DE102017121497A1 - Netzwerkentität zum verwalten eines passwortes eines nutzers - Google Patents

Netzwerkentität zum verwalten eines passwortes eines nutzers Download PDF

Info

Publication number
DE102017121497A1
DE102017121497A1 DE102017121497.6A DE102017121497A DE102017121497A1 DE 102017121497 A1 DE102017121497 A1 DE 102017121497A1 DE 102017121497 A DE102017121497 A DE 102017121497A DE 102017121497 A1 DE102017121497 A1 DE 102017121497A1
Authority
DE
Germany
Prior art keywords
password
network entity
data
end server
over
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017121497.6A
Other languages
English (en)
Inventor
Magnus Harlander
Alexander Bluhm
Zaur Molotnikov
Viktor Ulrich
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Genua GmbH
Original Assignee
Genua GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Genua GmbH filed Critical Genua GmbH
Priority to DE102017121497.6A priority Critical patent/DE102017121497A1/de
Publication of DE102017121497A1 publication Critical patent/DE102017121497A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung betrifft eine Netzwerkentität (100) zum Verwalten eines Passwortes eines Nutzers. Die Netzwerkentität (100) umfasst einen Frontend-Server (101), welcher ausgebildet ist, eine Kommunikationsnachricht mit dem Passwort über ein Kommunikationsnetzwerk zu empfangen, und das Passwort über eine erste Datenverbindung auszusenden, eine Datendiode (103), welche ausgebildet ist, das Passwort über einen Vorwärtskanal der Datendiode (103) weiterzuleiten, wobei die Datendiode (103) ausgebildet ist, das Passwort über die erste Datenverbindung zu empfangen, und das Passwort über eine zweite Datenverbindung auszusenden, und einen Backend-Server (105), welcher ausgebildet ist, das Passwort über die zweite Datenverbindung zu empfangen, eine kryptographische Hashfunktion auf das Passwort anzuwenden, um einen Hashwert des Passwortes zu erhalten, und den Hashwert des Passwortes zu speichern. Der Backend-Server (105) kann eine Datenbank (107) umfassen, welche ausgebildet ist, den Hashwert des Passwortes zu speichern. Der Backend-Server (105) kann ferner einen kryptographischen Coprozessor (109) umfassen, welcher ausgebildet ist, die kryptographische Hashfunktion anzuwenden.

Description

  • Die vorliegende Erfindung betrifft das Gebiet der Passwortverwaltung.
  • Passwörter von Nutzern können auf verschiedenste Weise, beispielsweise in kryptographisch gesicherter Form unter Verwendung von Hashwerten und Salts, in einer Datenbank abgelegt sein. Häufig wird bei der Passwortverwaltung auf die Verwendung von Hashwerten oder Salts verzichtet, da Ansätze zur Aktualisierung der kryptographischen Schutzmechanismen gegenwärtig nicht standardisiert sind und somit mit einem hohen Implementierungsaufwand verbunden sind.
  • Im Falle eines Datenlecks in der Datenbank, sind die Passwörter bzw. Hashwerte typischerweise Wörterbuchangriffen oder Brute-Force-Angriffen ausgesetzt. Die Erfolgsaussichten von potentiellen Angreifern können beispielsweise dadurch steigen, dass neue Schwächen in den verwendeten kryptographischen Hashfunktionen entdeckt werden.
  • Eine Aktualisierung der verwendeten kryptographischen Hashfunktion erfordert jedoch typischerweise, dass alle Passwörter der Nutzer im Klartext vor der Aktualisierung der kryptographischen Hashfunktion erneut bereitgestellt werden. Dabei wird die neue kryptographische Hashfunktion auf jedes erneut verfügbare Passwort im Klartext angewendet, beispielsweise bei einem erneuten Login eines Nutzers. Die vollständige Aktualisierung erfordert dabei viel Zeit und ist nicht immer möglich. Insbesondere ist die Datenbank mit den Passwörtern in dieser Zeit besonders angreifbar.
  • Es ist daher eine Aufgabe der vorliegenden Erfindung, ein effizientes Konzept zum Verwalten eines Passwortes eines Nutzers zu schaffen.
  • Diese und weitere Aufgaben werden durch die Merkmale der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungsformen sind Gegenstand der abhängigen Patentansprüche, der Beschreibung sowie der Zeichnungen.
  • Die Erfindung basiert auf der Erkenntnis, dass die obige Aufgabe durch eine Netzwerkentität in einem Kommunikationsnetzwerk gelöst werden kann, welche einen Frontend-Server, eine Datendiode und einen Backend-Server umfasst, wobei die Datendiode zwischen dem Frontend-Server und Backend-Server eingebracht ist. Ein Passwort eines Nutzers wird durch den Frontend-Server über das Kommunikationsnetzwerk empfangen und über die Datendiode zu dem Backend-Server übertragen, welcher das Passwort kryptographisch gesichert in Form eines Hashwertes speichert. Durch die Datendiode wird erreicht, dass ein Datenleck in dem Backend-Server wirksam verhindert werden kann, und der Hashwert des Passwortes nicht direkt über das Kommunikationsnetzwerk zugänglich ist. Der Frontend-Server kann einer ersten Sicherheitsdomäne zugeordnet sein, welche geringe Sicherheitsanforderungen aufweist, und der Backend-Server kann einer zweiten Sicherheitsdomäne zugeordnet sein, welche hohe Sicherheitsanforderungen aufweist.
  • Der Backend-Server kann ferner eine Aktualisierung des Hashwertes des Passwortes durchführen, indem eine weitere kryptographische Hashfunktion auf den bereits gespeicherten Hashwert angewendet wird und diesen ersetzt. Folglich kann auf eine erneute Bereitstellung des Passwortes verzichtet werden und eine automatisierte Aktualisierung der verwendeten kryptographischen Hashfunktionen realisiert werden.
  • Für eine nachfolgende Authentifizierung des Nutzers über das Kommunikationsnetzwerk kann der Frontend-Server ferner ein Vergleichspasswort über das Kommunikationsnetzwerk empfangen, und über die Datendiode zu dem Backend-Server übertragen. Der Backend-Server kann daraufhin einen Vergleichshashwert des Vergleichspasswortes bestimmen, und diesen mit dem gespeicherten Hashwert vergleichen, um den Nutzer zu authentifizieren. Ein Authentifizierungsindikator, welcher die erfolgreiche Authentifizierung des Nutzers anzeigt, kann anschließend über einen Rückkanal der Datendiode zu dem Frontend-Server übertragen werden. Folglich kann die Netzwerkentität zur Authentifizierung des Nutzers über das Kommunikationsnetzwerk eingesetzt werden, wobei die kryptographischen Hashfunktionen in einer gesicherten Umgebung hinter der Datendiode durch den Backend-Server angewendet werden können.
  • Das Konzept kann entsprechend zur Verwaltung einer Mehrzahl von Passwörtern einer Mehrzahl von Nutzern verwendet werden. Ferner kann eine Authentifizierung der jeweiligen Nutzer über das Kommunikationsnetzwerk effizient realisiert werden.
  • Gemäß einem ersten Aspekt betrifft die Erfindung eine Netzwerkentität zum Verwalten eines Passwortes eines Nutzers. Die Netzwerkentität umfasst einen Frontend-Server, welcher ausgebildet ist, eine Kommunikationsnachricht mit dem Passwort über ein Kommunikationsnetzwerk zu empfangen, das Passwort aus der Kommunikationsnachricht zu extrahieren, und das Passwort über eine erste Datenverbindung auszusenden. Die Netzwerkentität umfasst ferner eine Datendiode, welche ausgebildet ist, das Passwort über einen Vorwärtskanal der Datendiode weiterzuleiten, wobei die Datendiode ausgebildet ist, das Passwort über die erste Datenverbindung zu empfangen, und das Passwort über eine zweite Datenverbindung auszusenden. Die Netzwerkentität umfasst ferner einen Backend-Server, welcher ausgebildet ist, das Passwort über die zweite Datenverbindung zu empfangen, eine kryptographische Hashfunktion auf das Passwort anzuwenden, um einen Hashwert des Passwortes zu erhalten, und den Hashwert des Passwortes zu speichern, um das Passwort des Nutzers zu verwalten.
  • Die Datendiode ist im Allgemeinen vorgesehen, eine Weiterleitung beliebiger Daten in einer Hauptrichtung zuzulassen und eine Weiterleitung beliebiger Daten in einer Gegenrichtung zu sperren bzw. zu beschränken. Der Vorwärtskanal dient vorliegend insbesondere der unidirektionalen Weiterleitung des Passwortes in der Hauptrichtung, wobei das Passwort über die erste Datenverbindung empfangen und über die zweite Datenverbindung ausgesendet wird. Der Vorwärtskanal der Datendiode kann ausgebildet sein, ausschließlich das Passwort und gegebenenfalls ein Vergleichspasswort weiterzuleiten.
  • Gemäß einer Ausführungsform umfasst der Backend-Server eine Datenbank, wobei die Datenbank ausgebildet ist, den Hashwert des Passwortes zu speichern. Dadurch wird bewirkt, dass der Hashwert des Passwortes effizient gespeichert und verwaltet werden kann.
  • Gemäß einer Ausführungsform ist die kryptographische Hashfunktion eine der folgenden kryptographischen Hashfunktionen: Password-Based Key Derivation Function 1 (PBKDF1), Password-Based Key Derivation Function 2 (PBKDF2), Keyed-Hash Message Authentication Code (HMAC), oder Argon2. Insbesondere kann ein HMAC-SHA256 als Keyed-Hash Message Authentication Code (HMAC) verwendet werden. Dadurch wird bewirkt, dass die verwendete kryptographische Hashfunktion effizient implementiert werden kann.
  • Gemäß einer Ausführungsform ist der Backend-Server ausgebildet, eine weitere kryptographische Hashfunktion auf den Hashwert des Passwortes anzuwenden, um einen weiteren Hashwert des Passwortes zu erhalten, und den Hashwert durch den weiteren Hashwert zu ersetzen. Dadurch wird bewirkt, dass auf eine erneute Bereitstellung des Passwortes bei einer Aktualisierung der verwendeten kryptographischen Hashfunktion verzichtet werden kann.
  • Gemäß einer Ausführungsform ist die weitere kryptographische Hashfunktion eine der folgenden weiteren kryptographischen Hashfunktionen: Password-Based Key Derivation Function 1 (PBKDF1), Password-Based Key Derivation Function 2 (PBKDF2), Keyed-Hash Message Authentication Code (HMAC), oder Argon2. Insbesondere kann ein HMAC-SHA256 als Keyed-Hash Message Authentication Code (HMAC) verwendet werden.
  • Dadurch wird bewirkt, dass die verwendete weitere kryptographische Hashfunktion effizient implementiert werden kann.
  • Gemäß einer Ausführungsform sind die kryptographische Hashfunktion und die weitere kryptographische Hashfunktion unterschiedlich. Dadurch wird bewirkt, dass eine automatisierte Aktualisierung der verwendeten Hashfunktionen effizient realisiert werden kann. Insbesondere kann die weitere kryptographische Hashfunktion eine neu entwickelte kryptographische Hashfunktion sein, welche beispielsweise eine verbesserte Widerstandsfähigkeit gegen kryptographische Angriffe aufweist.
  • Gemäß einer Ausführungsform ist der Frontend-Server ausgebildet, eine weitere Kommunikationsnachricht mit einem Vergleichspasswort über das Kommunikationsnetzwerk zu empfangen, das Vergleichspasswort aus der weiteren Kommunikationsnachricht zu extrahieren, und das Vergleichspasswort über die erste Datenverbindung auszusenden, wobei die Datendiode ausgebildet ist, das Vergleichspasswort über den Vorwärtskanal der Datendiode weiterzuleiten, wobei die Datendiode ausgebildet ist, das Vergleichspasswort über die erste Datenverbindung zu empfangen, und das Vergleichspasswort über die zweite Datenverbindung auszusenden, und wobei der Backend-Server ausgebildet ist, das Vergleichspasswort über die zweite Datenverbindung zu empfangen, die kryptographische Hashfunktion auf das Vergleichspasswort anzuwenden, um einen Vergleichshashwert des Vergleichspasswortes zu erhalten, den Hashwert des Passwortes mit dem Vergleichshashwert des Vergleichspasswortes zu vergleichen, und einen Authentifizierungsindikator zu erzeugen falls der Hashwert dem Vergleichshashwert entspricht. Dadurch wird bewirkt, dass eine effiziente Authentifizierung des Nutzers in einer gesicherten Umgebung hinter der Datendiode durch den Backend-Server realisiert werden kann.
  • Gemäß einer Ausführungsform ist der Backend-Server ausgebildet, die weitere kryptographische Hashfunktion auf den Vergleichshashwert des Vergleichspasswortes anzuwenden, um einen weiteren Vergleichshashwert des Vergleichspasswortes zu erhalten, und den Vergleichshashwert durch den weiteren Vergleichshashwert zu ersetzen. Dadurch wird bewirkt, dass eine Authentifizierung des Nutzers nach einer Aktualisierung der verwendeten Hashfunktionen realisiert werden kann.
  • Gemäß einer Ausführungsform ist der Backend-Server ausgebildet, den Authentifizierungsindikator über die zweite Datenverbindung auszusenden, wobei die Datendiode ausgebildet ist, den Authentifizierungsindikator über einen Rückkanal der Datendiode weiterzuleiten, wobei die Datendiode ausgebildet ist, den Authentifizierungsindikator über die zweite Datenverbindung zu empfangen, und den Authentifizierungsindikator über die erste Datenverbindung auszusenden, und wobei der Frontend-Server ausgebildet ist, den Authentifizierungsindikator über die erste Datenverbindung zu empfangen. Dadurch wird bewirkt, dass eine Authentifizierung des Nutzers effizient signalisiert werden kann.
  • Der Rückwärtskanal dient vorliegend insbesondere der unidirektionalen Weiterleitung des Authentifizierungsindikators in der Gegenrichtung, wobei der Authentifizierungsindikator über die zweite Datenverbindung empfangen und über die erste Datenverbindung ausgesendet wird. Der Rückwärtskanal der Datendiode kann ausgebildet sein, ausschließlich den Authentifizierungsindikator weiterzuleiten.
  • Gemäß einer Ausführungsform ist die Datendiode ausgebildet, den Hashwert des Passwortes nicht über den Rückkanal der Datendiode weiterzuleiten. Der Rückkanal ist folglich gesperrt für den Hashwert des Passwortes. Dadurch wird bewirkt, dass der Hashwert des Passwortes nicht über das Kommunikationsnetzwerk zugänglich ist.
  • Gemäß einer Ausführungsform umfasst der Backend-Server einen kryptographischen Coprozessor, welcher ausgebildet ist, die kryptographische Hashfunktion anzuwenden. Dadurch wird bewirkt, dass die kryptographische Hashfunktion effizient angewendet werden kann.
  • Gemäß einer Ausführungsform ist der kryptographische Coprozessor ferner ausgebildet, die weitere kryptographische Hashfunktion anzuwenden. Dadurch wird bewirkt, dass die weitere kryptographische Hashfunktion effizient angewendet werden kann.
  • Gemäß einer Ausführungsform ist der Frontend-Server einer ersten Sicherheitsdomäne zugeordnet, wobei der Backend-Server einer zweiten Sicherheitsdomäne zugeordnet ist. Die erste Sicherheitsdomäne kann beispielsweise geringere Sicherheitsanforderungen aufweisen als die zweite Sicherheitsdomäne. Dadurch wird bewirkt, dass durch die Datendiode zwei Sicherheitsdomänen effizient voneinander getrennt werden können.
  • Gemäß einem zweiten Aspekt betrifft die Erfindung eine Anordnung zum Verwalten eines Passwortes eines Nutzers. Die Anordnung umfasst eine Netzwerkentität gemäß dem ersten Aspekt der Erfindung, und eine weitere Netzwerkentität gemäß dem ersten Aspekt der Erfindung, wobei der Frontend-Server der Netzwerkentität und der weitere Frontend-Server der weiteren Netzwerkentität über das Kommunikationsnetzwerk miteinander verbunden sind.
  • Gemäß einer Ausführungsform ist der Frontend-Server der Netzwerkentität ausgebildet, die Kommunikationsnachricht mit dem Passwort an den weiteren Frontend-Server der weiteren Netzwerkentität über das Kommunikationsnetzwerk weiterzuleiten. Dadurch wird bewirkt, dass die Kommunikationsnachricht mit dem Passwort sowohl durch die Netzwerkentität als auch durch die weitere Netzwerkentität weiterverarbeitet werden kann, und der Hashwert des Passwortes folglich redundant in beiden Netzwerkentitäten gespeichert werden kann.
  • Gemäß einem dritten Aspekt betrifft die Erfindung ein Verfahren zum Verwalten eines Passwortes eines Nutzers mittels einer Netzwerkentität, wobei die Netzwerkentität einen Frontend-Server, eine Datendiode und einen Backend-Server umfasst, und wobei die Datendiode ausgebildet ist, das Passwort über einen Vorwärtskanal der Datendiode weiterzuleiten. Das Verfahren umfasst ein Empfangen einer Kommunikationsnachricht mit dem Passwort über ein Kommunikationsnetzwerk durch den Frontend-Server, ein Extrahieren des Passwortes aus der Kommunikationsnachricht durch den Frontend-Server, ein Aussenden des Passwortes über eine erste Datenverbindung durch den Frontend-Server, ein Empfangen des Passwortes über die erste Datenverbindung durch die Datendiode, ein Aussenden des Passwortes über eine zweite Datenverbindung durch die Datendiode, ein Empfangen des Passwortes über die zweite Datenverbindung durch den Backend-Server, ein Anwenden einer kryptographischen Hashfunktion auf das Passwort durch den Backend-Server, um einen Hashwert des Passwortes zu erhalten, und ein Speichern des Hashwertes des Passwortes durch den Backend-Server, um das Passwort des Nutzers zu verwalten.
  • Das Verfahren kann durch die Netzwerkentität ausgeführt werden. Weitere Merkmale des Verfahrens resultieren unmittelbar aus den Merkmalen oder der Funktionalität der Netzwerkentität.
  • Gemäß einem vierten Aspekt betrifft die Erfindung ein Computerprogramm mit einem Programmcode zum Ausführen des Verfahrens gemäß dem dritten Aspekt der Erfindung.
  • Weitere Ausführungsformen der Erfindung werden Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:
    • 1 ein schematisches Diagramm einer Netzwerkentität zum Verwalten eines Passwortes eines Nutzers;
    • 2 ein schematisches Diagramm einer Anordnung zum Verwalten eines Passwortes eines Nutzers;
    • 3 ein schematisches Diagramm eines Verfahrens zum Verwalten eines Passwortes eines Nutzers; und
    • 4 ein schematisches Diagramm einer Datendiode zum Weiterleiten eines Passwortes über einen Vorwärtskanal der Datendiode.
  • 1 zeigt ein schematisches Diagramm einer Netzwerkentität 100 zum Verwalten eines Passwortes eines Nutzers. Die Netzwerkentität 100 umfasst einen Frontend-Server 101, welcher ausgebildet ist, eine Kommunikationsnachricht mit dem Passwort über ein Kommunikationsnetzwerk zu empfangen, das Passwort aus der Kommunikationsnachricht zu extrahieren, und das Passwort über eine erste Datenverbindung auszusenden. Die Netzwerkentität 100 umfasst ferner eine Datendiode 103, welche ausgebildet ist, das Passwort über einen Vorwärtskanal der Datendiode 103 weiterzuleiten, wobei die Datendiode 103 ausgebildet ist, das Passwort über die erste Datenverbindung zu empfangen, und das Passwort über eine zweite Datenverbindung auszusenden. Die Netzwerkentität 100 umfasst ferner einen Backend-Server 105, welcher ausgebildet ist, das Passwort über die zweite Datenverbindung zu empfangen, eine kryptographische Hashfunktion auf das Passwort anzuwenden, um einen Hashwert des Passwortes zu erhalten, und den Hashwert des Passwortes zu speichern, um das Passwort des Nutzers zu verwalten.
  • Der Backend-Server 105 kann eine Datenbank 107 umfassen, wobei die Datenbank 107 ausgebildet ist, den Hashwert des Passwortes zu speichern. Die Datenbank 107 kann beispielsweise mittels eines Redundant Array of Independent Disks (RAID) implementiert sein, um die Robustheit der Datenbank 107 zu erhöhen.
  • Der Backend-Server 105 kann ausgebildet sein, eine weitere kryptographische Hashfunktion auf den Hashwert des Passwortes anzuwenden, um einen weiteren Hashwert des Passwortes zu erhalten, und den Hashwert durch den weiteren Hashwert zu ersetzen. Dadurch kann eine Verkettung von Hashwerten realisiert werden. Somit kann der Hashwert des Passworts bzw. das Passwort selbst geschützt bleiben, falls eine Schwäche der kryptographischen Hashfunktion entdeckt wird.
  • Der Backend-Server 105 kann ferner einen kryptographischen Coprozessor 109 umfassen, welcher ausgebildet ist, die kryptographische Hashfunktion und/oder die weitere kryptographische Hashfunktion anzuwenden. Der Backend-Server 105 kann zusätzliche kryptographische Coprozessoren umfassen, um die Anwendung der kryptographischen Hashfunktion und/oder der weiteren kryptographischen Hashfunktion zu beschleunigen.
  • Die Netzwerkentität 100 ermöglicht eine automatisierte Aktualisierung der verwendeten Hashfunktionen, wobei die weitere kryptographische Hashfunktion beispielsweise mittels einer abgesicherten Aktualisierungsfunktion im Backend-Server 105 bzw. im kryptographischen Coprozessor 109 implementiert werden kann. Durch die Verwendung der Datendiode 103 zwischen dem Frontend-Server 101 und dem Backend-Server 105 kann der Hashwert des Passwortes in der Datenbank 107 gespeichert sein, wobei Datenlecks der Datenbank 107 wirksam verhindert werden können.
  • Eine Aktualisierung der Funktionalität des Frontend-Servers 101 kann online über das Kommunikationsnetzwerk erfolgen, wobei eine Signatur der Aktualisierungsinformationen durch den Frontend-Server 101 vorab verifiziert werden kann. Eine Aktualisierung der Funktionalität des Backend-Servers 105 kann einen physikalischen Zugang zu dem Backend-Server 105 erfordern, wobei die Aktualisierungsinformationen mittels eines USB-Datenspeichers auf den Backend-Server 105 übertragen werden können, und wobei eine Signatur der Aktualisierungsinformationen durch den Backend-Server 105 vorab verifiziert werden kann. Der USB-Datenspeicher kann anschließend sicher gelöscht werden.
  • Die Kommunikation zwischen einem Client des Nutzers und dem Frontend-Server 101 über das Kommunikationsnetzwerk kann beispielsweise mittels einer Kommunikationsverbindung erfolgen, welche mittels Transport Layer Security (TLS) geschützt ist. Die Kommunikation kann unter Verwendung verschiedener Kommunikationsprotokolle, beispielsweise einem Lightweight Directory Access Protocol (LDAP), erfolgen. Der Frontend-Server 101 kann eine Festplattenverschlüsselung (engl. Full Disk Encryption, FDE) verwenden.
  • 2 zeigt ein schematisches Diagramm einer Anordnung 200 zum Verwalten eines Passwortes eines Nutzers. Die Anordnung 200 umfasst eine Netzwerkentität 100 und eine weitere Netzwerkentität 100a, wobei die Netzwerkentität 100 und die weitere Netzwerkentität 100a jeweils gemäß 1 ausgebildet sind. Die Netzwerkentität 100 umfasst einen Frontend-Server 101, eine Datendiode 103 und einen Backend-Server 105 mit einer Datenbank 107 und einem kryptographischen Coprozessor 109. Die weitere Netzwerkentität 100a umfasst einen weiteren Frontend-Server 101a, eine weitere Datendiode 103a und einen weiteren Backend-Server 105a mit einer weiteren Datenbank 107a und einem weiteren kryptographischen Coprozessor 109a.
  • Der Frontend-Server 101 der Netzwerkentität 100 und der weitere Frontend-Server 101a der weiteren Netzwerkentität 100a sind über ein Kommunikationsnetzwerk miteinander verbunden. Der Frontend-Server 101 der Netzwerkentität 100 ist ausgebildet, die Kommunikationsnachricht mit dem Passwort an den weiteren Frontend-Server 101a der weiteren Netzwerkentität 100a über das Kommunikationsnetzwerk weiterzuleiten.
  • Durch die Anordnung 200 kann eine Hochverfügbarkeit (engl. High Availability, HA) der Passwortverwaltung realisiert werden. Die Netzwerkentität 100 und die weitere Netzwerkentität 100a können jeweils vorab Transport Layer Security (TLS) Zertifikate austauschen, um sich gegenseitig mittels einer Verifikation von kryptographischen Schlüsseln bzw. Fingerprints zu authentifizieren.
  • 3 zeigt ein schematisches Diagramm eines Verfahrens 300 zum Verwalten eines Passwortes eines Nutzers mittels einer Netzwerkentität, wobei die Netzwerkentität einen Frontend-Server, eine Datendiode und einen Backend-Server umfasst, und wobei die Datendiode ausgebildet ist, das Passwort über einen Vorwärtskanal der Datendiode weiterzuleiten.
  • Das Verfahren 300 umfasst ein Empfangen 301 einer Kommunikationsnachricht mit dem Passwort über ein Kommunikationsnetzwerk durch den Frontend-Server, ein Extrahieren 303 des Passwortes aus der Kommunikationsnachricht durch den Frontend-Server, ein Aussenden 305 des Passwortes über eine erste Datenverbindung durch den Frontend-Server, ein Empfangen 307 des Passwortes über die erste Datenverbindung durch die Datendiode, ein Aussenden 309 des Passwortes über eine zweite Datenverbindung durch die Datendiode, ein Empfangen 311 des Passwortes über die zweite Datenverbindung durch den Backend-Server, ein Anwenden 313 einer kryptographischen Hashfunktion auf das Passwort durch den Backend-Server, um einen Hashwert des Passwortes zu erhalten, und ein Speichern 315 des Hashwertes des Passwortes durch den Backend-Server, um das Passwort des Nutzers zu verwalten.
  • 4 zeigt ein schematisches Diagramm einer Datendiode 103 zum Weiterleiten eines Passwortes über einen Vorwärtskanal der Datendiode 103. Die Datendiode 103 umfasst einen Speicher 401 mit einem ersten Speicherbereich 401a und einem zweiten Speicherbereich 401b. Die Datendiode 103 umfasst ferner eine erste Datenschnittstelle 403, welche ausgebildet ist, ein Passwort über eine erste Datenverbindung zu empfangen, und das Passwort in dem ersten Speicherbereich 401a zu speichern. Die Datendiode 103 umfasst ferner ein Filterelement 405, welches ausgebildet ist, das Passwort aus dem ersten Speicherbereich 401a auszulesen, und das Passwort in dem zweiten Speicherbereich 401b zu speichern. Die Datendiode 103 umfasst ferner eine zweite Datenschnittstelle 407, welche ausgebildet ist, das Passwort aus dem zweiten Speicherbereich 401b auszulesen, und das Passwort über eine zweite Datenverbindung auszusenden. Die Datendiode 103 kann ausgebildet sein, ausschließlich das Passwort über den Vorwärtskanal weiterzuleiten.
  • Entsprechend kann die Datendiode 103 ausgebildet sein, ein Vergleichspasswort über den Vorwärtskanal der Datendiode 103 weiterzuleiten. Die erste Datenschnittstelle 403 kann ausgebildet sein, das Vergleichspasswort über die erste Datenverbindung zu empfangen, und das Vergleichspasswort in dem ersten Speicherbereich 401a zu speichern. Das Filterelement 405 kann ausgebildet sein, das Vergleichspasswort aus dem ersten Speicherbereich 401a auszulesen, und das Vergleichspasswort in dem zweiten Speicherbereich 401b zu speichern. Die zweite Datenschnittstelle 407 kann ausgebildet sein, das Vergleichspasswort aus dem zweiten Speicherbereich 401b auszulesen, und das Vergleichspasswort über die zweite Datenverbindung auszusenden. Die Datendiode 103 kann ausgebildet sein, ausschließlich das Passwort und das Vergleichspasswort über den Vorwärtskanal weiterzuleiten.
  • Um einen Rückkanal der Datendiode 103 zum Weiterleiten eines Authentifizierungsindikators zu realisieren, kann der Speicher 401 ferner einen dritten Speicherbereich (nicht gezeigt) und einen vierten Speicherbereich (nicht gezeigt) umfassen. Die zweite Datenschnittstelle 407 kann ausgebildet sein, den Authentifizierungsindikator über die zweite Datenverbindung zu empfangen, und den Authentifizierungsindikator in dem dritten Speicherbereich zu speichern. Das Filterelement 405 kann ausgebildet sein, den Authentifizierungsindikator aus dem dritten Speicherbereich auszulesen und in dem vierten Speicherbereich zu speichern. Die erste Datenschnittstelle 403 kann ausgebildet sein, den Authentifizierungsindikator aus dem vierten Speicherbereich auszulesen und über die erste Datenverbindung auszusenden. Die Datendiode 103 kann ausgebildet sein, ausschließlich den Authentifizierungsindikator über den Rückkanal weiterzuleiten.
  • Das Filterelement 405 ist folglich vorgesehen, die Weiterleitung des Passwortes und/oder des Authentifizierungsindikators über die Datendiode 103 zu steuern. Insbesondere kann das Filterelement 405 vorgesehen sein, eine Weiterleitung eines Hashwertes eines Passwortes über den Rückkanal der Datendiode 103 wirksam zu verhindern.
  • Alle in Verbindung mit einzelnen Ausführungsformen der Erfindung gezeigten oder beschriebenen Merkmale können in beliebiger Kombination in dem erfindungsgemäßen Gegenstand vorgesehen sein, um gleichzeitig deren vorteilhafte Wirkungen zu realisieren.
  • Bezugszeichenliste
    • 100
    Netzwerkentität
    101
    Frontend-Server
    103
    Datendiode
    105
    Backend-Server
    107
    Datenbank
    109
    Kryptographischer Coprozessor
    100a
    Weitere Netzwerkentität
    101a
    Weiterer Frontend-Server
    103a
    Weitere Datendiode
    105a
    Weiterer Backend-Server
    107a
    Weitere Datenbank
    109a
    Weiterer kryptographischer Coprozessor
    200
    Anordnung
    300
    Verfahren zum Verwalten eines Passwortes eines Nutzers
    301
    Empfangen
    303
    Extrahieren
    305
    Aussenden
    307
    Empfangen
    309
    Aussenden
    311
    Empfangen
    313
    Anwenden
    315
    Speichern
    401
    Speicher
    401a
    Erster Speicherbereich
    401b
    Zweiter Speicherbereich
    403
    Erste Datenschnittstelle
    405
    Filterelement
    407
    Zweite Datenschnittstelle

Claims (15)

  1. Netzwerkentität (100) zum Verwalten eines Passwortes eines Nutzers, mit: einem Frontend-Server (101), welcher ausgebildet ist, eine Kommunikationsnachricht mit dem Passwort über ein Kommunikationsnetzwerk zu empfangen, das Passwort aus der Kommunikationsnachricht zu extrahieren, und das Passwort über eine erste Datenverbindung auszusenden; einer Datendiode (103), welche ausgebildet ist, das Passwort über einen Vorwärtskanal der Datendiode (103) weiterzuleiten, wobei die Datendiode (103) ausgebildet ist, das Passwort über die erste Datenverbindung zu empfangen, und das Passwort über eine zweite Datenverbindung auszusenden; und einem Backend-Server (105), welcher ausgebildet ist, das Passwort über die zweite Datenverbindung zu empfangen, eine kryptographische Hashfunktion auf das Passwort anzuwenden, um einen Hashwert des Passwortes zu erhalten, und den Hashwert des Passwortes zu speichern, um das Passwort des Nutzers zu verwalten.
  2. Netzwerkentität (100) nach Anspruch 1, wobei der Backend-Server (105) eine Datenbank (107) umfasst, wobei die Datenbank (107) ausgebildet ist, den Hashwert des Passwortes zu speichern.
  3. Netzwerkentität (100) nach einem der vorstehenden Ansprüche, wobei die kryptographische Hashfunktion eine der folgenden kryptographischen Hashfunktionen ist: Password-Based Key Derivation Function 1 (PBKDF1), Password-Based Key Derivation Function 2 (PBKDF2), Keyed-Hash Message Authentication Code (HMAC), oder Argon2.
  4. Netzwerkentität (100) nach einem der vorstehenden Ansprüche, wobei der Backend-Server (105) ausgebildet ist, eine weitere kryptographische Hashfunktion auf den Hashwert des Passwortes anzuwenden, um einen weiteren Hashwert des Passwortes zu erhalten, und den Hashwert durch den weiteren Hashwert zu ersetzen.
  5. Netzwerkentität (100) nach Anspruch 4, wobei die weitere kryptographische Hashfunktion eine der folgenden weiteren kryptographischen Hashfunktionen ist: Password-Based Key Derivation Function 1 (PBKDF1), Password-Based Key Derivation Function 2 (PBKDF2), Keyed-Hash Message Authentication Code (HMAC), oder Argon2.
  6. Netzwerkentität (100) nach einem der Ansprüche 4 oder 5, wobei die kryptographische Hashfunktion und die weitere kryptographische Hashfunktion unterschiedlich sind.
  7. Netzwerkentität (100) nach einem der vorstehenden Ansprüche, wobei der Frontend-Server (101) ausgebildet ist, eine weitere Kommunikationsnachricht mit einem Vergleichspasswort über das Kommunikationsnetzwerk zu empfangen, das Vergleichspasswort aus der weiteren Kommunikationsnachricht zu extrahieren, und das Vergleichspasswort über die erste Datenverbindung auszusenden, wobei die Datendiode (103) ausgebildet ist, das Vergleichspasswort über den Vorwärtskanal der Datendiode (103) weiterzuleiten, wobei die Datendiode (103) ausgebildet ist, das Vergleichspasswort über die erste Datenverbindung zu empfangen, und das Vergleichspasswort über die zweite Datenverbindung auszusenden, und wobei der Backend-Server (105) ausgebildet ist, das Vergleichspasswort über die zweite Datenverbindung zu empfangen, die kryptographische Hashfunktion auf das Vergleichspasswort anzuwenden, um einen Vergleichshashwert des Vergleichspasswortes zu erhalten, den Hashwert des Passwortes mit dem Vergleichshashwert des Vergleichspasswortes zu vergleichen, und einen Authentifizierungsindikator zu erzeugen falls der Hashwert dem Vergleichshashwert entspricht.
  8. Netzwerkentität (100) nach Anspruch 7, wobei der Backend-Server (105) ausgebildet ist, den Authentifizierungsindikator über die zweite Datenverbindung auszusenden, wobei die Datendiode (103) ausgebildet ist, den Authentifizierungsindikator über einen Rückkanal der Datendiode (103) weiterzuleiten, wobei die Datendiode (103) ausgebildet ist, den Authentifizierungsindikator über die zweite Datenverbindung zu empfangen, und den Authentifizierungsindikator über die erste Datenverbindung auszusenden, und wobei der Frontend-Server (101) ausgebildet ist, den Authentifizierungsindikator über die erste Datenverbindung zu empfangen.
  9. Netzwerkentität (100) nach Anspruch 8, wobei die Datendiode (103) ausgebildet ist, den Hashwert des Passwortes nicht über den Rückkanal der Datendiode (103) weiterzuleiten.
  10. Netzwerkentität (100) nach einem der vorstehenden Ansprüche, wobei der Backend-Server (105) einen kryptographischen Coprozessor (109) umfasst, welcher ausgebildet ist, die kryptographische Hashfunktion anzuwenden.
  11. Netzwerkentität (100) nach einem der vorstehenden Ansprüche, wobei der Frontend-Server (101) einer ersten Sicherheitsdomäne zugeordnet ist, und wobei der Backend-Server (105) einer zweiten Sicherheitsdomäne zugeordnet ist.
  12. Anordnung (200) zum Verwalten eines Passwortes eines Nutzers, mit: einer Netzwerkentität (100) nach einem der Ansprüche 1 bis 11; und einer weiteren Netzwerkentität (100a) nach einem der Ansprüche 1 bis 11; wobei der Frontend-Server (101) der Netzwerkentität (100) und der weitere Frontend-Server (101a) der weiteren Netzwerkentität (100a) über das Kommunikationsnetzwerk miteinander verbunden sind.
  13. Anordnung (200) nach Anspruch 12, wobei der Frontend-Server (101) der Netzwerkentität (100) ausgebildet ist, die Kommunikationsnachricht mit dem Passwort an den weiteren Frontend-Server (101a) der weiteren Netzwerkentität (100a) über das Kommunikationsnetzwerk weiterzuleiten.
  14. Verfahren (300) zum Verwalten eines Passwortes eines Nutzers mittels einer Netzwerkentität (100), wobei die Netzwerkentität (100) einen Frontend-Server (101), eine Datendiode (103) und einen Backend-Server (105) umfasst, wobei die Datendiode (103) ausgebildet ist, das Passwort über einen Vorwärtskanal der Datendiode (103) weiterzuleiten, mit: Empfangen (301) einer Kommunikationsnachricht mit dem Passwort über ein Kommunikationsnetzwerk durch den Frontend-Server (101); Extrahieren (303) des Passwortes aus der Kommunikationsnachricht durch den Frontend-Server (101); Aussenden (305) des Passwortes über eine erste Datenverbindung durch den Frontend-Server (101); Empfangen (307) des Passwortes über die erste Datenverbindung durch die Datendiode (103); Aussenden (309) des Passwortes über eine zweite Datenverbindung durch die Datendiode (103); Empfangen (311) des Passwortes über die zweite Datenverbindung durch den Backend-Server (105); Anwenden (313) einer kryptographischen Hashfunktion auf das Passwort durch den Backend-Server (105), um einen Hashwert des Passwortes zu erhalten; und Speichern (315) des Hashwertes des Passwortes durch den Backend-Server (105), um das Passwort des Nutzers zu verwalten.
  15. Computerprogramm mit einem Programmcode zum Ausführen des Verfahrens (300) nach Anspruch 14.
DE102017121497.6A 2017-09-15 2017-09-15 Netzwerkentität zum verwalten eines passwortes eines nutzers Pending DE102017121497A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102017121497.6A DE102017121497A1 (de) 2017-09-15 2017-09-15 Netzwerkentität zum verwalten eines passwortes eines nutzers

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017121497.6A DE102017121497A1 (de) 2017-09-15 2017-09-15 Netzwerkentität zum verwalten eines passwortes eines nutzers

Publications (1)

Publication Number Publication Date
DE102017121497A1 true DE102017121497A1 (de) 2019-03-21

Family

ID=65526468

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017121497.6A Pending DE102017121497A1 (de) 2017-09-15 2017-09-15 Netzwerkentität zum verwalten eines passwortes eines nutzers

Country Status (1)

Country Link
DE (1) DE102017121497A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108449178A (zh) * 2018-03-26 2018-08-24 北京豆荚科技有限公司 一种安全可信执行环境中根密钥的生成方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070182983A1 (en) * 2004-03-01 2007-08-09 Qinetiq Limited Threat mitigation in computer networks
DE102015211566A1 (de) * 2015-06-23 2016-12-29 Siemens Aktiengesellschaft Verfahren, Komponente und Computerprogrammprodukt zum Bestimmen eines abgeleiteten Schlüssels

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070182983A1 (en) * 2004-03-01 2007-08-09 Qinetiq Limited Threat mitigation in computer networks
DE102015211566A1 (de) * 2015-06-23 2016-12-29 Siemens Aktiengesellschaft Verfahren, Komponente und Computerprogrammprodukt zum Bestimmen eines abgeleiteten Schlüssels

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
SCHNEIER B.:"Applied Cryptography, second edition, Protocols, Algorithms, and Source Code in C", John Wiley & Sons, 1996, Seiten: TitlePage, i-xxv, 47-74 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108449178A (zh) * 2018-03-26 2018-08-24 北京豆荚科技有限公司 一种安全可信执行环境中根密钥的生成方法
CN108449178B (zh) * 2018-03-26 2020-12-22 北京豆荚科技有限公司 一种安全可信执行环境中根密钥的生成方法

Similar Documents

Publication Publication Date Title
DE60020293T2 (de) Erzeugung eines wiederholbaren kryptographischen Schlüssels basierend auf variablen Parametern
DE69724235T2 (de) Computersystem und Verfahren zum Schutz von Software
DE112011100182T5 (de) Transaktionsprüfung für Datensicherheitsvorrichtungen
WO2007051842A1 (de) Verfahren und system zum übertragen von daten von einer ersten datenverarbeitungseinrichtung an eine zweite datenverarbeitungseinrichtung
WO2015180867A1 (de) Erzeugen eines kryptographischen schlüssels
EP2043021A1 (de) Onlinebankingsystem und Onlinebankingverfahren zur datentechnisch gesicherten elektronischen Kommunikation
EP3480724B1 (de) Computerimplementiertes verfahren zum ersetzen eines datenstrings durch einen platzhalter
EP1697820B1 (de) Verfahren zur freischaltung eines zugangs zu einem computersystem oder zu einem programm
DE102017121497A1 (de) Netzwerkentität zum verwalten eines passwortes eines nutzers
EP3629516B1 (de) Dezentralisierte identitätsmanagement-lösung
EP1785900A1 (de) Verfahren und System zum Übertragen von Daten von einer ersten Datenverarbeitungseinrichtung an eine zweite Datenverarbeitungseinrichtung
DE112012000780T5 (de) Verarbeiten von Berechtigungsprüfungsdaten
DE102019101195A1 (de) Verfahren zum sicheren Übermitteln einer Datei
WO2016041843A1 (de) Verfahren und anordnung zur autorisierung einer aktion an einem selbstbedienungssystem
EP3152880A1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt
DE102014213454A1 (de) Verfahren und System zur Erkennung einer Manipulation von Datensätzen
EP2057778B1 (de) Verfahren zur authentifizierung
DE102005053848B4 (de) Verfahren zur bildbasierten Authentifizierung von Online-Transaktionen
EP3510515B1 (de) Datenbrille zum kryptographischen signieren von bilddaten
DE102019003673B3 (de) Seitenkanalsichere Implementierung
EP1035706A2 (de) Verfahren zum Verbinden von mindestens zwei Netzwerkssegmenten eines Netzwerkes mit einer Zugangskontrolle durch eine Benutzerkennung
DE102005061999B4 (de) Online-Banking-Verfahren zum sicheren, elektronischen Übertragen von Daten von einer ersten Datenverarbeitungseinrichtung an eine zweite Datenverarbeitungseinrichtung
EP3358488B1 (de) Verfahren zum erkennen von unberechtigten kopien digitaler sicherheits-token
DE102006049814B4 (de) Verfahren und Vorrichtung zum Erzeugen und Speichern von einer Geheimkombination zugeordneten Hilfsgrößen sowie zum Wiedergewinnen der Geheimkombination
DE102016107673A1 (de) Verfahren zur Nutzung eines Proxy-Servers für den Datenaustausch

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication