wird unter Verwendung eines Verfahrens des einfachen Sperrens einer Internetprotokoll-Zugriffsadresse (IP-Zugriffsadresse) oder eines Verfahrens des Deaktivierens einer Datenübertragungsfunktion in einem Cloud-Server oder in einem Anwenderendgerät ausgeführt. Allerdings ist dieser herkömmliche Cloud-Dienst dadurch nachteilig, dass es wie in dem Fall, dass ein Dienst auf der Grundlage von Kontextinformationen wie etwa des Orts eines Anwenders, Vorrichtungsinformationen und der Zeit gesteuert wird, schwierig ist, feinkörnige Sicherheitsrichtlinien anzuwenden.
-
Als eine verwandte Technologie offenbart die koreanische Patentanmeldungsveröffentlichung Nr. 10-2013-0094359 mit dem Titel „System and Method for Enhancing Authentication using Mobile Cloud Access Contextual Information“ ein Verfahren zum Verbessern der Anwenderauthentifizierung auf der Grundlage von Kontextinformationen in einem Cloud-Dienst.
-
Die in der koreanischen Patentanmeldungsveröffentlichung Nr. 10-2013-0094359 offenbarte Erfindung hat den Vorteil des Diversifizierens von Authentifizierungsmitteln oder des Bereitstellens verschiedener Netzsicherheits-Zugriffsebenen auf der Grundlage von Kontextinformationen. Da ein Anwenderendgerät und ein Authentifizierungsserver eine Anwenderauthentifizierung ausführen, während sie direkt miteinander kommunizieren, kann einem böswilligen Angreifer allerdings eine Gelegenheit für den Angriff auf eine Schwachstelle eines Authentifizierungsservers geboten werden.
-
Eine andere verwandte Technologie ist in der Abhandlung mit dem Titel „Enabling Secure Location-base Services in Mobile Cloud Computing“, Proceedings of the second ACM SIGCOMM Workshop on Mobile cloud computing, Yan Zhu u. a., 12. August 2013, offenbart.
-
US 2009/0183252 A1 offenbart eine Paketvermittlungsvorrichtung, die die lediglich Pakete behält, die als Authentifizierungs-Ziel-Pakete der MAC-Adressauthentifizierung spezifiziert sind, um die Anzahl der Pakete zu reduzieren, die vom H/W zu einer CPU übertragen werden müssen. Zusätzlich zu einer Quell-MAC-Adresse wird ein Authentifizierungs-Ziel-Paket spezifiziert durch einen Ethernet-Typ, eine Ziel-IP-Adresse, ein Protokoll, eine Quellport-Nummer, und eine Ziel-Portnummer von TCP/UDP und ähnlichem. Auf diese Weise verhindert die Paketvermittlungsvorrichtung, dass ein Terminal Authentifizierungs-Ziel-Pakete der MAC-Adressauthentifizierung nicht überträgt, während die Auswahl anderer Authentifizierungsmethoden wie Web-Authentifizierung und IEEE 802.1X ermöglicht werden.
-
US 2012/0331088 A1 offenbart Systeme und Verfahren, um eine Client-Computervorrichtung zu Datenportionen zu leiten, die an einer Mehrzahl von Speicherorten gespeichert sind. Ein Registrierungs-/Authentifizierungsserver empfängt eine Anforderung von einer Client-Computervorrichtung, um Portionen von Daten, die an mehreren Speicherorten gespeichert sind, abzurufen. Der Registrierungs-/Authentifizierungsserver liefert Pointer auf verfügbare Speicherorte an die Client-Computervorrichtung basierend auf Kriterien, wobei die Client-Computervorrichtungdie Datenportionen abrufen und den gewünschten Datensatz zusammensetzen kann.
-
ZUSAMMENFASSUNG DER ERFINDUNG
-
Dementsprechend soll die vorliegende Erfindung eine Vorrichtung, ein Verfahren und ein System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung schaffen, die ermöglichen, dass ein Anwender die Datenübertragung zwischen einem fernen Anwenderendgerät und einem Cloud-Dienst auf der Grundlage verschiedener Typen von Kontextinformationen wie etwa eines Anwenderorts, eines Anwenderendgeräts und der Zeit in Bezug auf Daten, die zwischen innerhalb und außerhalb eines Cloud-Dienstes übertragen werden, steuert.
-
In Übereinstimmung mit einem Aspekt der vorliegenden Erfindung wird eine Vorrichtung für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung geschaffen, die enthält: eine Authentifizierungsanfangsblock-Untersuchungseinheit, die dafür konfiguriert ist, auf der Grundlage der empfangenen Kontextinformationen und eines Schlüssels eines Anwenders einen Authentifizierungsanfangsblock zu erzeugen, den erzeugten Authentifizierungsanfangsblock mit einem Authentifizierungsanfangsblock von von einem fernen Anwenderendgerät empfangenen Paketdaten zu vergleichen und die Ergebnisse des Vergleichs auszugeben; und eine Paketdaten-Verarbeitungseinheit, die dafür konfiguriert ist, auf der Grundlage der Ergebnisse des Vergleichs durch die Authentifizierungsanfangsblock-Untersuchungseinheit eine Sendung oder eine Modulation oder ein Verwerfen eines Datenpakets von dem Cloud-Server eines Cloud-Dienst-Netzes auszuführen.
-
Die Authentifizierungsanfangsblock-Untersuchungseinheit kann den Authentifizierungsanfangsblock der von dem fernen Anwenderendgerät empfangenen Paketdaten durch Parsen einer durch das ferne Anwenderendgerät gesendeten Datenempfangsanforderung wiederherstellen und kann auf der Grundlage des erzeugten Authentifizierungsanfangsblocks die Gültigkeit des wiederhergestellten Authentifizierungsanfangsblocks untersuchen.
-
Der erzeugte Authentifizierungsanfangsblock und der Authentifizierungsanfangsblock der von dem fernen Anwenderendgerät empfangenen Paketdaten können unter Verwendung einer Hash-basierten Nachrichtenauthentifizierungscode-Funktion (HMAC-Funktion) erzeugt werden.
-
Die Paketdaten-Verarbeitungseinheit kann unter der Sendung, der Modulation und dem Verwerfen der Paketdaten eine Sendung ausführen und die Paketdaten-Verarbeitungseinheit kann die von dem Cloud-Server empfangenen ursprünglichen Paketdaten ohne Änderung an das ferne Anwenderendgerät senden.
-
Die Paketdaten-Verarbeitungseinheit kann unter der Sendung, der Modulation und dem Verwerfen der Paketdaten die Modulation ausführen und die Paketdaten-Verarbeitungseinheit kann die von dem Cloud-Server empfangenen Paketdaten modulieren und die modulierten Paketdaten daraufhin an das ferne Anwenderendgerät senden.
-
Die Paketdaten-Verarbeitungseinheit kann unter dem Senden, der Modulation und dem Verwerfen der Paketdaten das Verwerfen ausführen und die Paketdaten-Verarbeitungseinheit kann die von dem Cloud-Server empfangenen Paketdaten sperren und dadurch eine Sitzung zwischen dem fernen Anwenderendgerät und dem Cloud-Server beenden.
-
Die Vorrichtung kann ferner eine Richtlinien-Eingabeschnittstelleneinheit enthalten, die dafür konfiguriert ist, eine Schnittstelle bereitzustellen, über die der Typ von Kontextinformationen und die Paketdaten-Verarbeitungsrichtlinien der Paketdaten-Verarbeitungseinheit eingegeben werden.
-
Die Vorrichtung für die kontextbewusste Sicherheitssteuerung, die die Authentifizierungsanfangsblock-Untersuchungseinheit und die Paketdaten-Verarbeitungseinheit enthält, kann bei einem Eintritt in ein Cloud-Dienst-Netz in der Reihenbetriebsart eingebaut sein.
-
Die Kontextinformationen des Anwenders können Ortsinformationen enthalten; und die Ortsinformationen können in der Weise bereitgestellt werden, dass ein einzelner eindeutiger Wert auf einen spezifischen Bereichsblock des globalen Positionsbestimmungssystems (GPS) abgebildet ist.
-
In Übereinstimmung mit einem anderen Aspekt der vorliegenden Erfindung wird ein Verfahren für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung geschaffen, wobei das Verfahren enthält: Erzeugen eines Authentifizierungsanfangsblocks auf der Grundlage der empfangenen Kontextinformationen und eines Schlüssels des Anwenders durch eine Authentifizierungsanfangsblock-Untersuchungseinheit; Vergleichen des erzeugten Authentifizierungsanfangsblocks mit einem Authentifizierungsanfangsblock von von einem fernen Anwenderendgerät empfangenen Paketdaten durch die Authentifizierungsanfangsblock-Untersuchungseinheit und Ausgeben der Ergebnisse des Vergleichs durch die Authentifizierungsanfangsblock-Untersuchungseinheit; und Ausführen einer Sendung oder einer Modulation oder eines Verwerfens von von dem Cloud-Server eines Cloud-Dienst-Netzes empfangenen Paketdaten auf der Grundlage der Ergebnisse des Vergleichs durch die Authentifizierungsanfangsblock-Untersuchungseinheit durch eine Paketdaten-Verarbeitungseinheit.
-
Das Ausgeben der Ergebnisse des Vergleichs kann enthalten: das Wiederherstellen des Authentifizierungsanfangsblocks der von dem fernen Anwenderendgerät empfangenen Paketdaten durch Parsen einer von dem fernen Anwenderendgerät gesendeten Datenempfangsanforderung; und das Untersuchen der Gültigkeit des wiederhergestellten Authentifizierungsanfangsblocks auf der Grundlage des erzeugten Authentifizierungsanfangsblocks.
-
Der erzeugte Authentifizierungsanfangsblock und der Authentifizierungsanfangsblock der von dem fernen Anwenderendgerät empfangenen Paketdaten können unter Verwendung einer Hash-basierten Nachrichtenauthentifizierungscode-Funktion (HMAC-Funktion) erzeugt werden.
-
Das Ausführen der Sendung oder der Modulation oder des Verwerfens kann das Senden des von dem Cloud-Server empfangenen ursprünglichen Datenpakets an das ferne Anwenderendgerät ohne Änderung enthalten, wenn die Sendung ausgeführt wird.
-
Das Ausführen der Sendung oder der Modulation oder des Verwerfens kann das Modulieren des von dem Cloud-Server empfangenen Datenpakets und daraufhin das Senden des modulierten Datenpakets an das ferne Anwenderendgerät enthalten, wenn die Modulation ausgeführt wird.
-
Das Ausführen der Sendung oder der Modulation oder des Verwerfens kann das Sperren des von dem Cloud-Server empfangenen Datenpakets und dadurch das Beenden einer Sitzung zwischen dem fernen Anwenderendgerät und dem Cloud-Server enthalten, wenn das Verwerfen ausgeführt wird.
-
Die Kontextinformationen des Anwenders können Ortsinformationen enthalten; und die Ortsinformationen können in der Weise bereitgestellt werden, dass ein einzelner eindeutiger Wert auf einen spezifischen Bereichsblock des globalen Positionsbestimmungssystems (GPS) abgebildet wird.
-
In Übereinstimmung mit einem nochmals anderen Aspekt der vorliegenden Erfindung wird ein System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung geschaffen, wobei das System enthält: ein Kontextinformationsbereitstellungs-Endgerät, das dafür konfiguriert ist, Kontextinformationen einschließlich auf einem GPS-Wert beruhender Ortsinformationen und eines Schlüssels auszugeben; ein fernes Anwenderendgerät, das dafür konfiguriert ist, auf der Grundlage von Kontextinformationen und eines von dem Kontextinformationsbereitstellungs-Endgerät empfangenen Schlüssels einen Authentifizierungsanfangsblock zu erzeugen und zusammen mit dem Authentifizierungsanfangsblock eine Datenempfangsanforderung auszugeben; und einen kontextbewussten Sicherheitscontroller, der dafür konfiguriert ist, die Datenempfangsanforderung von dem fernen Anwenderendgerät zu empfangen und die Datensendung an das ferne Anwenderendgerät in Übereinstimmung mit zwischen dem fernen Anwenderendgerät und einem Cloud-Server eines Cloud-Dienst-Netzes definierten kontextbewussten Richtlinien zu steuern.
-
Das ferne Anwenderendgerät kann enthalten: eine Authentifizierungsanfangsblock-Erzeugungseinheit, die dafür konfiguriert ist, auf der Grundlage der Kontextinformationen und des Schlüssels den Authentifizierungsanfangsblock zu erzeugen; und eine Empfängeragenteneinheit, die dafür konfiguriert ist, die Kontextinformationen und den Schlüssel von dem Kontextinformationsbereitstellungs-Endgerät zu empfangen und die Kontextinformationen und den Schlüssel an die Authentifizierungsanfangsblock-Erzeugungseinheit zu übertragen und die Datenempfangsanforderung zusammen mit dem erzeugten Authentifizierungsanfangsblock an den kontextbewussten Sicherheitscontroller zu senden.
-
Der kontextbewusste Sicherheitscontroller kann enthalten: eine Authentifizierungsanfangsblock-Untersuchungseinheit, die dafür konfiguriert ist, auf der Grundlage von Kontextinformationen eines Anwenders und eines Schlüssels des Anwenders, die von einem Systemadministrator empfangen werden, einen Authentifizierungsanfangsblock zu erzeugen, den erzeugten Authentifizierungsanfangsblock mit einem Authentifizierungsanfangsblock von von dem fernen Anwenderendgerät empfangenen Paketdaten zu vergleichen und die Ergebnisse des Vergleichs auszugeben; und eine Paketdaten-Verarbeitungseinheit, die dafür konfiguriert ist, auf der Grundlage von Ergebnissen des Vergleichs durch die Authentifizierungsanfangsblock-Untersuchungseinheit eine Sendung oder eine Modulation oder ein Verwerfen der von dem Cloud-Server empfangenen Paketdaten auszuführen.
-
Figurenliste
-
Die obigen und weitere Aufgaben, Merkmale und Vorteile der vorliegenden Erfindung werden deutlicher verständlich aus der folgenden ausführlichen Beschreibung in Verbindung mit den beigefügten Zeichnungen, in denen:
- 1 eine Darstellung ist, die die Anwendung einer Vorrichtung für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung auf ein Cloud-Dienst-Netz veranschaulicht;
- 2 eine Darstellung ist, die die interne Konfiguration des in 1 dargestellten fernen Anwenderendgeräts veranschaulicht;
- 3 eine Darstellung ist, die die interne Konfiguration des in 1 dargestellten kontextbewussten Sicherheitscontrollers veranschaulicht;
- 4 eine Darstellung ist, die eine Prozedur veranschaulicht, in der das ferne Anwenderendgerät und der in 1 dargestellte kontextbewusste Sicherheitscontroller miteinander zusammenarbeiten; und
- 5 ein Ablaufplan ist, der ein Verfahren für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung darstellt.
-
BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
-
Die vorliegende Erfindung kann verschiedenen Änderungen unterworfen werden und kann verschiedene Ausführungsformen aufweisen. Spezifische Ausführungsformen sind in Darstellungen veranschaulicht und ausführlich beschrieben.
-
Dies soll die vorliegende Erfindung aber nicht auf die spezifischen Ausführungsformen beschränken, sondern es sollte gewürdigt werden, dass alle in dem Erfindungsgedanken und in dem technischen Schutzumfang der vorliegenden Erfindung enthaltenen Änderungen, Entsprechungen und Ersetzungen in dem Schutzumfang der vorliegenden Erfindung liegen.
-
Die hier verwendeten Begriffe sind lediglich zur Darstellung spezifischer Ausführungsformen verwendet und sollen die vorliegende Erfindung nicht einschränken. Sofern nicht deutlich etwas anderes angegeben ist, enthält ein Singularausdruck einen Pluralausdruck. Selbstverständlich sollen die Begriffe „umfassen“, „enthalten“, „aufweisen“ und ihre Varianten in der Beschreibung und in den Ansprüchen lediglich die Anwesenheit von Merkmalen, Anzahlen, Schritten, Operationen, Elementen, Teilen oder Kombinationen davon, die in der Beschreibung beschrieben sind, bezeichnen und sind sie nicht so zu verstehen, dass sie die Anwesenheit oder zusätzliche Wahrscheinlichkeit eines oder mehrerer anderer Merkmale, Anzahlen, Schritte, Operationen, Elemente, Teile oder Kombinationen davon ausschließen.
-
Sofern nicht etwas anderes definiert ist, besitzen alle hier verwendeten Begriffe (einschließlich technischer und wissenschaftlicher Begriffe) dieselbe Bedeutung, wie sie der Durchschnittsfachmann auf dem Gebiet, auf das sich diese Erfindung bezielt, üblicherweise versteht. Ferner sind selbstverständlich Begriffe wie etwa die in üblicherweise verwendeten Wörterbüchern definierten so zu interpretieren, dass ihre Bedeutung mit ihrer Bedeutung im Kontext des relevanten Gebiets vereinbar ist, und, sofern sie nicht explizit hier so definiert sind, nicht in einem idealisierten oder übermäßig formalen Sinn zu interpretieren.
-
Im Folgenden sind anhand der beigefügten Zeichnungen beispielhafte Ausführungsformen der vorliegenden Erfindung ausführlich beschrieben. In der folgenden Beschreibung der Ausführungsformen sind denselben Elementen überall in den Zeichnungen dieselben Bezugszeichen zugewiesen und sind außerdem redundante Beschreibungen derselben Elemente weggelassen, um das Gesamtverständnis zu erleichtern.
-
1 ist eine Darstellung, die die Anwendung einer Vorrichtung für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung auf ein Cloud-Dienst-Netz veranschaulicht; 2 ist eine Darstellung, die die interne Konfiguration des in 1 dargestellten fernen Anwenderendgeräts veranschaulicht; 3 ist eine Darstellung, die die interne Konfiguration des in 1 dargestellten kontextbewussten Sicherheitscontrollers veranschaulicht; und 4 ist eine Darstellung, die eine Prozedur veranschaulicht, in der das ferne Anwenderendgerät und der in 1 dargestellte kontextbewusste Sicherheitscontroller miteinander zusammenarbeiten.
-
In 1 kommunizieren eines oder mehrere Kontextinformationsbereitstellungs-Endgeräte 10 mit einem einzelnen fernen Anwenderendgerät 20, kommunizieren eines oder mehrere ferne Anwenderendgeräte 20 mit einem einzelnen kontextbewussten Sicherheitscontroller 30 und ist ein einzelner kontextbewusster Sicherheitscontroller 30 mit dem Cloud-Server 40 eines Cloud-Dienst-Netzes 50 verbunden.
-
Eines der Kontextinformationsbereitstellungs-Endgeräte 10 stellt in Ansprechen auf eine Anforderung von dem fernen Anwenderendgerät 20 einen Schlüssel und Kontextinformationen für ein entsprechendes der fernen Anwenderendgeräte 20 bereit. Mit anderen Worten, das Kontextinformationsbereitstellungs-Endgerät 10 kann Kontextinformationen wie etwa Ortsinformationen auf der Grundlage eines GPS-Werts und einen eindeutigen Endgerätwert sowie einen Schlüssel für das ferne Anwenderendgerät 20 bereitstellen. In einer Ausführungsform der vorliegenden Erfindung kann das Kontextinformationsbereitstellungs-Endgerät 10 Ortsinformationen auf der Grundlage einer Ortsinformations-Abbildungstabelle bereitstellen, in der spezifische GPS-Bereichsblöcke auf jeweils eindeutige Werte abgebildet worden sind.
-
Das ferne Anwenderendgerät 20 kann einen Authentifizierungsanfangsblock erzeugen und kann daraufhin eine Datenempfangsanforderung zusammen mit dem Authentifizierungsanfangsblock über den kontextbewussten Sicherheitscontroller 30 an den Cloud-Server 40 senden.
-
Wie in 2 dargestellt ist, enthält das ferne Anwenderendgerät 20 eine Authentifizierungsanfangsblock-Erzeugungseinheit 22 und eine Empfängeragenteneinheit 24.
-
Die Authentifizierungsanfangsblock-Erzeugungseinheit 22 erzeugt auf der Grundlage der Kontextinformationen wie etwa der Vorrichtungsinformation Vorrichtung, der Ortsinformation Ort und der Information über die aktuelle Zeit des entsprechenden fernen Anwenderendgeräts 20 sowie des Schlüssels den Authentifizierungsanfangsblock. In diesem Fall können die Kontextinformationen und der Schlüssel durch einen Systemadministrator oder durch einen Anwender (z. B. durch eine Person, die die Kontextinformationen und den Schlüssel von dem Systemadministrator empfangen hat) eingegeben werden. Die Kontextinformationen und der Schlüssel, die von dem Systemadministrator oder von dem Anwender eingegeben werden, werden über das Kontextinformationsbereitstellungs-Endgerät 10 auf die Authentifizierungsanfangsblock-Erzeugungseinheit 22 angewendet.
-
Die Empfängeragenteneinheit 24 überträgt die Kontextinformationen und den Schlüssel, die von dem Kontextinformationsbereitstellungs-Endgerät 10 empfangen wurden, an die Authentifizierungsanfangsblock-Erzeugungseinheit 22 und sendet die Datenempfangsanforderung zusammen mit dem Authentifizierungsanfangsblock an den Cloud-Server 40. Mit anderen Worten, die Empfängeragenteneinheit 24 kann mit dem Cloud-Server 40 eine Sitzung aufbauen, um von dem Cloud-Server 40 Daten zu empfangen, und kann von dem Kontextinformationsbereitstellungs-Endgerät 10 einen Schlüssel und Kontextinformationen, die für die Erzeugung eines Datenauthentifizierungs-Anfangsblocks erforderlich sind, anfordern und empfangen.
-
Der kontextbewusste Sicherheitscontroller 30 kann auf der Grundlage verschiedener Typen von Kontextinformationen Cloud-Dienst-Übertragungsdaten steuern und kann der Hauptagent der Sicherheitssteuerung sein. Das heißt, der kontextbewusste Sicherheitscontroller 30 kann die Datenübertragung in Übereinstimmung mit zwischen dem Cloud-Server 40 und dem fernen Anwenderendgerät 20 definierten kontextbewussten Richtlinien steuern. Da der kontextbewusste Sicherheitscontroller 30 in einer Reihenbetriebsart in ein Cloud-Dienst-Eintrittspunkt-Netz eingebaut ist, kann der kontextbewusste Sicherheitscontroller 30 die Sicherheitssteuerung der Übertragungsdaten unabhängig ausführen, ohne mit dem fernen Anwenderendgerät 20 und mit dem Cloud-Server 40 direkt zu kommunizieren.
-
Wie in 3 dargestellt ist, enthält der kontextbewusste Sicherheitscontroller 30 eine Richtlinien-Eingabeschnittstelleneinheit 32, eine Authentifizierungsanfangsblock-Untersuchungseinheit 34 und eine Paketdaten-Verarbeitungseinheit 36.
-
Die Richtlinien-Eingabeschnittstelleneinheit 32 stellt eine Schnittstelle bereit, über die ein Systemadministrator erforderliche Kontextinformationen und Paketdaten-Verarbeitungsrichtlinien eingeben kann. Mit anderen Worten, die Richtlinien-Eingabeschnittstelleneinheit 32 stellt eine Schnittstelle bereit, über die ein Systemadministrator den Typ der Kontextinformationen und Paketdaten-Verarbeitungsrichtlinien eingeben kann. Zum Beispiel kann die Richtlinien-Eingabeschnittstelleneinheit 32 Kontextinformationen und einen für die Erzeugung des Authentifizierungsanfangsblocks durch die Authentifizierungsanfangsblock-Untersuchungseinheit 34 erforderlichen Schlüssel bereitstellen. Darüber hinaus kann die Richtlinien-Eingabeschnittstelleneinheit 32 für die Paketdaten-Verarbeitungseinheit 36 erforderliche Paketdaten-Verarbeitungsrichtlinien bereitstellen.
-
Die Authentifizierungsanfangsblock-Untersuchungseinheit 34 parst den Netzverkehr und untersucht einen Authentifizierungsanfangsblock. Mit anderen Worten, die Authentifizierungsanfangsblock-Untersuchungseinheit 34 stellt durch Parsen einer durch die Empfängeragenteneinheit 24 des fernen Anwenderendgeräts 20 gesendeten Datenempfangsanforderung bei dem Eintritt in das Cloud-Dienst-Netz 50 einen Authentifizierungsanfangsblock wieder her, untersucht die Gültigkeit des wiederhergestellten Authentifizierungsanfangsblocks und sendet eine Datenempfangsanforderung an ein Ziel, d. h. an den Cloud-Server 40. Das heißt, die Authentifizierungsanfangsblock-Untersuchungseinheit 34 empfängt die Kontextinformationen und den Schlüssel des Anwenders, die von einem Systemadministrator über die Richtlinien-Eingabeschnittstelleneinheit 32 eingegeben werden, erzeugt einen Authentifizierungsanfangsblock, vergleicht den erzeugten Authentifizierungsanfangsblock mit dem Authentifizierungsanfangsblock der Paketdaten von dem fernen Anwenderendgerät 20, stellt die Ergebnisse des Vergleichs für die Paketdaten-Verarbeitungseinheit 36 bereit und sendet eine Datenempfangsanforderung an den Cloud-Server 40. In diesem Fall kann die Operation des Zusammenwirkens zwischen der Authentifizierungsanfangsblock-Untersuchungseinheit 34 und der Authentifizierungsanfangsblock-Erzeugungseinheit 22 schematisch in 4 veranschaulicht sein. In 4 müssen ein Schlüssel, Kontextinformationen und eine Authentifizierungsanfangsblock-Erzeugungsfunktion, die von der Authentifizierungsanfangsblock-Untersuchungseinheit 34 als Eingaben verwendet werden, dieselben sein wie jene, die von der Authentifizierungsanfangsblock-Erzeugungseinheit 22 verwendet werden. Darüber hinaus kann ein Beispiel der Authentifizierungsanfangsblock-Erzeugungsfunktion eine Hash-basierte Message-Authentication-Code-Funktion (HMAC-Funktion) sein.
-
Die Paketdaten-Verarbeitungseinheit 36 führt auf der Grundlage der Ergebnisse der Untersuchung durch die Authentifizierungsanfangsblock-Untersuchungseinheit 34 die Sendung, die Modulation oder das Verwerfen der von dem Cloud-Server 40 empfangenen Paketdaten aus. Mit anderen Worten, die Paketdaten-Verarbeitungseinheit 36 führt auf der Grundlage der Ergebnisse der Untersuchung die Sendung/die Modulation/das Verwerfen von Paketen aus und der Cloud-Server 40 der Authentifizierungsanfangsblock-Untersuchungseinheit 34 sendet die Paketdaten der Empfängeragenteneinheit 24 an das ferne Endgerät 20 oder beendet eine Sitzung.
-
Der wie oben beschrieben konfigurierte kontextbewusste Sicherheitscontroller 30 ist in einer Reihenbetriebsart an einem Cloud-Dienst-Netzeintritt zwischen dem Serveragenten des Cloud-Dienstes (d. h. einem Serveragenten (nicht dargestellt) innerhalb des Cloud-Servers 40) und der Empfängeragenteneinheit 24 des fernen Anwenderendgeräts 20 gelegen. Der kontextbewusste Sicherheitscontroller 30 parst den Netzverkehr in den Open-Systems-Interconnection-Schichten (OSI-Schichten) 3 und 4, untersucht die Gültigkeit des Authentifizierungsanfangsblocks einer Datenempfangsanforderung und sendet durch den Cloud-Server 40 gesendete ursprüngliche Paketdaten ohne Änderung an die Empfängeragenteneinheit 24 oder sendet die ursprünglichen Paketdaten, nachdem er sie moduliert hat. Darüber hinaus kann der kontextbewusste Sicherheitscontroller 30 auf der Grundlage der Untersuchung der Gültigkeit des Authentifizierungsanfangsblocks einer Datenempfangsanforderung die Paketdaten verwerfen und somit verhindern, dass die ursprünglichen Paketdaten an die Empfängeragenteneinheit 24 gesendet werden. Im Ergebnis steuert der kontextbewusste Sicherheitscontroller 30 auf der Grundlage von Kontextinformationen wie etwa der Identifizierungsinformationen des fernen Anwenderendgeräts 20, der aktuellen Ortsinformationen des Anwenders und von Zeitinformationen die Bewegung von Informationen eines Cloud-Dienstes wie etwa eines virtuellen Desktops oder einer Cloud-Ablage in einem Übertragungsnetz.
-
Der oben beschriebene kontextbewusste Sicherheitscontroller 30 kann ein Beispiel einer in den Ansprüchen der vorliegenden Erfindung dargelegten Vorrichtung für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung sein.
-
Der Cloud-Server 40 ist ein Server, der in Verbindung mit der Empfängeragenteneinheit 24 des fernen Anwenderendgeräts 20 einen Cloud-Dienst bereitstellt, und ist innerhalb des Cloud-Dienst-Netzes 50 gelegen. Der Cloud-Server 40 ist ein Agent, der für das ferne Anwenderendgerät 20 einen Cloud-Dienst bereitstellt. Der Cloud-Server 40 kann einen virtuellen Desktopdienst oder einen Cloud-Speicherdienst bereitstellen.
-
5 ist ein Ablaufplan, der ein Verfahren für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung darstellt.
-
Zunächst baut die Empfängeragenteneinheit 24 eine Sitzung mit dem Cloud-Server 40 auf, um Daten von dem Cloud-Server 40 des fernen Anwenderendgeräts 20 zu empfangen, und fordert sie in Schritt S10 von dem Kontextinformationsbereitstellungs-Endgerät 10 den Schlüssel und Kontextinformationen, die für die Erzeugung eines Datenauthentifizierungs-Anfangsblocks erforderlich sind, an.
-
Dementsprechend empfängt das Kontextinformationsbereitstellungs-Endgerät 10 in Schritt S12 eine Anforderung von der Empfängeragenteneinheit 24 und sendet es einen gespeicherten Schlüssel und gespeicherte Kontextinformationen an die Empfängeragenteneinheit 24. In diesem Fall können Beispiele der Kontextinformationen Ortsinformationen und den eindeutigen Vorrichtungswert des Kontextinformationsbereitstellungs-Endgeräts 10 enthalten. Währenddessen werden die Ortsinformationen, die ein Element der Kontextinformationen sind, auf der Grundlage der Ortsinformations-Abbildungstabelle durch einen einzelnen Wert ersetzt. Die Ortsinformations-Abbildungstabelle enthält mehrere Datensätze, in denen GPS-Informationen einschließlich eines spezifischen Bereichs auf einen einzelnen Wert abgebildet worden sind. Mit anderen Worten, die Ortsinformations-Abbildungstabelle kann wie die folgende Tabelle 1 implementiert sein: Tabelle 1
GPS-Informationen | Abbildungsvariable |
... | ... |
[(126° 98', 37° 57'), [(127° 14', 37° 45')] | 3911 |
[(127° 14', 37° 45'), [(127° 30', 37° 33')] | 3912 |
-
Jede Zeile der Ortsinformationen der Abbildungstabelle enthält zwei Spalten von GPS-Informationen und eine Abbildungsvariable, wobei der GPS-Bereich in Form von „[(Anfangsbreite, Anfangslänge), (Endbreite, Endlänge)]“ dargestellt ist, um einen einzelnen Ortsblock zu repräsentieren. Die Abbildungsvariable ist ein eindeutiger Wert, der einen entsprechenden Ortsblock repräsentiert, In der Ortsinformations-Abbildungstabelle sind keine zwei oder mehr gleichen Abbildungsvariablen vorhanden. Währenddessen kann die Ortsinformations-Abbildungstabelle aus Tabelle 1 auf die Ortsinformationen der von der Authentifizierungsanfangsblock-Untersuchungseinheit 34 des kontextbewussten Sicherheitscontrollers 30 empfangenen Kontextinformationen ohne Änderung angewendet werden.
-
Anschließend überträgt die Empfängeragenteneinheit 24 des fernen Anwenderendgeräts 20 an die Authentifizierungsanfangsblock-Erzeugungseinheit 22 den Schlüssel und die Kontextinformationen wie etwa von dem Kontextinformationsbereitstellungs-Endgerät 10 empfangene Identifizierungsinformationen des fernen Anwenderendgeräts. Dementsprechend erzeugt die Authentifizierungsanfangsblock-Erzeugungseinheit 22 des fernen Anwenderendgeräts 20 in Schritt S14 auf der Grundlage des Schlüssels und der von der Empfängeragenteneinheit 24 empfangenen Kontextinformationen einen Authentifizierungsanfangsblock (AH). In diesem Fall kann ein Beispiel eines Verfahrens zum Erzeugen eines Authentifizierungsanfangsblocks ein Hash-basiertes Nachrichtenauthentifizierungscodeverfahren (HMAC-Verfahren) sein.
-
Anschließend sendet die Empfängeragenteneinheit 24 des fernen Anwenderendgeräts 20 in Schritt S16 den durch die Authentifizierungsanfangsblock-Erzeugungseinheit 22 erzeugten Authentifizierungsanfangsblock zusammen mit einer Datenempfangsanforderung an den kontextbewussten Sicherheitscontroller 30.
-
Dementsprechend stellt die Authentifizierungsanfangsblock-Untersuchungseinheit 34 des kontextbewussten Sicherheitscontrollers 30 in Schritt S18 einen Authentifizierungsanfangsblock durch Parsen der von der Empfängeragenteneinheit 24 bei dem Cloud-Dienst-Netzeintritt gesendeten Datenempfangsanforderung (einschließlich des Authentifizierungsanfangsblocks) wieder her und untersucht sie die Gültigkeit des wiederhergestellten Authentifizierungsanfangsblocks. In diesem Fall wird die Untersuchung des Authentifizierungsanfangsblocks unter Verwendung eines gleichen Verfahrens wie das Authentifizierungsanfangsblock-Erzeugungsverfahren der Empfängeragenteneinheit 24 ausgeführt und werden für die Authentifizierungsanfangsblock-Untersuchungseinheit 34 über die Richtlinien-Eingabeschnittstelleneinheit 32 im Voraus Kontextinformationen und ein Schlüssel, die für die Erzeugung des Authentifizierungsanfangsblocks erforderlich sind, bereitgestellt.
-
Wenn die Untersuchung der Gültigkeit des Authentifizierungsanfangsblocks abgeschlossen worden ist, sendet die Authentifizierungsanfangsblock-Untersuchungseinheit 34 des kontextbewussten Sicherheitscontrollers 30 in Schritt S20 die Datenempfangsanforderung an ein Ziel (d. h. an den Cloud-Server 40).
-
Anschließend sendet der Cloud-Server 40 in Schritt S22 in Ansprechen auf die Datenempfangsanforderung ein vorgegebenes Datenpaket an den kontextbewussten Sicherheitscontroller 30.
-
Auf der Grundlage der Ergebnisse der Untersuchung des Authentifizierungsanfangsblocks durch die Authentifizierungsanfangsblock-Untersuchungseinheit 34 sendet die Paketdaten-Verarbeitungseinheit 36 des kontextbewussten Sicherheitscontrollers 30 in den Schritten S24 und S26 das durch den Cloud-Server 40 gesendete ursprüngliche Datenpaket an die Empfängeragenteneinheit 24 des fernen Anwenderendgeräts 20, sperrt sie die Sendepaketdaten und beendet sie somit eine Sitzung zwischen der Empfängeragenteneinheit 24 und dem Serveragenten oder moduliert sie die Sendepaketdaten und veranlasst sie somit, dass die Empfängeragenteneinheit 24 Datenabfall und nicht die ursprünglichen Daten empfängt.
-
Die Vorrichtung, das Verfahren und das System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung in Übereinstimmung mit einigen Ausführungsformen der vorliegenden Erfindung haben den Vorteil, dass Übertragungsdaten über ein Netz in einer Cloud-Dienstumgebung auf der Grundlage verschiedener Typen von Kontextinformationen gesteuert werden.
-
Die Vorrichtung, das Verfahren und das System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung in Übereinstimmung mit einigen Ausführungsformen der vorliegenden Erfindung haben den Vorteil, dass die Sicherheitssteuerung von Übertragungsdaten ohne direkte Kommunikation zwischen einem Anwenderendgerät und einem Cloud-Server unabhängig ausgeführt wird, da bei dem Eintritt in ein Cloud-Dienst-Netz ein kontextbewusster Sicherheitscontroller, der der Agent der Sicherheitssteuerung ist, in der Reihenbetriebsart eingebaut ist.
-
Obwohl für einen böswilligen Angreifer oder für einen Insider die Möglichkeit zum Analysieren einer Schwachstelle, die ermöglicht, dass die Sicherheitssteuerung vermieden wird, geboten wird, wenn der Hauptagent der Sicherheitssteuerungsfunktionalität ein Authentifizierungsserver ist, haben die Vorrichtung, das Verfahren und das System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung in Übereinstimmung mit einigen Ausführungsformen der vorliegenden Erfindung den Vorteil, sicherer gegen Hacking-Angriffe zu sein, da der kontextbewusste Sicherheitscontroller nicht die Anwesenheit einer IP-Adresse, auf die von außen zugegriffen werden kann, erfordert und die Sicherheitssteuerung in dem Abschnitt des Übertragungsnetzes passiv ausführt.
-
Obwohl für Veranschaulichungszwecke die bevorzugten Ausführungsformen der vorliegenden Erfindung offenbart worden sind, wird der Fachmann auf dem Gebiet würdigen, dass verschiedene Änderungen, Hinzufügungen und Ersetzungen möglich sind, ohne von dem Schutzumfang und von dem Erfindungsgedanken der Erfindung, wie sie in den beigefügten Ansprüchen offenbart sind, abzuweichen.