DE102014207704B4 - Verfahren und systeme zur gesicherten authentifizierung von anwendungen in einem netzwerk - Google Patents

Verfahren und systeme zur gesicherten authentifizierung von anwendungen in einem netzwerk Download PDF

Info

Publication number
DE102014207704B4
DE102014207704B4 DE102014207704.4A DE102014207704A DE102014207704B4 DE 102014207704 B4 DE102014207704 B4 DE 102014207704B4 DE 102014207704 A DE102014207704 A DE 102014207704A DE 102014207704 B4 DE102014207704 B4 DE 102014207704B4
Authority
DE
Germany
Prior art keywords
communication device
authentication
communication
server
security level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102014207704.4A
Other languages
English (en)
Other versions
DE102014207704A1 (de
Inventor
Philippe Klein
Jacob Mendel
Shlomo Markel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Avago Technologies International Sales Pte Ltd
Original Assignee
Avago Technologies International Sales Pte Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US13/904,426 external-priority patent/US9282086B2/en
Application filed by Avago Technologies International Sales Pte Ltd filed Critical Avago Technologies International Sales Pte Ltd
Publication of DE102014207704A1 publication Critical patent/DE102014207704A1/de
Application granted granted Critical
Publication of DE102014207704B4 publication Critical patent/DE102014207704B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Gesichertes Kommunikationsnetzwerk mit:einem Server, der ein Authentifizierungs-Backend aufweist, wobei das Authentifizierungs-Backend konfiguriert ist, mit einem Authentifizierungs-Frontend einer Kommunikationsvorrichtung zu kommunizieren, undeinem Server-Applet, das mit dem Authentifizierungs-Backend assoziiert ist, wobei das Server-Applet ein mit der Kommunikationsvorrichtung assoziiertes Zugriffsrecht authentifiziert und eine Sicherheitsstufe für die Kommunikation mit der Kommunikationsvorrichtung auf der Grundlage von Informationen herstellt,die aus dem Authentifizierungs-Frontend empfangen werden, wobei wenn die Kommunikationsvorrichtung zusätzliche Authentifizierungsinformationen empfängt, das Server-Applet die Sicherheitsstufe auf der Grundlage der zusätzlichen Authentifizierungsinformationen ändert.

Description

  • Technisches Gebiet
  • Diese Offenbarung betrifft Sichern von Authentifizierung und/oder Bereitstellen einer Sicherheitsstufe für Anwendungen, die in einem Kommunikationsnetzwerk ausgeführt werden, einschließlich Sichern von mobilen Anwendungen Dritter.
  • Hintergrund
  • Mit dem schnellen Fortschreiten von Technologie sind komplexe elektronische Vorrichtungen in weitverbreiteter Anwendung in praktisch jedem Kontext des Alltagslebens. Die elektronischen Vorrichtungen können oft sehr einfach sein, weisen jedoch oft hunderte oder tausende von individuellen elektronischen Elementen auf, die zur Implementierung der Vorrichtung verwendet werden. Software arbeitet häufig mit den elektronischen Komponenten zusammen, was einem Anwender ermöglicht, alle Merkmale der elektronischen Vorrichtung zu verwenden. Die Anwendungen, die in einem Netzwerk ausgeführt werden, müssen möglicherweise sicher authentifiziert werden.
  • US 2005 / 0 097 320 A1 beschreibt ein System und ein Verfahren für eine flexible Transaktionsverarbeitung, die auf der Risikobewertung einer Transaktion und / oder eines Benutzers oder einer Partei einer Transaktion basiert. Basierend auf einer Risikostufe wird eine Authentifizierungsstufe für die Transaktion festgelegt oder geändert.
  • Wikipedia: Servlet, 30. März 2013, URL: https://de.wikipedia.org/w/index.php? title=Servlet&oldid=116192407 beschreibt Servlets als Java-Klassen, deren Instanzen innerhalb eines Webservers Anfragen von Clients entgegennehmen und beantworten.
  • Wikipedia: Java-Applet, 08. April 2013, URL: https://de.wikipedia.org/w/index.php? title=Java-Applet&oldid=117259748 beschreibt Java-Applets als Computerprogramme, die mittels Java-Technik erstellt werden und normalerweise in einem Webbrowser ausgeführt werden.
  • US 2002 / 0 169 874 A1 beschreibt ein Verfahren und eine Vorrichtung, die bedarfsgerechte Zugriffsrechte für Dienste basierend auf Sitzungszugriffsmerkmalen bereitstellen. In einer Sitzung zwischen einem Benutzer und einer Softwareanwendung, die einen oder mehrere Dienste bereitstellt, gibt es verschiedene Zugriffsmerkmale, die die Sicherheit der Sitzung beschreiben, z.B. Benutzerauthentifizierung und Verschlüsselung. Es werden verschiedene Kombinationen von Zugriffsmerkmalen definiert und den Kombinationen Sicherheitsstufen zugeordnet, wobei jedem der verfügbaren Dienste auch eine Sicherheitsstufe zugeordnet ist.
  • WO 2003 / 062 969 A1 beschreibt ein Verfahren zum Autorisieren eines Benutzers in Kommunikation mit einer Workstation, wobei ein System automatisch mehrere verfügbare Benutzerinformations-Eingabegeräte in Kommunikation mit der Workstation und Benutzerautorisierungsverfahren bestimmt, die jeweils nur Daten von verfügbaren Benutzerinformationseingabegeräten erfordern. Der Benutzer wählt dann eine der bestimmten Autorisierungsmethoden zur Verwendung bei der Benutzerautorisierung aus.
  • In Übereinstimmung mit der vorliegenden Erfindung werden ein gesichertes Kommunikationsnetzwerk mit den Merkmalen des Anspruchs 1, ein Verfahren zur Sicherung eines Kommunikationsnetzwerks mit den Merkmalen des Anspruchs 12 und eine Kommunikationsvorrichtung mit den Merkmalen des Anspruchs 18 bereitgestellt.
  • Vorteilhafte Weiterbildungen ergeben sich aus den abhängigen Unteransprüchen.
  • Figurenliste
  • Die Innovation wird am besten unter Bezugnahme auf die nachfolgenden Zeichnungen und Beschreibung deutlich. In den Figuren können gleiche Bezugszeichen entsprechende Teile durchgehend in den unterschiedlichen Darstellungen bezeichnen.
    • 1 zeigt ein Blockschaltbild einer beispielhaften sicheren Kommunikationsumgebung.
    • 2 zeigt ein Flussdiagramm zur Herstellung von beispielhaften sicheren Kommunikationen zwischen einer Kommunikationsvorrichtung und einem Server in einem Netzwerk.
    • 3 zeigt ein Blockschaltbild einer beispielhaften Kommunikationsumgebung zur Bestimmung einer Sicherheitsstufe eines Zugriffs, die für die Kommunikationsvorrichtung verfügbar ist.
    • 4 zeigt eine Darstellung eines beispielhaften mehrdimensionalen, einzelnen Sicherheitsmoduls.
    • 5 zeigt ein Beispiel für ein Flussdiagramm der Herstellung einer sicheren Kommunikation von Anwendungen, die in der Kommunikationsvorrichtung ausgeführt werden.
  • Ausführliche Beschreibung
  • Die Diskussion bezieht sich auf Verfahren und Systeme zur Sicherung von Online-Anwendungen in einer Kommunikationsumgebung. Die Vorrichtung eines Anwenders kann mit einem Server kommunizieren, um Filme zu betrachten, Bankfunktionen durchzuführen, Zahlungen durchzuführen, sicherheitskritische Dinge wie beispielsweise Schecks zu kaufen, E-Gesundheits- (E-Health-) oder Krankenhausaufzeichnungen zu erhalten, Universitätsaufzeichnungen zu erhalten, Arbeitsverhältnisaufzeichnungen zu erhalten, usw. Die sichere Verbindung der Vorrichtung muss sich nicht auf die native Verschlüsselung und Sicherheitsverfahren für ein gegebenes Netzwerk, beispielsweise eine L2-Netzwerkverschlüsselung verlassen. Mehrere Sicherheitsstufen über heterogene Netzwerktechnologien können unterstützt werden. Es kann sich nicht auf ein durchgehendes (End-zu-End-) softwarespezifisches Sicherheitsschema auf der Anwendungsebene oder Transport-L3-Verschlüsselung (IPsec) verlassen werden. Authentifizierung und/oder mehrere Stufen von Sicherheit können in Abhängigkeit von einem Teil der zu verwendenden Anwendung, einem Server, einer Kommunikationsvorrichtung und/oder einem Netzwerk bereitgestellt werden, das die Kommunikationsvorrichtung mit dem Server verbindet. Verbesserungen bei den Sicherheitsmaßnahmen für derartige Vorrichtungen können dazu beitragen, die verbreitete Anwendung und Nachfrage nach derartigen Vorrichtungen kontinuierlich anzutreiben.
  • 1 zeigt ein Blockschaltbild für eine beispielhafte sichere Kommunikationsumgebung 100. Kommunikationssignale 102 können zwischen Endpunkten, beispielsweise einer ersten Kommunikationsvorrichtung 104 und einem ersten Server 106, einem zweiten Server 108 usw. gesendet werden. Die Kommunikationsvorrichtung 104 kann eine Mobilvorrichtung wie ein Mobiltelefon, ein persönlicher digitaler Assistent (Personal Digital Assistant), ein Tablet, eine tragbare E-Mail-Vorrichtung, ein Smartphone, ein Fahrzeug und andere mobile Vorrichtungen einschließlich eines tragbaren Spielesystems sein. Beispielhafte Fahrzeuge umfassen Automobile, Luftfahrzeuge, Schiffe und Raumfahrzeuge. In einigen Implementierungen kann die Kommunikationsvorrichtung 104 ebenfalls eine nichtmobile Vorrichtung beispielsweise ein Desktop-Computer an einer Arbeitsstation, eine Settop-Box zuhause usw. sein.
  • Die Kommunikationsvorrichtung 104 kann einen Transceiver (Sender-Empfänger) 110 aufweisen, der eingerichtet ist, Kommunikationsmitteilungen zu senden und zu empfangen. Die Mitteilungen können über unterschiedliche Protokolle, beispielsweise Nahfeldkommunikation (NFC), Bluetooth (BT), Wireless Fidelity (Wi-Fi), Infrarot (IR) und Zellular (beispielsweise 3G, 4G, 5G) sein. Die Kommunikationsvorrichtung 104 kann ebenfalls eine Lokalisierungsvorrichtung, beispielsweise einen Global-Positioning-Satellite- (GPS-) Empfänger 112 aufweisen. Der Transceiver 110, der konfiguriert ist, unter Verwendung von einem oder mehreren unterschiedlichen Protokollen zu kommunizieren, und die Positionierungsvorrichtung können auf einer einzelnen integrierten Schaltung oder mehreren integrierten Schaltungen implementiert werden.
  • Um in der Kommunikationsumgebung 100 gesendete und empfangene Mitteilungen zu sichern, kann die Kommunikationsvorrichtung außerdem einen Prozessor 114 aufweisen, der direkt oder indirekt mit einem Speicher 116 verbunden ist. Der Prozessor 114 kann ein Code beispielsweise ein Applet, das in dem Speicher 116 gespeichert ist, zum Implementieren eines Authentifizierungs-Frontends ausführen. Der Speicher 116 kann in verschiedenerlei Weise beispielsweise mit einem Sicherungselement, einer universalen integrierten Schaltung (UICC), oder einem Secure-Digital- (SD-) Speicher implementiert werden. Zusätzlich oder alternativ dazu kann die Anwendung unter Verwendung von Hardware oder Firmware implementiert werden, beispielsweise, falls mehr Sicherheit erforderlich ist als eine Implementierung lediglich durch Software, durch einen sicheren Mikrocontroller oder ein anderes vertrauenswürdiges Plattformmodul (TPM, Trusted Platform Module), eine vertrauenswürdige Ausführungsumgebung (TEE, Trusted Execution Environment), Hardware- und Software-Token usw. In einigen Implementierungen kann eine Kombination von Software und Hardware verwendet werden.
  • Der Prozessor 14 kann ebenfalls mit anderen Elementen zur Sicherung von Kommunikationen einschließlich eines Authentifizierungssensors oder -sensoren 120, die verwendet werden können, um Anwenderinformationen, beispielsweise biometrische Informationen, beispielsweise eine Gesichtserkennung, Adererkennung, Lebenszeichen und Fingerabdrücke, und/oder Gesten oder Bewegungen zusammeln. Die Anwenderinformationen können mit den gesicherten Kommunikationen gesendet und zur Bestimmung von Authentifizierung und/oder einer Sicherheitsstufe verwendet werden, um einen Identitätsbetrug zu verhindern. Zusätzlich oder alternativ dazu kann der Sensor 120 Umgebungsbedingungen einschließlich eines Orts der Vorrichtung des Anwenders, ob die Vorrichtung außen oder innen positioniert ist, Temperatur, Datum, Zeit usw. erfassen. Die Informationen aus den Sensoren, GPS usw. wird durch Hardware und/oder Software zum Schützen einer Integrität der Authentifizierungsparameter gesichert.
  • Falls beispielsweise die Position eine der Kriterien ist, wird ein Verändern oder Fälschen der durch das GPS gegebenen Positionsinformationen durch die Hardware und/oder Software erfasst und zu der Kommunikationsvorrichtung 104 als unzuverlässige Positionsinformationen berichtet.
  • Die Kommunikationsumgebung 100 kann Antennen, Landleitungen, Satelliten und Basisstationen 130 aufweisen, die durch Mobilnetzwerkbetreiber (MNO) zur Ermöglichung einer Kommunikation zwischen der Kommunikationsvorrichtung 104 und den Servern 106, 108 betrieben werden. Beispielsweise kann die Kommunikationsvorrichtung 104 auf den ersten Server 106 über eine öffentliche Cloud 140 zugreifen. Der erste Server 106 kann durch einen Such-Provider, beispielsweise Yahoo oder Google, einen Zahlungs-Provider, beispielsweise Paypal, einer Bank oder andere Finanzinstitutionen usw. betrieben werden. Gemäß einem anderen Beispiel kann die Kommunikationsvorrichtung 104 auf einen zweiten Server 108 durch eine private oder spezialisierte Cloud 150 zugreifen. Der zweite Server 108 kann durch verschiedene Einheiten einschließlich eines Krankenhauses, Universität oder Organisationen betrieben werden.
  • Um eine Backend-Sicherheit zwischen der Kommunikationsvorrichtung 104 und den ersten und zweiten Servern 106, 108 bereitzustellen, kann der erste Server 106 einen Prozessor 160 und einen Speicher 162 zum Speichern eines Server-Applets aufweisen, und kann der zweite Server 108 einen Prozessor 170 und einen Speicher 172 zum Speichern eines Server-Applets aufweisen. Zusätzlich oder alternativ können die Applets mit Hardware oder Firmware implementiert sein. Wie es nachstehend ausführlicher beschrieben ist, können die Authentifizierungs-Backend-Prozessoren 160, 170, die Server-Anwendungen 162, 177, das Authentifizierungs-Frontend 114 und die Kommunikationsvorrichtungsanwendung 116 gesicherte Kommunikationen bereitstellen, die vom Netzwerk nicht wahrgenommen werden (netzwerk-agnostisch sind), beispielsweise öffentliche oder private Netzwerke. Kommunikationen können ebenfalls ungeachtet der gegenwärtig verfügbaren Verbindung gewährleistet werden, beispielsweise NFC, BT, IR, Wi-Fi, 3/4/5G usw. einschließlich derjenigen, die durch einige Kommunikationsvorrichtungen bereitgestellt werden, die integrierte, Mehrfach-Netzwerkarchitekturen implementieren. Netzwerk-Port-Kommunikation kann helfen, ein Fälschen zu verhindern.
  • 2 zeigt ein Flussdiagramm zur Herstellung von beispielhaften sicheren Kommunikationen zwischen der Kommunikationsvorrichtung 104 und einem oder mehreren Servern, beispielsweise dem ersten Server 106 und dem zweiten Server 108 in dem Kommunikationsnetzwerk 100. Die sichere Kommunikation kann mit dem ersten Server 106, dem zweiten Server 108 oder beiden auftreten.
  • Die Kommunikationsvorrichtung 104 kann eine Verbindung zu den Servern 106, 108 anfordern. Die Server 106, 108 können durch ein Netzwerk für eine gegebene Anwendung oder Sub-Anwendungen sich verbinden, beispielsweise können sich die Server 106 mit der Kommunikationsvorrichtung 104 durch die öffentliche Cloud 140 verbinden oder/und die Server 108 können sich durch eine spezialisierte Cloud 150 (200) verbinden. Zur Erleichterung der Beschreibung wird eine Verbindung mit dem ersten Server 106 beschrieben, jedoch kann eine Verbindung zu einem oder mehreren unterschiedlichen Servern, beispielsweise dem zweiten Server 108 in ähnliche Weise erzielt werden.
  • Der Server 106 kann eine Liste angeforderter Authentifizierungsinformationen zu der Kommunikationsvorrichtung 104 senden. Die Liste kann über ein Kommunikationspaket mittels des MNO 130 oder einem Kommunikationspfad gesendet werden (202). Die angeforderten Informationen können verwendet werden, eine Verbindung mit der Anwendung auf einer vorbestimmten Sicherheitsstufe verwendet werden, die für die Anwendung verfügbar ist. Kritische Funktionalität und Schlüsselspeicherung zur Authentifizierung der Kommunikationsvorrichtung 104 können in Hardware gespeichert werden und Ausgänge, Eingänge und Sicherheitsfragen (Challenge Questions) können in Software in der Kommunikationsvorrichtung 104 gespeichert sein. Die in Software gespeicherten Elemente können verschlüsselt sein, um die Informationen vor Diebstahl zu schützen, beispielsweise können die Elemente mit einem symmetrischen fortgeschrittenen Verschlüsselungsstandard mit 128 Bit oder 256 Bit (AES, Advanced Encryption Standard) oder mit einer asymmetrischen Rivest-Shamir-Adleman- (RSA-) Authentifizierung, einem Triple-Data-Verschlüsselungsstandard (3DES), elliptischer Kurvenkryptographie (ECC, elliptic curve cryptography) usw. verschlüsselt werden, und entsprechend dem ISO-Standard 9796 (International Organisation for Standardization) und anderen Standards verifiziert werden.
  • Für zusätzliche Sicherheit kann der Speicher 116 eine sichere Zone 118 zum Speichern der sicherheitsrelevanten Algorithmen aufweisen, beispielsweise um ein Hacken zu verhindern. Die sichere Zone 118 kann beispielsweise mit einem zweiten Betriebssystem oder einem zweiten Kernprozessor der Kommunikationsvorrichtung 104 implementiert werden, das bzw. der physikalisch und/oder logisch von dem ersten Betriebssystem oder Kernprozessor isoliert ist. Die Authentifizierungsinformationen können gepackt, verschlüsselt und signiert werden, um die Informationen vor Betrachtung und Fälschung mit nicht autorisierten Einheiten zu sichern, bevor sie zu dem Server 106 gesendet werden.
  • Um eine für die Anwendung verfügbare Sicherheitsstufe herzustellen, kann der Server 106 den Anwender authentifizieren (204). Beispielsweise kann der Server Authentifizierungsinformationen verarbeiten, die durch die Kommunikationsvorrichtung 104 in Reaktion auf die Anforderung nach Informationen gesendet werden. Das Authentifizierungs-Backend 160 des Servers 106 kann auf der Grundlage der verarbeiteten Informationen bestimmen, ob der Anwender der Kommunikationsvorrichtung 104 verifiziert ist (206). Unter anderen Informationen kann der Server 106 eine Kommunikation eine Antwort eines Anwenders auf eine Sicherheitsfrage verarbeiten, um zu bestimmen, ob die Antwort mit einer erwarteten Antwort auf die Sicherheitsfrage übereinstimmt. Gültige Antworten können in dem Server-Applet 162 beispielsweise in einer gesicherten Zone des Server-Applets 162 des Servers 106 gespeichert sein. Eine andere Art, dass der Server 106 eine Authentifizierung der Vorrichtung bestimmen kann, umfasst ein Vergleichen eines gespeicherten biometrischen Vorlage mit biometrischen Informationen des Anwenders, die von der Kommunikationsvorrichtung 104 gesendet werden. Die biometrischen Informationen der Vorrichtungen können von dem Anwender beispielsweise über den Authentifizierungssensor 120 erhalten werden. Der Authentifizierungssensor 120 kann die biometrischen Informationen zu einem Netzwerk-Port der Kommunikationsvorrichtung 104 über die gesicherter Verbindung 121 senden. Falls eine Authentifizierung des Anwenders verifiziert wird, kann der Server 106 eine Sicherheitsstufe zur Ausführung der Anwendung auf der Kommunikationsvorrichtung 104 herstellen (208).
  • Zusätzlich oder alternativ dazu kann das Authentifzierungs-Backend 160 die Kommunikationsvorrichtung 104 authentifizieren (210). Die Kommunikationsvorrichtung 104 kann Vorrichtungsverifikationsinformationen in Hardware und/oder Software speichern. Falls die Authentifizierung nicht verifiziert wird, kann der Server 106 Zugriff auf sein System und Anwendungen für Kommunikationsvorrichtung 104 verweigern. Falls die Authentifizierung verifiziert wird, kann der Server 106 eine Sicherheitsstufe für die Vorrichtung beispielsweise unabhängig von irgendeiner anwendungsspezifischen Sicherheit herstellen (214). Eine Sicherheitsstufe des Zugriffs auf die Vorrichtung kann auf der Grundlage davon bestimmt werden, ob die Kommunikationsvorrichtung 104 ein Hardware-Sicherungselement, beispielsweise eine höhere Sicherheitsstufe, Software-Sicherheit, beispielsweise eine niedrigere Sicherheitsstufe oder beides usw. aufweist.
  • Zusätzlich oder alternativ dazu kann das Authentifizierungs-Backend 160 eine Umgebung authentifizieren (216). Die Umgebungsinformationen können zur Verifizierung einer Authentifizierung der Kommunikationsvorrichtung verwendet werden (218). Beispielsweise kann, falls die Kommunikationsvorrichtung 104 Informationen sendet, dass sie sich gegenwärtig in China befindet, wenn sie in den USA befindet sollten, eine Authentifizierung verweigert werden. Falls eine Authentifizierung der Umgebung verifiziert wird, kann eine Sicherheitsstufe auf der Grundlage der Informationen hergestellt werden (220). Als ein Beispiel kann, falls die Vorrichtung ein Programm zur gemeinsamen Nutzung von Inhalten wie WEBEX betreibt, eine Bildschirmaufnahmefunktion unwirksam gemacht werden, um eine höhere Stufe von Sicherheit zu erhalten, als wenn das Bildschirmaufnahme-Feature aktiv wäre. Falls die Vorrichtung zum Kauf von Dingen auf AMAZON verwendet wird, während der Anwender in einem Zug fährt, kann die AMAZON-Anwendung keinen Zugriff auf so hohe Sicherheitsstufen von Funktionen erlauben, als wenn die Vorrichtung sich zuhause befinden würde. Gemäß einem anderen Beispiel kann der Server 108 einer Firma keinen Zugriff auf bestimmte Dokumente zulassen, falls die Kommunikationsvorrichtung 104 sich außerhalb des Büros befindet, oder falls der Anwender der Kommunikationsvorrichtung 104 versucht, Dokumente außerhalb der Geschäftsstunden zu betrachten.
  • Zusätzlich oder alternativ kann das Authentifizierungs-Backend 160 das Netzwerk authentifizieren (222). Faktoren können bei Herstellung des physikalischen sicheren Kanals berücksichtigt werden, beispielsweise einer Richtlinie (Policy) der öffentlichen Cloud 140 oder der spezialisierten Cloud 150 in dem Falle des Servers 108. Auf der Grundlage von Informationen bezüglich der Kommunikationsvorrichtung 104 und des Netzwerks kann die Netzwerkauthentifizierung verifiziert werden (224). Falls die Authentifizierung verifiziert wird, kann die Sicherheitsstufe hergestellt werden (226). Gemäß einem Beispiel sendet eine Schrittmacherkommunikationsvorrichtung des Anwenders Herzfrequenzinformationen zu einem medizinischen Anbieter zur Datenverarbeitung und Überwachung über ein gesichertes Netzwerk. Ein physikalisch sicherer Kanal kann entsprechend der Sicherheitsstufe der Kommunikationsvorrichtung 104 hergestellt werden. Auf der Grundlage der vorstehend beschriebenen Authentifizierungen kann beispielsweise der Server 106 bestimmen, ob die angeforderte Authentifizierung und Sicherheitsstufen verifiziert worden sind (228). Beispielsweise können eine Identität des Anwenders der Vorrichtung, eine Art der Anwendung, deren Zugriff an dem Server 106 angefordert wird, ein Ort der Vorrichtung, eine Tageszeit des Zugriffs und eine Sicherheitsstufe der Kommunikationsvorrichtung 104 usw. zur Bestimmung von Authentifizierung, einer Sicherheitsstufe oder sowohl Authentifizierung als auch Sicherheitsstufe verwendet werden. In Abhängigkeit von der Authentifizierung und der Sicherheitsstufe kann die Anwendung auf den Server zu einem bestimmten Ausmaß zugreifen. Auf der Grundlage der Authentifizierung und der Sicherheitsstufe kann das Kommunikationsnetzwerk 100 einen sicheren Kanal zu der Kommunikationsvorrichtung 104 über die Anwendung herstellen (230). Falls die angeforderte Authentifizierung und Sicherheitsstufe nicht verifiziert werden, kann der Server 106 Zugriff auf die Kommunikationsvorrichtung 104 für die Anwendung verweigern (232).
  • 3 zeigt ein Blockschaltbild für eine beispielhafte Kommunikationsumgebung 300 zur Bestimmung einer Sicherheitsstufe des Zugriffs, die für die Kommunikationsvorrichtung 104 verfügbar ist. Beispielsweise kann der Anwender 302 die Kommunikationsvorrichtung 104 zur Unterstützung bei einer Arbeit an einer Maschine 304 verwenden. Die Kommunikationsvorrichtung 104 verbindet sich drahtlos oder drahtverbunden, direkt oder indirekt mit dem Server 306, um gesicherte Informationen bezüglich der Maschinenanlage 304 zu erhalten. Der Server 306 kann ein konvergiertes Netzwerk in der Maschinenhalle aufweisen, mit Aufsichtssteuerungseinheiten 308, koordinierten Steuerungseinheiten 310 und synchronisierten Steuerungseinheiten 312.
  • Zur Bestimmung einer für die Kommunikationsvorrichtung 104 bestimmten Sicherheitsstufe kann ein Ort der Kommunikationsvorrichtung 104 mit einem Ort der Maschinenanlage 304 verglichen werden, an der der authentifizierte Anwender arbeitet. Beispielsweise wird ein Ort eines Arbeiters in einem Kernkraftwerk mit einem Ort der Maschinenanlage verglichen, an der gearbeitet wird, wenn der Server 306 Informationen bezüglich der Maschinenanlage, beispielsweise ein Wartungshandbuch bereitstellt. Falls die Kommunikationsvorrichtung 104 sich nahe an der Maschinenanlage befindet, kann der Server 106 eine höhere Stufe von Sicherheitsinformationen für die Kommunikationsvorrichtung 104 als dann bereitstellen, wenn die Kommunikationsvorrichtung 104 nicht nahe an der Maschinenanlage ist. Beispielsweise kann von einer Sicherheitsstufe, die für den authentifizierten Anwender 302 an der authentifizierten Kommunikationsvorrichtung 104 durch den Ort der Kommunikationsvorrichtung 104 zu der Maschine 304 und/oder anderen Faktoren beispielsweise Tageszeit hergestellt ist, abhängen, ob der Server 306 Zugriff zu der Aufsichtssteuerungsschicht 308 oder der synchronisierten Steuerungsschicht 312 bereitstellt. Dies stellt eine vertikale Zugriffsfunktion der Sicherheitsstufe zwischen dem Gateway-Computer 320 und den Anwendungen von Protokollen der Einheiten 308, 310, 312 sowie dem Historian-Mensch-Maschine-Schnittstellen- (HMI-) Programmierungs-Computer 322 und den Anwendungen und Protokollen der Einheiten 308, 310, 312 bereit.
  • Das GPS 112 und/oder 3/4/5G 110 können verwendet werden, um Ortsinformationen zu der Kommunikationsvorrichtung 104 zum Senden zu dem Server 306 zuzuführen, die zur Bestimmung eines Orts der Kommunikationsvorrichtung 104 und zum Vergleich des Orts der Kommunikationsvorrichtung 104 mit einem bestimmten Ort der Maschine 304 verwendet werden. Ein Ort der Maschine kann beispielsweise mit dem Server 306 gespeichert werden oder beispielsweise durch den Server 306 bei Kommunikation mit der Maschine 304 bestimmt werden. Um Zugriff auf sicherere Anwendungen oder den Inhalt von Dokumenten, der durch die Anwendung bereitgestellt wird, zur erlauben, kann es erforderlich sein, dass sich die Kommunikationsvorrichtung 104 physikalisch innerhalb eines bestimmten Abstands zu der Maschine beispielsweise nahe an der Maschine befindet. Falls die Kommunikationsvorrichtung 104 sich von der Maschine entfernt befindet, kann der Server 306 keinen Zugriff auf das Handbuch zulassen.
  • 4 zeigt eine Darstellung eines beispielhaften mehrdimensionalen, einzelnen Sicherheitsmoduls (Einzelsicherheitsmoduls). Das einzelne Sicherheitsmodul kann in mehreren Vorrichtungen (beispielsweise Vorrichtungen 1, 2) über verschiedenen Anwendungen (beispielsweise Anwendungen 1, 2, 3) für mehrere Sicherheitsstufen (beispielsweise Stufen 0, 1, 2, 3, 4) arbeiten. Im Hinblick auf den Einzelsicherheitsmodulansatz sind eine oder mehrere Datenbanken, die große Mengen von Berechtigungsnachweisen enthalten, um jede Anwendung und jede Vorrichtung separat anzusprechen, nicht erforderlich.
  • Gemäß einem Beispiel kann für die Vorrichtung 1, Anwendung 1 eine Anwendungssicherheitsstufe sich von einer unteren Stufe 4 bis zu einer höheren Stufe 1 beispielsweise auf der Grundlage externer Authentifizierungselemente bewegen, die beispielsweise durch die Kommunikationsvorrichtung 104 oder den Anwender bereitgestellt werden. Beispielsweise kann der Anwender biometrische Informationen der Kommunikationsvorrichtung 104 bereitgestellt haben, um die höhere Sicherheitsstufe bei der Anwendung zu erhalten. Oder die Kommunikationsvorrichtung 104 kann physikalisch näher an das Büro oder die Maschinenanlage bewegt worden sein, an der der Anwender arbeitet.
  • Für dieselbe Vorrichtung 1 kann die Kommunikationsvorrichtung 104, separat oder gleichzeitig mit dem Zugriff der Stufe 1 der Anwendung 1, einen Zugriff der Stufe 3 auf die Anwendung 2 aufweisen. Daher kann dieselbe Kommunikationsvorrichtung 104 desselben Anwenders unterschiedliche Zugriffsstufen für unterschiedliche Anwendungen bereitstellen. Die Sicherheitsstufe kann auf verschiedenen Faktoren wie beispielsweise einem Ort der Kommunikationsvorrichtung 104, einer Tageszeit, einer Identifikation der Kommunikationsvorrichtung 104, der Art der Sicherheit in der Kommunikationsvorrichtung 104, die der Anwender anwendet, usw. beruhen.
  • Für eine andere Kommunikationsvorrichtung 104, wie eine, die Hardware-Sicherheit aufweist, kann die Sicherheitsstufe höher sein. Zusätzlich oder alternativ dazu kann, falls die Kommunikationsvorrichtung 104 3/4/5G zum Kommunizieren anstelle von BT verwendet, die Sicherheitsstufe sich ändern. Außerdem kann für eine andere Vorrichtung 2, die auf eine Anwendung 3 zugreift, die Sicherheitsstufe auf der Stufe 2 unter den gegenwärtigen Umständen einschließlich irgendeinem der hier beschriebenen Faktoren oder anderen Faktoren bestimmt werden. Auf diese Weise kann das Sicherheitsmodul verschiedenen Vorrichtungen unterschiedliche Sicherheitsstufen des Zugriffs über verschiedene Anwendungen bereitstellen. Anwenderdatenschutz und private Informationen können in einer offnen Umgebung/Cloud-Umgebung beibehalten werden, gesicherte und flexible Bezahlungsverfahren können bereitgestellt werden, und E-Gesundheitsdienste in Krankenhäusern und privater Zugriff auf medizinische Aufzeichnungen können erreicht werden, ohne einen Bedarf nach separaten abgeschlossenen Anwendungen für jede Art von Aktivität.
  • 5 zeigt ein Flussdiagrammbeispiel für die Herstellung von sicherer Kommunikation von Anwendungen, die auf der Kommunikationsvorrichtung 104 ausgeführt werden. Die Kommunikationsvorrichtung 104 greift auf die Anwendung 1 zu, beispielsweise gemäß 4 (500). Die Kommunikationsvorrichtung 104 kann die Anwendung 1 in Reaktion darauf ausführen, dass ein Anwender auf ein Icon auf der Anwender-Kommunikationsvorrichtung 104 klickt. Beispielsweise kann die Anwendung 1 eine Verbindung zur einen Server an den Arbeitsplatz des Anwenders, beispielsweise dem ersten Server 106 oder dem zweiten Server 108 in dem Kommunikationsnetzwerk 100 bereitstellen. In diesem Fall ist die Anwendung 1 eine offene Anwendung, die der Anwender durch einen App-Store gekauft hat. Die Anwendung 1 kann auf der Kommunikationsvorrichtung 104 gespeichert werden, in dem Netzwerk, beispielsweise der Cloud gespeichert werden, oder teilweise sowohl in der Kommunikationsvorrichtung 104 als auch in dem Netzwerk gespeichert werden. Der Anwender ist ein Passagier in einem Fahrzeug auf dem Weg zur Arbeit und die Kommunikationsvorrichtung ist gegenwärtig bei einem vorbestimmten Abstand von der Arbeit, beispielsweise 5 Meilen angeordnet.
  • Anfänglich wird für die Anwendung 1 eine niedrige Sicherheitsstufe hergestellt (502). Eine niedrige Sicherheitsstufe kann auf der Grundlage von Informationen aus der Kommunikationsvorrichtung 104, beispielsweise einem Ort der Kommunikationsvorrichtung 104 und einer Identität des Anwenders usw. hergestellt werden. Eine Richtlinie des Servers, auf den durch Kommunikationsvorrichtung 104 über die Anwendung 1 zugegriffen wird, kann ausdrücken, dass für diesen bei einem vorbestimmten Abstand von der Arbeit sich befindlichen Anwender die Sicherheitsstufe 4 geeignet ist. Ein sicherer Kanal zwischen dem Server und der Anwendung 1 kann ebenfalls auf der Grundlage der Sicherheitsstufe hergestellt werden (504).
  • Wenn die Kommunikationsvorrichtung 104 zusätzliche Authentifizierungsinformationen empfängt, kann die Sicherheitsstufe geändert werden, beispielsweise angehoben oder abgesenkt werden (506). Gemäß einem Beispiel wird, wenn die Kommunikationsvorrichtung innerhalb eines vorbestimmten Abstands von der Arbeit, beispielsweise bei 500 Fuß ankommt, eine neue Sicherheitsstufe für die Anwendung 1 hergestellt. Beispielsweise kann für diesen Anwender bei der Arbeit eine Sicherheitsstufe von 1 bestimmt werden, was die Anwendung der höchsten Stufe des Zugriffs auf den Arbeitsserver und/oder die höchste Stufe des Zugriffs auf die Anwendung bereitstellt. Die Kommunikationsumgebung kann einen modifizierten sicheren Kanal zwischen der Anwendung 1 und dem Arbeitsserver herstellen.
  • Während die Anwendung 1 zum Arbeiten verbunden ist, kann die Kommunikationsvorrichtung 104 eine Anwendung 2, beispielsweise eine Anwendung eines Dritten öffnen, aus der heraus der Anwender auf seine Bank (512) zugreifen kann. Alternativ dazu kann eine Anwendung eines Ersten verwendet werden. In einem Szenario ist es 09:00 Uhr lokale Zeit für die Bank und die Kommunikationsvorrichtung 104 an einem Wochentag, und entscheidet sich der Anwender, keinen Daumenabdruck der Kommunikationsvorrichtung 104 bereitzustellen. Auf der Grundlage dieser Informationen und möglicher anderer Informationen wird der Anwendung 2 eine Stufe des Zugriffs auf die Bank gewährt (514). Falls beispielsweise eine Zugriff der Stufe 3 gewährt wird, stellt die Kommunikationsumgebung einen sicheren Kanal auf der Grundlage der Sicherheitsstufe der Stufe 3 her (516). Auf der Stufe 3 kann die Anwendung auf allgemeine Informationen aus der Bank zugreifen, jedoch kann beispielsweise nicht auf spezifische Kontoinformationen zugegriffen werden. Daher kann die Kommunikationsumgebung mehreren Anwendungen verschiedenen Sicherheitsstufen für dieselbe oder unterschiedliche Kommunikationsvorrichtungen bereitstellen.
  • Die vorstehend beschriebenen Verfahren, Vorrichtungen, Techniken und Logik können in vielen verschiedenen Wegen in vielen verschiedenen Kombinationen von Hardware, Software oder Firmware oder sowohl Hardware als auch Software implementiert werden. Beispielsweise können das gesamte System oder Teile des Systems unterschiedliche Schaltungsanordnungen in einer Steuerungseinrichtung, einem Mikroprozessor oder einer anwendungsspezifischen integrierten Schaltung (ASIC) aufweisen, oder kann mit diskreter Logik oder Komponenten oder einer Kombination von anderen Arten analoger oder digitaler Schaltungsanordnungen in Kombination auf einer einzelnen integrierten Schaltung oder verteilt über mehrere integrierte Schaltungen implementiert werden, die durch vertrauenswürdige Verbindungen verbunden sind. Die gesamte oder ein Teil der vorstehend beschriebenen Logik kann als Instruktionen zur Ausführung durch eine Prozessor, eine Steuerungseinrichtung oder eine andere Verarbeitungsvorrichtung implementiert werden und in einem konkreten oder nichtflüchtigen maschinenlesbaren oder computerlesbaren Medium wie einem Flash-Speicher (FLASH), einem Speicher mit wahlfreiem Zugriff (RAM) oder einem Nur-Lese-Speicher (ROM), in einen programmierbaren Nur-Lese-Speicher (PROM), in einem löschbaren programmierbaren Nur-Lese-Speicher (EPROM) oder einem anderen maschinenlesbaren Medium wie eine Compact-Disk-Nur-Lese-Speicher (CDROM) oder einer magnetischen oder optischen Disk gespeichert werden. Somit kann ein Produkt wie ein Computerprogrammprodukt ein Speichermedium und computerlesbare Instruktionen aufweisen, die auf dem Medium gespeichert sind, die, wenn in einem Endpunkt, einem Computersystem oder einer anderen Vorrichtung ausgeführt, die Vorrichtung veranlassen, Operationen entsprechend irgendeiner der vorstehend beschriebenen Beschreibungen durchzuführen.
  • Die Verarbeitungsfähigkeit des Systems kann unter mehreren Komponenten wie unter mehreren Prozessoren und Speichern verteilt sein, die optional mehrere verteilte Verarbeitungssysteme aufweisen. Parameter, Datenbanken und andere Datenstrukturen können separat gespeichert und verwaltet werden, können in einem einzelnen Speicher oder eine Datenbank eingebracht werden, können logisch und physikalisch in vielen unterschiedlichen Weisen organisiert werden, und können in vielerlei Weise implementiert werden, die beispielsweise Datenstrukturen wie verlinkte Listen, Hash-Tabellen oder implizite Speichermechanismen aufweisen. Programme können Teile (beispielsweise Subroutinen) eines einzelnen Programms, separate Programme, über verschiedenen Speicher und Prozessoren verteilt sein, oder in vielen unterschiedlichen Weisen wie in einer Bibliothek, einer gemeinsam benutzen Bibliothek (beispielsweise einer Dynamic-Link-Libary (DLL)) implementiert werden. Die DLL kann beispielsweise Code speichern, der irgendeine der vorstehenden beschriebenen Systemverarbeitungen durchführt.
  • Während verschiedene Ausführungsbeispiele beschrieben worden sind, sind viele weitere Ausführungsbeispiele und Implementierungen möglich. Dementsprechend ist die Beschreibung nicht beschränkend.
  • Ein gesichertes Kommunikationsnetzwerk kann einen Server einschließlich eines Authentifizierungs-Backends aufweisen, wobei das Authentifizierungs-Backend zum Kommunizieren mit einem Authenifizierungs-Frontend einer Kommunikationsvorrichtung konfiguriert ist. Ein Server-Applet kann mit dem Authentifizierungs-Backend assoziiert sein. Das Server-Applet kann ein Zugriffsrecht, das mit der Kommunikationsvorrichtung assoziiert ist, authentifizieren und eine Sicherheitsstufe für die Kommunikation mit der Kommunikationsvorrichtung auf der Grundlage von aus dem Authentifizieungs-Frontend empfangenen Informationen herstellen.

Claims (20)

  1. Gesichertes Kommunikationsnetzwerk mit: einem Server, der ein Authentifizierungs-Backend aufweist, wobei das Authentifizierungs-Backend konfiguriert ist, mit einem Authentifizierungs-Frontend einer Kommunikationsvorrichtung zu kommunizieren, und einem Server-Applet, das mit dem Authentifizierungs-Backend assoziiert ist, wobei das Server-Applet ein mit der Kommunikationsvorrichtung assoziiertes Zugriffsrecht authentifiziert und eine Sicherheitsstufe für die Kommunikation mit der Kommunikationsvorrichtung auf der Grundlage von Informationen herstellt, die aus dem Authentifizierungs-Frontend empfangen werden, wobei wenn die Kommunikationsvorrichtung zusätzliche Authentifizierungsinformationen empfängt, das Server-Applet die Sicherheitsstufe auf der Grundlage der zusätzlichen Authentifizierungsinformationen ändert.
  2. Gesichertes Kommunikationsnetzwerk nach Anspruch 1, wobei die Sicherheitsstufe zumindest zum Teil auf der Grundlage von eines Orts der Kommunikationsvorrichtung bestimmt wird.
  3. Gesichertes Kommunikationsnetzwerk nach Anspruch 1, wobei die Kommunikation eine Kommunikation durch einen Netzwerk-Port aufweist.
  4. Gesichertes Kommunikationsnetzwerk nach Anspruch 1, wobei die Kommunikationsvorrichtung eine Mobilvorrichtung aufweist.
  5. Gesichertes Kommunikationsnetzwerk nach Anspruch 1, wobei die Sicherheitsstufe auf einem gegenwärtigen Kommunikationsprotokoll der Kommunikationsvorrichtung beruht.
  6. Gesichertes Kommunikationsnetzwerk nach Anspruch 5, wobei die Kommunikationseinrichtung konfiguriert ist, zwischen Nahfeldkommunikation, Bluetooth, Wireless Fidelity und Zellular zu wechseln.
  7. Gesichertes Kommunikationsnetzwerk nach Anspruch 6, wobei die Kommunikationseinrichtungen auf einer einzelnen integrierten Schaltung der Kommunikationsvorrichtung konfiguriert sind.
  8. Gesichertes Kommunikationsnetzwerk nach Anspruch 1, wobei der Server-Applet eine Sicherheitsstufe auf der Grundlage eines externen Authentifizierungselements ändert.
  9. Gesichertes Kommunikationsnetzwerk nach Anspruch 8, wobei das externe Authentifizierungselement biometrische Informationen eines Anwenders aufweist.
  10. Gesichertes Kommunikationsnetzwerk nach Anspruch 9, wobei das externe Authentifizierungselement Umgebungsinformationen aufweist.
  11. Gesichertes Kommunikationsnetzwerk nach Anspruch 1, wobei das Server-Applet mit Hardware konfiguriert ist.
  12. Verfahren zur Sicherung eines Kommunikationsnetzwerks mit: Empfangen einer Anforderung aus einer Kommunikationsvorrichtung zur Verbindung mit einem Server, Authentifizieren eines Anwenders der Kommunikationsvorrichtung, und Herstellen einer Sicherheitsstufe für die Kommunikationsvorrichtung, falls der Anwender authentifiziert wird, wobei die Sicherheitsstufe auf der Grundlage von Informationen hergestellt wird, die aus dem Authentifizierungs-Frontend empfangen werden, Empfangen zusätzlicher Authentifizierungsinformationen durch die Kommunikationsvorrichtung, und Ändern der Sicherheitsstufe auf der Grundlage der zusätzlichen Authentifizierungsinformationen.
  13. Verfahren nach Anspruch 12, wobei die Sicherheitsstufe auf der Grundlage von eines Orts der Kommunikationsvorrichtung bestimmt wird.
  14. Verfahren nach Anspruch 13, wobei die Anforderung zur Verbindung zu einem Netzwerkserver durch einen Netzwerk-Port empfangen wird.
  15. Verfahren nach Anspruch 12, wobei die Sicherheitsstufe auf einer gegenwärtigen Kommunikationseinrichtung der Kommunikationsvorrichtung beruht.
  16. Verfahren nach Anspruch 12, weiterhin mit Ändern der Sicherheitsstufe auf der Grundlage eines externen Authentifizierungselements.
  17. Verfahren nach Anspruch 16, wobei das externe Authentifizierungselement biometrische Informationen eines Anwenders aufweist.
  18. Kommunikationsvorrichtung mit: einem Netzwerk-Port, einem Applet zur Bereitstellung einer gesicherten Verbindung mit einem Kommunikationsnetzwerk durch den Netzwerk-Port, und einem Authentifizierungs-Frontend, das mit dem Applet verbunden ist, wobei der Authentifizierungs-Frontend dazu eingerichtet ist, Informationen zu einem Authentifizierungs-Backend eines Servers zu senden, und die Informationen dazu dienen, eine Sicherheitsstufe für die gesicherte Verbindung mit dem Server über das Kommunikationsnetzwerk herzustellen, wobei die Kommunikationsvorrichtung dazu eingerichtet ist, zusätzliche Authentifizierungsinformationen zu empfangen und an das Authentifizierungs-Frontend weiterzuleiten, wodurch sich die Sicherheitsstufe auf der Grundlage der zusätzlichen Authentifizierungsinformationen ändert, indem eine neue Sicherheitsstufe hergestellt wird.
  19. Kommunikationsvorrichtung nach Anspruch 18, wobei die Informationen einen Ort eines Anwenders der Kommunikationsvorrichtung aufweisen.
  20. Kommunikationsvorrichtung nach Anspruch 18, weiterhin mit einer gesicherten Zone des Applets, wobei die gesicherte Zone Hardware aufweist.
DE102014207704.4A 2013-04-26 2014-04-24 Verfahren und systeme zur gesicherten authentifizierung von anwendungen in einem netzwerk Active DE102014207704B4 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201361816430P 2013-04-26 2013-04-26
US61/816,430 2013-04-26
US13/904,426 2013-05-29
US13/904,426 US9282086B2 (en) 2013-04-26 2013-05-29 Methods and systems for secured authentication of applications on a network

Publications (2)

Publication Number Publication Date
DE102014207704A1 DE102014207704A1 (de) 2014-10-30
DE102014207704B4 true DE102014207704B4 (de) 2019-11-28

Family

ID=51685266

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014207704.4A Active DE102014207704B4 (de) 2013-04-26 2014-04-24 Verfahren und systeme zur gesicherten authentifizierung von anwendungen in einem netzwerk

Country Status (2)

Country Link
CN (1) CN104125066B (de)
DE (1) DE102014207704B4 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109548024B (zh) * 2015-05-20 2021-12-21 玉环看知信息科技有限公司 一种网络安全管理设备、方法和移动终端
CN107888956A (zh) * 2017-11-01 2018-04-06 深圳智英电子有限公司 基于北斗卫星定位的指纹识别认证数字机顶盒及控制方法
CN109522726A (zh) * 2018-10-16 2019-03-26 平安万家医疗投资管理有限责任公司 小程序的鉴权方法、服务器及计算机可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020169874A1 (en) * 2001-05-09 2002-11-14 Batson Elizabeth A. Tailorable access privileges for services based on session access characteristics
WO2003062969A1 (en) * 2002-01-24 2003-07-31 Activcard Ireland, Limited Flexible method of user authentication
US20050097320A1 (en) * 2003-09-12 2005-05-05 Lior Golan System and method for risk based authentication

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6075863A (en) * 1996-02-28 2000-06-13 Encanto Networks Intelligent communication device
CN1285931A (zh) * 1997-11-12 2001-02-28 布克哈姆技术有限公司 用于改变光束的光路长度和相位的光学系统和方法
JP3544918B2 (ja) * 2000-04-28 2004-07-21 株式会社東芝 無線通信装置及びユーザ認証方法
CN101582769B (zh) * 2009-07-03 2012-07-04 杭州华三通信技术有限公司 用户接入网络的权限设置方法和设备
CN102387150B (zh) * 2011-10-31 2014-11-26 天地融科技股份有限公司 移动存储器的访问控制方法、系统及移动存储器

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020169874A1 (en) * 2001-05-09 2002-11-14 Batson Elizabeth A. Tailorable access privileges for services based on session access characteristics
WO2003062969A1 (en) * 2002-01-24 2003-07-31 Activcard Ireland, Limited Flexible method of user authentication
US20050097320A1 (en) * 2003-09-12 2005-05-05 Lior Golan System and method for risk based authentication

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Wikipedia: Java-Applet, 08. April 2013, URL: https://de.wikipedia.org/w/index.php?title=Java-Applet&oldid=117259748. *
Wikipedia: Servlet, 30.März 2013, URL: https://de.wikipedia.org/w/index.php?title=Servlet&oldid=116192407. *

Also Published As

Publication number Publication date
DE102014207704A1 (de) 2014-10-30
CN104125066A (zh) 2014-10-29
CN104125066B (zh) 2018-01-26

Similar Documents

Publication Publication Date Title
EP3574625B1 (de) Verfahren zum durchführen einer authentifizierung
US9282086B2 (en) Methods and systems for secured authentication of applications on a network
EP2997550B2 (de) Verfahren zur zugriffskontrolle
EP2533172B2 (de) Gesicherter Zugriff auf Daten in einem Gerät
DE102016226311A1 (de) Authentifizierung eines lokalen gerätes
EP3764614B1 (de) Verteiltes authentifizierungssystem
WO2016128446A1 (de) Computerimplementiertes verfahren zur zugriffskontrolle
EP3246839B1 (de) Zugangskontrolle mit einem mobilfunkgerät
DE102012219618A1 (de) Verfahren zur Erzeugung eines Soft-Tokens, Computerprogrammprodukt und Dienst-Computersystem
DE102016114234A1 (de) Vorrichtung und Verfahren zum Steuern eines Fahrzeugs unter Verwendung eines Benutzerendgerätes
EP4128695B1 (de) Personalisierter, serverindividueller authentifizierungsmechanismus
DE102014207704B4 (de) Verfahren und systeme zur gesicherten authentifizierung von anwendungen in einem netzwerk
EP3908946B1 (de) Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät
WO2012150160A1 (de) Beantwortung von anfragen mittels des kommunikationsendgeräts eines nutzers
WO2018015481A1 (de) Authentifizierungsverfahren zur authentifizierung eines benutzers eines endgeräts
EP2199944A2 (de) Verfahren zur Authentifizierung einer Person gegenüber einer elektronischen Datenverarbeitungsanlage mittels eines elektronischen Schlüssels
DE112017002726T5 (de) Kommunikationssicherheitssysteme und verfahren
DE102022130077A1 (de) Systeme und verfahren zum sicheren verwalten von fahrzeuginformationen
EP2783320B1 (de) Verfahren zum authentisieren einer person an einer serverinstanz
WO2017186445A1 (de) Verfahren zur sicheren interaktion eines nutzers mit einem mobilen endgerät und einer weiteren instanz
EP3882796A1 (de) Nutzerauthentifizierung unter verwendung zweier unabhängiger sicherheitselemente
EP2397960B1 (de) Verfahren zum Lesen von Attributen aus einem ID-Token über eine Telekommunikations-Chipkarte und ein Server-Computersystem
EP2933769A1 (de) Transaktionsverfahren
DE102018004996A1 (de) Überprüfung einer Ortsinformation
DE102014211839A1 (de) Verfahren zum Authentifizieren einer Entität

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R083 Amendment of/additions to inventor(s)
R082 Change of representative

Representative=s name: BOSCH JEHLE PATENTANWALTSGESELLSCHAFT MBH, DE

R081 Change of applicant/patentee

Owner name: AVAGO TECHNOLOGIES INTERNATIONAL SALES PTE. LT, SG

Free format text: FORMER OWNER: BROADCOM CORPORATION, IRVINE, CALIF., US

Owner name: AVAGO TECHNOLOGIES GENERAL IP (SINGAPORE) PTE., SG

Free format text: FORMER OWNER: BROADCOM CORPORATION, IRVINE, CALIF., US

R082 Change of representative

Representative=s name: BOSCH JEHLE PATENTANWALTSGESELLSCHAFT MBH, DE

R081 Change of applicant/patentee

Owner name: AVAGO TECHNOLOGIES INTERNATIONAL SALES PTE. LT, SG

Free format text: FORMER OWNER: AVAGO TECHNOLOGIES GENERAL IP (SINGAPORE) PTE. LTD., SINGAPORE, SG

R082 Change of representative

Representative=s name: BOSCH JEHLE PATENTANWALTSGESELLSCHAFT MBH, DE

R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final