DE102021209505A1

DE102021209505A1 - System and method for upgrading an outdated client/server application for secure and confidential data transmission

Info

Publication number: DE102021209505A1
Application number: DE102021209505.4A
Authority: DE
Inventors: Daniel Georg Kirschner
Original assignee: Volkswagen AG
Current assignee: Volkswagen AG
Priority date: 2021-08-30
Filing date: 2021-08-30
Publication date: 2023-03-02

Abstract

Die Erfindung betrifft ein System (100) zum Aufrüsten mindestens einer Client/Server-Anwendung für eine sichere und vertrauliche Datenübertragung, aufweisend:
- eine Client-Plattform (10) mit einem Legacy-Client (11) und
- eine Server-Plattform (20) mit einem Legacy-Server (21),
- wobei gemäß der Client/Server-Anwendung der Legacy-Client (11) mithilfe von Anmeldedaten (AD) einen Zugriff auf den Legacy-Server (21) erhält,
- wobei die Client-Plattform (10) mit einem Sicherheits-Token (12) ausgeführt ist,
um einen Tunnel (40) zur Server-Plattform (20) für eine verschlüsselte und autorisierte Kommunikation aufzubauen,
und um eine Authentifizierung des Legacy-Clients (11) für eine Kommunikation mit dem Legacy-Server (21) zu ermöglichen,
- wobei die Server-Plattform (20) mit einem Sicherheits-Server (22) ausgeführt ist,
um den Tunnel (40) zur Client-Plattform (10) für eine verschlüsselte und autorisierte Kommunikation aufzubauen,
und um die Authentifizierung des Legacy-Clients (11) für eine Kommunikation mit dem Legacy-Server (21) durchzuführen,
- und wobei die Server-Plattform (20) mit einem Anmelde-Analyse-Modul (23) ausgeführt ist,
um die Anmeldedaten (AD) des Legacy-Clients (11) für einen Zugriff auf den Legacy-Server (21) zu überprüfen.

The invention relates to a system (100) for upgrading at least one client/server application for secure and confidential data transmission, having:
- a client platform (10) with a legacy client (11) and
- a server platform (20) with a legacy server (21),
- whereby according to the client/server application the legacy client (11) receives access to the legacy server (21) using login data (AD),
- wherein the client platform (10) is implemented with a security token (12),
to set up a tunnel (40) to the server platform (20) for encrypted and authorized communication,
and to enable authentication of the legacy client (11) for communication with the legacy server (21),
- wherein the server platform (20) is designed with a security server (22),
to set up the tunnel (40) to the client platform (10) for encrypted and authorized communication,
and to perform the authentication of the legacy client (11) for communication with the legacy server (21),
- and wherein the server platform (20) is designed with a registration analysis module (23),
to check the credentials (AD) of the legacy client (11) for access to the legacy server (21).

Description

Die Erfindung betrifft ein System zum Aufrüsten einer, insbesondere veralteten, Client/Server-Anwendung für eine sichere und vertrauliche Datenübertragung nach dem unabhängigen Systemanspruch. Zudem betrifft die Erfindung eine Verwendung eines entsprechenden Systems nach dem unabhängigen Verwendungsanspruch. Ferner betrifft die Erfindung eine Infrastruktur nach dem nebengeordneten unabhängigen Systemanspruch, die mithilfe eines entsprechenden Systems aufgebaut ist. Weiterhin betrifft die Erfindung ein entsprechendes Verfahren zum Aufrüsten einer, insbesondere veralteten, Client/Server-Anwendung für eine sichere und vertrauliche Datenübertragung nach dem unabhängigen Verfahrensanspruch.The invention relates to a system for upgrading a client/server application, in particular an outdated one, for secure and confidential data transmission according to the independent system claim. In addition, the invention relates to a use of a corresponding system according to the independent use claim. The invention also relates to an infrastructure according to the independent system claim that is set up using a corresponding system. Furthermore, the invention relates to a corresponding method for upgrading a client/server application, in particular an outdated one, for secure and confidential data transmission according to the independent method claim.

Ältere Server-Client-Anwendungen, bspw. sog. Legacy-Server-Client-Anwendungen und/oder Synergy-Server-Client-Anwendungen erfüllen oft nicht mehr die erforderlichen Anforderungen für die Verarbeitung von Daten, insbesondere sobald die Daten als Vertraulich klassifiziert sind. Oft gibt es auch keine Alternative zu dem eingesetzten System mit den veralteten Server-Client-Anwendungen oder der Einsatz einer Alternative ist nur mit erheblichem finanziellen und zeitlichen Aufwand realisierbar.Older server-client applications, for example so-called legacy server-client applications and/or Synergy server-client applications, often no longer meet the necessary requirements for processing data, especially as soon as the data is classified as confidential. There is often no alternative to the system used with the outdated server-client applications, or the use of an alternative can only be implemented with considerable financial and time effort.

Der Erfindung liegt daher Aufgabe zugrunde, ein System zum Aufrüsten einer, insbesondere veralteten, Client/Server-Anwendung für eine sichere und vertrauliche Datenübertragung bereitzustellen. Insbesondere liegt der Erfindung die Aufgabe zugrunde, ein System zum Aufrüsten einer, insbesondere veralteten, Client/Server-Anwendung für eine sichere und vertrauliche Datenübertragung bereitzustellen, welches eine sichere und vertrauliche Datenübertragung zwischen einer Client-Plattform und einer Server-Plattform ermöglicht, welches einfach und kostengünstig aufgebaut ist, welches mit einem geringen rechentechnischen Aufwand verbunden ist, welches einfach installiert werden kann und welches eine flexible Verwendung bei unterschiedlichen veralteten Client/Server-Anwendungen ermöglicht. Zudem ist es Aufgabe der Erfindung, eine Verwendung eines entsprechenden Systems bereitzustellen. Ferner ist es Aufgabe der Erfindung, eine Infrastruktur zur Verfügung zu stellen, die mithilfe eines entsprechenden Systems aufgebaut ist. Weiterhin ist es Aufgabe der Erfindung, ein entsprechendes Verfahren zum Aufrüsten einer, insbesondere veralteten, Client/Server-Anwendung für eine sichere und vertrauliche Datenübertragung bereitzustellen.The object of the invention is therefore to provide a system for upgrading a client/server application, in particular an outdated one, for secure and confidential data transmission. In particular, the invention is based on the object of providing a system for upgrading a particular outdated client/server application for secure and confidential data transmission, which enables secure and confidential data transmission between a client platform and a server platform, which is simple is constructed in a cost-effective manner, which requires little computational effort, which can be easily installed and which enables flexible use with different outdated client/server applications. In addition, it is the object of the invention to provide a use of a corresponding system. Furthermore, it is the object of the invention to provide an infrastructure that is set up using a corresponding system. Furthermore, the object of the invention is to provide a corresponding method for upgrading a client/server application, in particular an outdated one, for secure and confidential data transmission.

Die erfindungsgemäße Aufgabe wird gelöst durch: ein System zum Aufrüsten einer, insbesondere veralteten, Client/Server-Anwendung für eine sichere und vertrauliche Datenübertragung mit den Merkmalen des unabhängigen Systemanspruches; eine Verwendung eines entsprechenden Systems mit den Merkmalen des unabhängigen Verwendungsanspruches; eine Infrastruktur mit den Merkmalen des nebengeordneten unabhängigen Systemanspruches, die mithilfe eines entsprechenden Systems aufgebaut ist; sowie ein entsprechendes Verfahren zum Aufrüsten einer, insbesondere veralteten, Client/Server-Anwendung für eine sichere und vertrauliche Datenübertragung mit den Merkmalen des unabhängigen Verfahrensanspruches. Dabei gelten Merkmale, die im Zusammenhang mit einzelnen Aspekten der Erfindung beschrieben sind, selbstverständlich auch im Zusammenhang mit den anderen Aspekten und jeweils umgekehrt, sodass bezüglich der Offenbarung zu den einzelnen Erfindungsaspekten stets wechselseitig Bezug genommen wird bzw. werden kann.The object according to the invention is achieved by: a system for upgrading a client/server application, in particular an outdated one, for secure and confidential data transmission with the features of the independent system claim; a use of a corresponding system with the features of the independent use claim; an infrastructure with the features of the subordinate independent system claim, which is built using a corresponding system; and a corresponding method for upgrading a client/server application, in particular an outdated one, for secure and confidential data transmission with the features of the independent method claim. Features that are described in connection with individual aspects of the invention also apply, of course, in connection with the other aspects and vice versa, so that the disclosure of the individual aspects of the invention is or can always be referred to reciprocally.

Die Erfindung stellt bereit: ein System zum Aufrüsten mindestens einer, insbesondere veralteten, Client/Server-Anwendung für eine sichere und vertrauliche Datenübertragung, aufweisend:

- eine Client-Plattform mit einem Legacy-Client und
- eine Server-Plattform mit einem Legacy-Server,
- wobei gemäß der, insbesondere veralteten, Client/Server-Anwendung der Legacy-Client mithilfe von Anmeldedaten einen Zugriff auf den Legacy-Server erhält,
- wobei die Client-Plattform mit einem Sicherheits-Token, bspw. in Form einer PKI-Karte, ausgeführt ist, um einen Tunnel zur Server-Plattform für eine verschlüsselte und autorisierte Kommunikation aufzubauen, und um eine Authentifizierung, insbesondere eine Zwei-Faktor-Authentifizierung, des Legacy-Clients für eine Kommunikation mit dem Legacy-Server zu ermöglichen,
- wobei die Server-Plattform mit einem Sicherheits-Server ausgeführt ist, um den Tunnel zur Client-Plattform für eine verschlüsselte und autorisierte Kommunikation aufzubauen, und um die Authentifizierung des Legacy-Clients für eine Kommunikation mit dem Legacy-Server durchzuführen,
- und wobei die Server-Plattform mit einem Anmelde-Analyse-Modul ausgeführt ist, um die Anmeldedaten des Legacy-Clients für einen Zugriff auf den Legacy-Server zu überprüfen.

The invention provides: a system for upgrading at least one, in particular obsolete, client/server application for secure and confidential data transmission, having:

- a client platform with a legacy client and
- a server platform with a legacy server,
- whereby according to the, in particular outdated, client/server application, the legacy client is given access to the legacy server using login data,
- Wherein the client platform is designed with a security token, e.g. enable authentication of the legacy client to communicate with the legacy server,
- wherein the server platform is implemented with a security server in order to set up the tunnel to the client platform for encrypted and authorized communication, and to carry out the authentication of the legacy client for communication with the legacy server,
- and wherein the server platform is implemented with a login analysis module to verify the credentials of the legacy client for access to the legacy server.

Ein solches System kann zum Aufbauen einer Infrastruktur (bspw. „public key infrastructure“, sog. PKI) mit einem öffentlichen und/oder privaten Schlüssel unter einer Anzahl an Plattformen, bspw. in Form von Servern, verwendet werden. Die Anzahl an Plattformen kann eine Vielzahl an Client-Plattformen und eine Mehrzahl an Client-Plattformen aufweisen. Die Infrastruktur kann bspw. in einer Organisation oder in einem Unternehmen verwendet werden, um mindestens eine Client-Plattform mit zumindest einer Server-Plattform, vorzugsweise unterschiedliche Client-Plattformen mit verschiedenen Client-Plattformen, sicher (durch Verschlüsselung) und vertraulich (durch Authentifizierung) zu vernetzen.Such a system can be used to build an infrastructure (e.g. "public key infrastructure", so-called PKI) with a public and/or private key under a number of platforms, e.g. in the form of servers. The number of platforms may include multiple client platforms and multiple client platforms. The infrastructure can be used, for example, in an organization or in a company to connect at least one client platform with at least one server platform, preferably different client platforms with different client platforms, securely (through encryption) and confidentially (through authentication) to network.

Mithilfe eines solches Systems kann zwischen einer Client-Plattform von der Vielzahl an Client-Plattformen und mindestens einer anwendungsseitigen Server-Plattform von der Mehrzahl an Server-Plattformen jeweils ein Tunnel für verschlüsselte und vertrauliche aufgebaut Kommunikation und/oder Datenübertragung werden.With the help of such a system, a tunnel for encrypted and confidential communication and/or data transmission can be set up between a client platform from the plurality of client platforms and at least one application-side server platform from the plurality of server platforms.

Ein Tunnel, bspw. ein SSH-Tunnel, ermöglicht eine verschlüsselte Kommunikation mit einer gesicherten Authentifizierung. Vorteilhaft kann eine asymmetrische Verschlüsselung auf Basis eines Schlüsselpaares mit einem öffentlichen und/oder privaten Schlüssel verwendet werden. Hierzu können unterschiedliche Verschlüsselungs-Methoden genutzt werden.A tunnel, e.g. an SSH tunnel, enables encrypted communication with secure authentication. Asymmetric encryption based on a pair of keys with a public and/or private key can advantageously be used. Different encryption methods can be used for this.

SSH steht für eng. „Secure Shell“ und umfasst ein kryptographisches Netzwerkprotokoll für den sicheren Betrieb von Netzwerkdiensten, auch über ungesicherte Netzwerke. Die Verschlüsselungstechnik, die durch SSH genutzt wird, dient dazu, die Vertraulichkeit, die Integrität und die Authentizität von Daten, die über ein unsicheres Netzwerk (wie z. B. das Internet) gesendet werden, sicherzustellen.SSH stands for eng. "Secure Shell" and includes a cryptographic network protocol for the secure operation of network services, even over unsecured networks. The encryption technique used by SSH is designed to ensure the confidentiality, integrity, and authenticity of data sent over an insecure network (such as the Internet).

Mithilfe eines solchen Systems kann zwischen einer Client-Plattform und einer Server-Plattform eine verschlüsselte Datenübertragung durchgeführt werden, bei der die Client-ID durch einen öffentlichen Schlüssel gesichert wird. Auf diese Weise kann die Identität des Clients vertraulich gehandhabt und somit geschützt werden.With the help of such a system, encrypted data transmission can be carried out between a client platform and a server platform, in which case the client ID is protected by a public key. In this way, the identity of the client can be kept confidential and thus protected.

Mithilfe eines solchen Systems können im Rahmen einer Infrastruktur mehrere eindeutige Schlüsselpaare kreiert und verteilt werden, die es unterschiedlichen Client-Plattformen erlauben, die Identität ihrer Nutzer zu schützen und zugleich absichert auf mindestens eine oder mehrere Server-Plattformen zuzugreifen.With the help of such a system, several unique key pairs can be created and distributed within an infrastructure, which allow different client platforms to protect the identity of their users and at the same time secure access to at least one or more server platforms.

Jedem Client kann vorzugweise mithilfe eines korrespondierenden Sicherheits-Tokens ein individueller öffentlicher Schlüssel für die Verschlüsselung der Kommunikation und/oder Datenübertragung sowie der Client-ID zugeordnet werden. Des Weiteren kann es vorteilhaft sein, wenn für jeden öffentlichen Schlüssel nur ein privater Schlüssel vergeben wird. Die Nachrichten, die mithilfe des öffentlichen Schlüssels verschlüsselt wurden, können nur mithilfe eines zugeordneten privaten Schlüssels entschlüsselt werden. Eine Verschlüsselung mit einem öffentlichen Schlüssel kann dazu verwendet werden, Nachrichten digital zu signieren.An individual public key for encrypting the communication and/or data transmission and the client ID can be assigned to each client, preferably with the aid of a corresponding security token. Furthermore, it can be advantageous if only one private key is assigned for each public key. The messages encrypted using the public key can only be decrypted using an associated private key. Public key encryption can be used to digitally sign messages.

Die Erfindung ermöglicht einen Aufbau eines stark verschlüsselten Tunnels von einer Loopbackadresse des Legacy-Clients zum Legacy-Server der Altanwendung über einen Dienst (Sicherheits-Token) auf der Client-Plattform und einen Dienst (Sicherheits-Server) auf der Server-Plattform. Die Verschlüsselung und die Authentifizierung beim Aufbau des Tunnels erfolgt über den Sicherheits-Token. Auf dem Anmelde-Analyse-Modul folgt eine Überprüfung der Anmeldedaten des Legacy-Clients. Mit anderen Worten wird auf dem Anmelde-Analyse-Modul die Sicherheits-Token-ID geprüft und zu der korrespondierenden Client-ID zugeordnet. Die Protokollinspektion auf dem Sicherheits-Server bindet schließlich die Client-Verwaltung der Altanwendung an den Sicherheits-Token.The invention enables a strongly encrypted tunnel to be established from a loopback address of the legacy client to the legacy server of the legacy application via a service (security token) on the client platform and a service (security server) on the server platform. The security token is used for encryption and authentication when setting up the tunnel. The login analysis module is followed by a check of the legacy client's login data. In other words, the security token ID is checked on the registration analysis module and assigned to the corresponding client ID. Finally, log inspection on the security server binds the legacy application's client management to the security token.

Mithilfe der Erfindung können mehrere wesentliche Vorteile erreicht werden, nämlich:

- generischer Ansatz für beliebige Altanwendungen,
- starke Kryptographie,
- Zwei-Faktor-Authentifizierung via Sicherheits-Token bzw. PKI-Karte,
- keine erhöhten Rechte im System nötig,
- einfacher und kostengünstiger Aufbau,
- geringer rechentechnischer Aufwand,
- einfache Installation und Implementierung.

Several significant advantages can be achieved with the aid of the invention, namely:

- generic approach for any legacy application,
- strong cryptography,
- Two-factor authentication via security token or PKI card,
- no increased rights required in the system,
- simple and inexpensive construction,
- low computational effort,
- easy installation and implementation.

Ferner kann vorgesehen sein, dass der Tunnel in Form eines SSH-Tunnels bereitgestellt ist. Mithilfe eines SSH-Tunnels kann unabhängig von der Ausgestaltung der Altanwendung eine sichere Anbindung an die Server-Plattform geschaffen werden, bei der die Datenübertragung verschlüsselt und die Client-ID vertraulich gehandhabt wird.Furthermore, it can be provided that the tunnel is provided in the form of an SSH tunnel. Regardless of the design of the legacy application, an SSH tunnel can be used to create a secure connection to the server platform, in which data transmission is encrypted and the client ID is handled confidentially.

Weiterhin ist es denkbar, dass der Sicherheits-Token in Form einer Chipkarte oder einer PKI-Karte ausgeführt ist. Auf diese Weise können unterschiedliche Clients einfach und bequem mithilfe einer individuellen PKI-Karte an eine Public-Key-Infrastruktur angebunden werden. Mithilfe einer PKI-Karte kann vorteilhafterweise eine Zwei-Faktor-Authentifizierung bereitgestellt werden, die zum einen physischen Besitz der PKI-Karte und zum anderen eine Kenntnis eines zugehörigen Pins erfordert. Über die PKI-Karte kann zudem eine verschlüsselte Kommunikation aufgebaut werden, die eine starke Kryptographie besitzt und die Client-ID zuverlässig schützt.Furthermore, it is conceivable that the security token is in the form of a chip card or a PKI card. In this way, different clients can be easily and conveniently connected to a public key infrastructure using an individual PKI card. A PKI card can advantageously be used to provide two-factor authentication, which requires physical possession of the PKI card on the one hand and knowledge of an associated pin on the other. An encrypted connection can also be made via the PKI card Rarely can communication be established that has strong cryptography and reliably protects the client ID.

Vorteilhafterweise kann das Anmelde-Analyse-Modul hardwaretechnisch, softwaretechnisch und/oder funktionstechnisch in dem Sicherheits-Server integriert sein. Auf diese Weise kann ein verbesserter Sicherheits-Server mit einer erweiterten Funktionalität bereitgestellt werden. Des Weiteren ist es denkbar, dass das Anmelde-Analyse-Modul als ein einzeln handhabbares Modul ausgeführt sein kann, welches am Sicherheits-Server installiert werden kann oder welches als eine separate Komponente verwendet werden kann.Advantageously, the registration analysis module can be integrated into the security server in terms of hardware, software and/or function. In this way, an improved security server with increased functionality can be provided. Furthermore, it is conceivable that the registration analysis module can be designed as an individually manageable module which can be installed on the security server or which can be used as a separate component.

Zudem kann das Anmelde-Analyse-Modul eine Auswerteeinheit aufweisen, die dazu ausgeführt sein kann, die Anmeldedaten des Legacy-Clients zu überprüfen. Auf diese Weise kann sichergestellt werden, dass nur der Legacy-Client auf den Legacy-Server zugreifen kann, dem die passenden Anmeldedaten zugeordnet sind.In addition, the registration analysis module can have an evaluation unit that can be designed to check the registration data of the legacy client. In this way it can be ensured that only the legacy client can access the legacy server to which the appropriate credentials are assigned.

Im Rahmen eines Systems kann ein Verzeichnis vorgesehen sein, welches dazu ausgeführt ist, zumindest zum Teil die Anmeldedaten und/oder weitere Benutzerdaten (bspw. personenbezogene Daten des Benutzers), insbesondere erweiterte Benutzerdaten (bspw. personenbezogene Daten und optional arbeitstechnische, betriebsbezogene, lebenslaufbezogene, lerntechnische, fortbildungsbezogene, interessenbezogene usw. Daten des Benutzers), für eine Client-ID bereitzustellen. Das Verzeichnis kann bspw. in Form einer Datenbank ausgeführt sein und mehrere Client-IDs mit zugehörigen Daten verknüpfen. Das Anmelde-Analyse-Modul kann bspw. zumindest zum Teil die Anmeldedaten aus dem Verzeichnis beziehen, um den Legacy-Client für einen Zugriff auf den Legacy-Server anzumelden. Die Benutzerdaten, insbesondere erweiterte Benutzerdaten, können vorteilhafterweise weitere nützliche Daten umfassen, wie z. B. den aktuellen Status des Clients, wie z. B. aktiver Mitarbeiter oder deaktivierter Mitarbeiter, eine E-Mail-Adresse, eine Zugehörigkeit zu einer Gruppe usw. Auf diese Weise kann nicht nur eine Anmeldung, sondern auch eine sichere und, wenn gewünscht, verfeinerte Authentifizierung des Legacy-Clients für einen Zugriff auf den Legacy-Server ermöglicht werden.A directory can be provided as part of a system, which is designed to contain at least some of the login data and/or other user data (e.g. personal data of the user), in particular extended user data (e.g. personal data and optionally work-related, company-related, CV-related, learning-related, further education-related, interest-related, etc. data of the user) for a client ID. The directory can be in the form of a database, for example, and link multiple client IDs with associated data. The registration analysis module can, for example, obtain at least some of the registration data from the directory in order to register the legacy client for access to the legacy server. The user data, in particular extended user data, can advantageously include further useful data, such as e.g. B. the current status of the client, such. B. active employee or deactivated employee, an e-mail address, membership in a group, etc. In this way, not only a login, but also a secure and, if desired, refined authentication of the legacy client for access to the legacy server can be enabled.

Außerdem kann das Anmelde-Analyse-Modul eine Schnittstelle zu einem Verzeichnis aufweisen, um zumindest zum Teil die Anmeldedaten und/oder weitere Benutzerdaten, insbesondere erweiterte Benutzerdaten, zu einer Client-ID abzufragen. Die Schnittstelle kann bspw. speziell für den Zugriff auf das Verzeichnis ausgeführt sein. Die Schnittstelle kann vorzugsweise eine gesicherte Kommunikation mit dem Verzeichnis ermöglichen, bspw. mithilfe eines Verschlüsselungsprotokolls zur sicheren Datenübertragung, wie z. B. TLS.In addition, the registration analysis module can have an interface to a directory in order to query at least some of the registration data and/or other user data, in particular extended user data, for a client ID. For example, the interface can be designed specifically for access to the directory. The interface can preferably enable secure communication with the directory, e.g. using an encryption protocol for secure data transmission, such as e.g. B.TLS.

Ferner kann vorgesehen sein, dass das Anmelde-Analyse-Modul eine Empfangseinheit aufweist, um die ID-Daten und/oder die Anmeldedaten des Legacy-Clients von dem Sicherheits-Token zu empfangen, und/oder dass das Anmelde-Analyse-Modul eine Weiterleitungseinheit aufweist, um die ID-Daten und/oder die Anmeldedaten des Legacy-Clients an den Legacy-Server weiterzuleiten, insbesondere nur dann weiterzuleiten, wenn die Anmeldedaten des Legacy-Clients für einen Zugriff auf den Legacy-Server positiv verifiziert wurden. Auf diese Weise kann ein vorteilhaftes Anmelde-Analyse-Modul mit einer autonomen Funktionsweise bereitgestellt werden.Provision can furthermore be made for the registration analysis module to have a receiving unit in order to receive the ID data and/or the registration data of the legacy client from the security token, and/or for the registration analysis module to have a forwarding unit has to forward the ID data and / or the credentials of the legacy client to the legacy server, in particular only forward if the credentials of the legacy client for access to the legacy server have been positively verified. In this way, an advantageous registration analysis module with an autonomous function can be provided.

Weiterhin kann es vorteilhaft sein, wenn das Anmelde-Analyse-Modul eine, insbesondere nicht flüchtige, Speichereinheit für die Anmeldedaten des Legacy-Clients und/oder für Logeinträge aufweist. Auf diese Weise kann automatisch ein Protokoll über alle oder bestimmte Aktionen der Client/Server-Anwendung geführt werden. Bspw. kann die Speichereinheit dazu genutzt werden, um ein Protokoll über die Anmeldungen des Legacy-Clients auf dem Legacy-Server zu führen. Mithilfe der Speichereinheit können die Anmeldedaten für eine Anmeldung des Legacy-Clients auf dem Legacy-Server parat gehalten werden, um eine schnelle Anmeldung zu ermöglichen.Furthermore, it can be advantageous if the registration analysis module has a storage unit, in particular a non-volatile storage unit, for the registration data of the legacy client and/or for log entries. In this way, a log can be automatically kept of all or specific actions of the client/server application. For example, the storage unit can be used to keep a log of the legacy client's registrations on the legacy server. With the help of the storage unit, the login data for a login of the legacy client can be kept ready on the legacy server in order to enable a quick login.

Des Weiteren kann es vorteilhaft sein, wenn das Anmelde-Analyse-Modul dazu ausgeführt ist, Client-ID und/oder Client-Verwaltung auf der Server-Plattform an den Sicherheits-Token zu binden. Auf diese Weise kann eine veraltete und ggf. ungesicherte Anwendung im Hinblick auf die Sicherheit und Vertraulichkeit bei der Datenübertragung aufgerüstet werden.Furthermore, it can be advantageous if the registration analysis module is designed to bind the client ID and/or client administration to the security token on the server platform. In this way, an outdated and possibly unsecured application can be upgraded in terms of security and confidentiality during data transmission.

Wie oben bereits erwähnt ist eine vorteilhafte Verwendung eines Systems, welches wie oben beschrieben ausgeführt sein kann, in einer verteilten Infrastruktur, insbesondere eine Public-Key-Infrastruktur, vorgesehen.As already mentioned above, an advantageous use of a system, which can be designed as described above, is provided in a distributed infrastructure, in particular a public key infrastructure.

Die Erfindung stellt ferner bereit: eine verteilte Infrastruktur, insbesondere eine Public-Key-Infrastruktur, aufweisend:

eine Vielzahl an Client-Plattformen und
eine Mehrzahl an Server-Plattformen,
- - wobei die Vielzahl an Client-Plattformen gleich oder ungleich der Mehrzahl an Server-Plattformen ist,
- - und wobei zwischen einer Client-Plattform von der Vielzahl an Client-Plattformen und mindestens einer anwendungsseitigen Server-Plattform von der Mehrzahl an Server-Plattformen jeweils ein Tunnel mithilfe eines Systems, welches wie oben beschrieben ausgeführt sein kann, aufgebaut ist.

The invention also provides: a distributed infrastructure, in particular a public key infrastructure, having:

a variety of client platforms and
a variety of server platforms,
- - wherein the plurality of client platforms is the same or different than the plurality of server platforms,
- - and wherein a tunnel is set up between a client platform from the plurality of client platforms and at least one application-side server platform from the plurality of server platforms using a system which can be implemented as described above.

Mithilfe der erfindungsgemäßen Infrastruktur werden die gleichen Vorteile erreicht, die oben im Zusammenhang mit dem erfindungsgemäßen System beschrieben wurden. Auf diese Vorteile wird vorliegend vollumfänglich Bezug genommen.The infrastructure according to the invention achieves the same advantages as described above in connection with the system according to the invention. Reference is made in full to these advantages here.

Die Erfindung stellt weiterhin bereit: ein Verfahren zum Aufrüsten mindestens einer, insbesondere veralteten, Client/Server-Anwendung für eine sichere und vertrauliche Datenübertragung zwischen einer Client-Plattform mit einem Legacy-Client und einer Server-Plattform mit einem Legacy-Server, wobei gemäß der, insbesondere veralteten, Client/Server-Anwendung der Legacy-Client mithilfe von Anmeldedaten einen Zugriff auf den Legacy-Server erhält, aufweisend:

- Ausführen der Client-Plattform mit einem Sicherheits-Token, um einen Tunnel zur Server-Plattform für eine verschlüsselte und autorisierte Kommunikation aufzubauen, und um eine Authentifizierung, insbesondere eine zwei-Faktor-Authentifizierung, des Legacy-Clients für eine Kommunikation mit dem Legacy-Server zu ermöglichen,
- Ausführen der Server-Plattform mit einem Sicherheits-Server, um den Tunnel zur Client-Plattform für eine verschlüsselte und autorisierte Kommunikation aufzubauen, und um eine Authentifizierung des Legacy-Clients für eine Kommunikation mit dem Legacy-Server durchzuführen,
- Ausführen der Server-Plattform mit einem Anmelde-Analyse-Modul, um die Anmeldedaten des Legacy-Clients für einen Zugriff auf den Legacy-Server zu überprüfen.

The invention also provides: a method for upgrading at least one, in particular outdated, client / server application for secure and confidential data transmission between a client platform with a legacy client and a server platform with a legacy server, according to the, in particular outdated, client/server application, the legacy client gains access to the legacy server using login data, having:

- Running the client platform with a security token to build a tunnel to the server platform for encrypted and authorized communication, and authentication, particularly two-factor authentication, of the legacy client for communication with the legacy - allow server
- running the server platform with a security server to establish the tunnel to the client platform for encrypted and authorized communication, and to perform authentication of the legacy client for communication with the legacy server,
- Running the server platform with a login analyzer module to verify the legacy client's credentials for accessing the legacy server.

Vorteilhafterweise kann das erfindungsgemäße Verfahren mithilfe eines Systems durchgeführt werden, welches wie oben beschrieben ausgeführt sein kann. Mithilfe des erfindungsgemäßen Verfahrens werden die gleichen Vorteile erreicht, die oben im Zusammenhang mit dem erfindungsgemäßen System beschrieben wurden. Auf diese Vorteile wird vorliegend vollumfänglich Bezug genommen.The method according to the invention can advantageously be carried out with the aid of a system which can be designed as described above. The method according to the invention achieves the same advantages as described above in connection with the system according to the invention. Reference is made in full to these advantages here.

Weiterhin wird die Erfindung anhand der Figur näher dargestellt. Dabei ist zu beachten, dass die Figur nur einen beschreibenden Charakter hat und nicht dazu gedacht ist, die Erfindung in irgendeiner Form einzuschränken.Furthermore, the invention is illustrated in more detail with reference to the figure. It should be noted that the figure has only a descriptive character and is not intended to limit the invention in any way.

Es zeigt:

1 eine beispielhafte Darstellung eines Systems im Sinne der vorliegenden Offenbarung.

It shows:

1 an exemplary representation of a system within the meaning of the present disclosure.

Die 1 zeigt ein System 100, welches dazu ausgeführt ist, mindestens eine, insbesondere veraltete, Client/Server-Anwendung, wie z. B. einer „Legacy“- und/oder „Synergy“-Anwendung, zwischen einer Client-Plattform 10 und einer Server-Plattform 20 für eine sichere und vertrauliche Datenübertragung aufzurüsten.The 1 shows a system 100, which is designed to run at least one, in particular outdated, client/server application, such as e.g. B. a "legacy" - and / or "synergy" application, upgrade between a client platform 10 and a server platform 20 for secure and confidential data transmission.

Das System 100 weist folgende Elemente auf:

- eine Client-Plattform 10 mit einem Legacy-Client 11 und
- eine Server-Plattform 20 mit einem Legacy-Server 21,
- wobei gemäß der, insbesondere veralteten, Client/Server-Anwendung der Legacy-Client 11 mithilfe von Anmeldedaten AD einen Zugriff auf den Legacy-Server 21 erhält.

The system 100 has the following elements:

- a client platform 10 with a legacy client 11 and
- a server platform 20 with a legacy server 21,
- Wherein according to the, in particular outdated, client/server application, the legacy client 11 is given access to the legacy server 21 using login data AD.

Im Rahmen des Systems 100 ist die Client-Plattform 10 mit einem Sicherheits-Token 12, bspw. in Form einer PKI-Karte, ausgeführt. Der Sicherheits-Token 12 ist wiederum dazu ausgeführt, einen sicheren Tunnel 40 zur Server-Plattform 20 für eine verschlüsselte und autorisierte Kommunikation aufzubauen und eine Authentifizierung, insbesondere eine zwei-Faktor-Authentifizierung, des Legacy-Clients 11 für eine Kommunikation mit dem Legacy-Server 21 zu ermöglichen.As part of the system 100, the client platform 10 is implemented with a security token 12, for example in the form of a PKI card. The security token 12 is in turn designed to set up a secure tunnel 40 to the server platform 20 for encrypted and authorized communication and authentication, in particular two-factor authentication, of the legacy client 11 for communication with the legacy Server 21 to allow.

Die Server-Plattform 20 ist mit einem Sicherheits-Server 22 ausgeführt. Der Sicherheits-Server 22 ist als ein Sicherheits-Forwarding-Server als Vorstufe zum Legacy-Server 21 ausgeführt, um den Tunnel 40 zur Client-Plattform 10 für eine verschlüsselte und autorisierte Kommunikation aufzubauen, und um die Authentifizierung des Legacy-Clients 11 für eine Kommunikation mit dem Legacy-Server 21 durchzuführen.The server platform 20 is implemented with a security server 22 . The security server 22 is designed as a security forwarding server as a precursor to the legacy server 21 to build the tunnel 40 to the client platform 10 for encrypted and authorized communication, and to authenticate the legacy client 11 for a To perform communication with the legacy server 21.

Vorteilhafterweise ist die Server-Plattform 20 mit einem Anmelde-Analyse-Modul 23 ausgeführt. Das Anmelde-Analyse-Modul 23 ist wiederum speziell dazu ausgeführt, die Anmeldedaten AD des Legacy-Clients 11 für einen Zugriff auf den Legacy-Server 21 zu überprüfen, oder mit anderen Worten dem Sicherheits-Token 12 eine Client-ID zuzuordnen und die Client-ID auf eine Zugriffberechtigung auf den Legacy-Server 21 zu verifizieren. Die Anmeldedaten AD können bspw. eine Client-ID und eine zugehörige Zugriffberechtigung umfassen. Die zugehörige Zugriffberechtigung kann bspw. von einem Verzeichnis 26 bezogen werden.The server platform 20 is advantageously implemented with a registration analysis module 23 . The registration analysis module 23 is in turn specifically designed to check the registration data AD of the legacy client 11 for access to the legacy server 21, or in other words to assign a client ID to the security token 12 and the client ID to verify access authorization to the legacy server 21. The registration data AD can include, for example, a client ID and an associated access authorization. Trains Pertinent access authorization can be obtained from a directory 26, for example.

Ein solches System 100 kann vorteilhafterweise zum Aufbauen einer Infrastruktur S, bspw. einer sog. „public key infrastructure“ oder abgekürzt PKI, genutzt werden, die mehrere Plattformen 10, 20, bspw. in Form von Servern, mit einem öffentlichen und/oder privaten Schlüssel vernetzt. Die Plattformen 10, 20 können eine Vielzahl an Client-Plattformen 10 und eine Mehrzahl an Server-Plattformen 20 aufweisen. Die Infrastruktur S kann bspw. in einer Organisation oder in einem Unternehmen verwendet werden, um mindestens eine Client-Plattform 10 mit zumindest einer Server-Plattform 20, vorzugsweise unterschiedliche Client-Plattformen 10 mit verschiedenen Server-Plattformen 20, sicher (durch Verschlüsselung) und vertraulich (durch Authentifizierung) zu vernetzen.Such a system 100 can advantageously be used to set up an infrastructure S, e.g. a so-called "public key infrastructure" or PKI for short, which has multiple platforms 10, 20, e.g. in the form of servers, with a public and/or private key networked. The platforms 10, 20 can have a multiplicity of client platforms 10 and a multiplicity of server platforms 20. The infrastructure S can be used, for example, in an organization or in a company to connect at least one client platform 10 to at least one server platform 20, preferably different client platforms 10 to different server platforms 20, securely (by encryption) and network confidentially (through authentication).

Mithilfe eines solches Systems 100 kann zwischen einer Client-Plattform 10 von der Vielzahl an Client-Plattformen 10 und mindestens einer anwendungsseitigen Server-Plattform 20 von der Mehrzahl an Server-Plattformen 20 jeweils ein Tunnel 40 für verschlüsselte und vertrauliche Kommunikation und/oder Datenübertragung aufgebaut werden.With the help of such a system 100, a tunnel 40 for encrypted and confidential communication and/or data transmission can be set up between a client platform 10 from the plurality of client platforms 10 and at least one application-side server platform 20 from the plurality of server platforms 20 become.

Unter einem Tunnel 40 kann bspw. ein SSH-Tunnel für eine verschlüsselte Kommunikation (bspw. mit einer asymmetrischen Verschlüsselung) mit einer gesicherten Authentifizierung (bspw. mittels des öffentlichen Schlüssels) verstanden werden. Für die asymmetrische Verschlüsselung können grundsätzlich unterschiedliche Verschlüsselungs-Methoden genutzt werden.A tunnel 40 can be understood, for example, as an SSH tunnel for encrypted communication (for example with asymmetric encryption) with secure authentication (for example using the public key). In principle, different encryption methods can be used for asymmetric encryption.

Mithilfe eines solchen Systems 100 wird die Identität des Clients vertraulich gehandhabt und somit geschützt. Im Rahmen einer entsprechenden Infrastruktur S können mehrere eindeutige Schlüsselpaare kreiert und verteilt werden, die es unterschiedlichen Client-Plattformen 10 erlaubt, die Identität ihrer Nutzer zu schützen.With the help of such a system 100, the identity of the client is handled confidentially and is therefore protected. Within the framework of a corresponding infrastructure S, several unique key pairs can be created and distributed, which allow different client platforms 10 to protect the identity of their users.

Jedem Legacy-Client 11 wird ein korrespondierender Sicherheits-Token 12 mit einem fest zugeordneten öffentlichen Schlüssel zur Verfügung gestellt. Für jeden öffentlichen Schlüssel kann wiederum nur ein individueller privater Schlüssel vergeben werden. Die Nachrichten, die mithilfe des öffentlichen Schlüssels verschlüsselt wurden, können nur mithilfe eines zugeordneten privaten Schlüssels entschlüsselt werden. Eine Verschlüsselung mit einem öffentlichen Schlüssel kann außerdem dazu verwendet werden, Nachrichten digital zu signieren und den Client damit zu authentifizieren.Each legacy client 11 is provided with a corresponding security token 12 with a permanently assigned public key. In turn, only one individual private key can be assigned for each public key. The messages encrypted using the public key can only be decrypted using an associated private key. Public key cryptography can also be used to digitally sign messages to authenticate the client.

Die Erfindung ermöglicht somit einen Aufbau eines stark verschlüsselten Tunnels 40 von einer Loopbackadresse des Legacy-Clients 11 zum Legacy-Server 21 der Altanwendung über den Sicherheits-Token 12 auf der Client-Plattform 10 und den Sicherheits-Server 22 auf der Server-Plattform 20. Die Verschlüsselung und die Authentifizierung beim Aufbau des Tunnels 40 erfolgt über den Sicherheits-Token 12. Auf dem Anmelde-Analyse-Modul 23 auf der Seite des Sicherheits-Servers 22 erfolgt eine Überprüfung der Anmeldedaten AD des Legacy-Clients 11 bzw. die Verknüpfung der Sicherheits-Token-ID zur Client-ID.The invention thus enables a strongly encrypted tunnel 40 to be set up from a loopback address of the legacy client 11 to the legacy server 21 of the old application via the security token 12 on the client platform 10 and the security server 22 on the server platform 20 Encryption and authentication when setting up the tunnel 40 takes place via the security token 12. The registration data AD of the legacy client 11 or the link is checked on the registration analysis module 23 on the security server 22 side the security token ID to the client ID.

Der Sicherheits-Token 12 kann in Form einer Chipkarte oder einer PKI-Karte ausgeführt sein. Mithilfe einer individuellen PKI-Karte können unterschiedliche Clients einfach und bequem an eine Public-Key-Infrastruktur angebunden werden. Mithilfe einer PKI-Karte kann vorteilhafterweise eine zwei Faktor Authentifizierung bereitgestellt werden.The security token 12 can be in the form of a chip card or a PKI card. With the help of an individual PKI card, different clients can be easily and conveniently connected to a public key infrastructure. A two-factor authentication can advantageously be provided with the aid of a PKI card.

Wie es die 1 andeutet, kann das Anmelde-Analyse-Modul 23 hardwaretechnisch, softwaretechnisch und/oder funktionstechnisch in dem Sicherheits-Server 22 integriert sein. Das Anmelde-Analyse-Modul 23 kann als ein Software- und/oder Hardware-Baustein ausgebildet sein, welches im Sicherheits-Server 22 integriert werden kann.Like it the 1 indicates, the registration analysis module 23 can be integrated in the security server 22 in terms of hardware, software and/or function. The registration analysis module 23 can be in the form of a software and/or hardware component which can be integrated in the security server 22 .

Zudem zeigt die 1, dass das Anmelde-Analyse-Modul 23 eine Auswerteeinheit AI aufweisen kann. Die Auswerteeinheit AI kann dazu ausgeführt sein, die Anmeldedaten AD des Legacy-Clients 11 zu überprüfen.In addition, the 1 that the registration analysis module 23 can have an evaluation unit AI. The evaluation unit AI can be designed to check the registration data AD of the legacy client 11 .

Wie es die 1 außerdem zeigt, kann im Rahmen eines Systems 100 ein Verzeichnis 26 vorgesehen sein. In dem Verzeichnis 26 können zumindest zum Teil die Anmeldedaten AD und/oder weitere Benutzerdaten BD, insbesondere erweiterte Benutzerdaten, für unterschiedliche Client-IDs gespeichert werden. Das Verzeichnis 26 kann bspw. in Form einer Datenbank ausgeführt sein und mehrere Client-IDs mit zugehörigen Daten verknüpfen. Das Anmelde-Analyse-Modul 23 kann bspw. zumindest zum Teil die Anmeldedaten AD aus dem Verzeichnis beziehen, um die Zugriffsberechtigung des Legacy-Client 11 für einen Zugriff auf den Legacy-Server 21 zu überprüfen. Die Benutzerdaten BD, insbesondere erweiterte Benutzerdaten, können weitere nützliche Daten zu einer Client-ID umfassen, wie z. B. den aktuellen Status des Legacy-Clients 11, wie z. B. aktiver Mitarbeiter oder deaktivierter Mitarbeiter, eine E-Mail-Adresse, eine Zugehörigkeit zu einer Gruppe usw.Like it the 1 1, a directory 26 may be provided within a system 100. FIG. At least part of the registration data AD and/or further user data BD, in particular extended user data, can be stored in the directory 26 for different client IDs. The directory 26 can be in the form of a database, for example, and can link a number of client IDs with associated data. The registration analysis module 23 can, for example, obtain at least some of the registration data AD from the directory in order to check the access authorization of the legacy client 11 for access to the legacy server 21 . The user data BD, in particular extended user data, can include other useful data on a client ID, such as B. the current status of the legacy client 11, such as. B. active employee or deactivated employee, an email address, a membership in a group, etc.

Außerdem zeigt die 1, dass das Anmelde-Analyse-Modul 23 eine Schnittstelle SN zu dem Verzeichnis 26 aufweisen kann, um zumindest zum Teil die Anmeldedaten AD, wie z. B. eine Zugriffsberechtigung, und/oder weitere Benutzerdaten BD, insbesondere erweiterte Benutzerdaten, zu einer Client-ID abzufragen. Die Schnittstelle SN kann vorzugsweise eine gesicherte Kommunikation mit dem Verzeichnis 26 ermöglichen, bspw. mithilfe eines Verschlüsselungsprotokolls für eine sichere Kommunikationsverbindung 25, wie z. B. TLS.In addition, the 1 That the registration analysis module 23 can have an interface SN to the directory 26 to at least partially the registration data AD, such as. Legs Request access authorization and/or additional user data BD, in particular extended user data, for a client ID. The interface SN can preferably enable secure communication with the directory 26, e.g. using an encryption protocol for a secure communication link 25, such as e.g. B.TLS.

Ferner zeigt die 1, dass das Anmelde-Analyse-Modul 23 eine Empfangseinheit EI aufweisen kann, um die ID-Daten und/oder die Anmeldedaten AD des Legacy-Clients 11 von dem Sicherheits-Token 12 zu empfangen, und/oder dass das Anmelde-Analyse-Modul 23 eine Weiterleitungseinheit Wl aufweisen kann, um die ID-Daten und/oder die Anmeldedaten AD des Legacy-Clients 11 an den Legacy-Server 21 weiterzuleiten. Das Weiterleiten kann vorzugsweise nur dann stattfinden, wenn die Anmeldedaten AD des Legacy-Clients 11 für einen Zugriff auf den Legacy-Server 21 positiv verifiziert wurden.Furthermore, the 1 that the registration analysis module 23 can have a receiving unit EI in order to receive the ID data and/or the registration data AD of the legacy client 11 from the security token 12, and/or that the registration analysis module 23 can have a forwarding unit Wl in order to forward the ID data and/or the registration data AD of the legacy client 11 to the legacy server 21 . The forwarding can preferably only take place if the registration data AD of the legacy client 11 for access to the legacy server 21 have been positively verified.

Die Kommunikationsverbindung 24 zwischen dem Legacy-Server 21 und dem Sicherheits-Server 22 kann bspw. über eine SSL/TLS-Verbindung erfolgen. Die Kommunikationsverbindung 14 zwischen dem Legacy-Client 11 und dem Sicherheits-Token 12 kann ebenfalls über eine SSL/TLS-Verbindung erfolgen. Grundsätzlich ist jede Verbindung denkbar, die durch die Server-Plattform 20 bzw. Client-Plattform 10 unterstützt wird.The communication connection 24 between the legacy server 21 and the security server 22 can, for example, take place via an SSL/TLS connection. The communication connection 14 between the legacy client 11 and the security token 12 can also take place via an SSL/TLS connection. In principle, any connection that is supported by the server platform 20 or client platform 10 is conceivable.

Vorteilhafterweise kann das Anmelde-Analyse-Modul 23 eine, insbesondere nicht flüchtige, Speichereinheit MU für die Anmeldedaten AD des Legacy-Clients 11 und/oder für Logeinträge aufweisen, um bspw. automatisch ein Protokoll über die Anmeldungen des Legacy-Clients 11 auf dem Legacy-Server 21 zu führen. Mithilfe der Speichereinheit MU können außerdem die Anmeldedaten AD für eine schnelle Anmeldung es Legacy-Clients 11 auf dem Legacy-Server 21 parat gehalten werden.Advantageously, the registration analysis module 23 can have a, in particular non-volatile, memory unit MU for the registration data AD of the legacy client 11 and/or for log entries, for example to automatically create a log of the registrations of the legacy client 11 on the legacy -Server 21 to lead. With the help of the storage unit MU, the registration data AD can also be kept ready for quick registration of the legacy client 11 on the legacy server 21 .

Wie es die 1 schematisch verdeutlicht, kann das Anmelde-Analyse-Modul 23 dazu ausgeführt sein, Client-ID und/oder Client-Verwaltung auf der Server-Plattform 20 an den Sicherheits-Token 12 zu binden.Like it the 1 schematically illustrated, the login analysis module 23 can be designed to bind the client ID and/or client administration on the server platform 20 to the security token 12 .

Eine entsprechende verteilte Infrastruktur S, insbesondere eine Public-Key-Infrastruktur, stellt ebenfalls einen Aspekt der Erfindung dar, aufweisend:

eine Vielzahl an Client-Plattformen 10 und
eine Mehrzahl an Server-Plattformen 20,
- - wobei die Vielzahl an Client-Plattformen 10 gleich oder ungleich der Mehrzahl an Server-Plattformen 20 ist,
- - und wobei zwischen einer Client-Plattform 10 von der Vielzahl an Client-Plattformen 10 und mindestens einer anwendungsseitigen Server-Plattform 20 von der Mehrzahl an Server-Plattformen 20 jeweils ein Tunnel 40 mithilfe eines Systems 100, welches wie oben beschrieben ausgeführt sein kann, aufgebaut ist.

A corresponding distributed infrastructure S, in particular a public key infrastructure, also represents an aspect of the invention, having:

a variety of client platforms 10 and
a plurality of server platforms 20,
- - wherein the plurality of client platforms 10 is the same or different than the plurality of server platforms 20,
- - and wherein between a client platform 10 from the plurality of client platforms 10 and at least one application-side server platform 20 from the plurality of server platforms 20, a tunnel 40 is established with the aid of a system 100, which can be implemented as described above, is constructed.

Ein entsprechendes Verfahren zum Aufrüsten mindestens einer, insbesondere veralteten, Client/Server-Anwendung für eine sichere und vertrauliche Datenübertragung zwischen einer Client-Plattform 10 mit einem Legacy-Client 11 und einer Server-Plattform 20 mit einem Legacy-Server 21, wobei gemäß der, insbesondere veralteten, Client/Server-Anwendung der Legacy-Client 11 mithilfe von Anmeldedaten AD einen Zugriff auf den Legacy-Server 21 erhält, aufweisend folgende Aktionen:

- Ausführen der Client-Plattform 10 mit einem Sicherheits-Token 12, um einen Tunnel 40 zur Server-Plattform 20 für eine verschlüsselte und autorisierte Kommunikation aufzubauen, und um eine Authentifizierung, insbesondere eine zwei-Faktor-Authentifizierung, des Legacy-Clients 11 für eine Kommunikation mit dem Legacy-Server 21 zu ermöglichen,
- Ausführen der Server-Plattform 20 mit einem Sicherheits-Server 22, um den Tunnel 40 zur Client-Plattform 10 für eine verschlüsselte und autorisierte Kommunikation aufzubauen, und um die Authentifizierung des Legacy-Clients 11 für eine Kommunikation mit dem Legacy-Server 21 durchzuführen,
- Ausführen der Server-Plattform 20 mit einem Anmelde-Analyse-Modul 23, um die Anmeldedaten AD des Legacy-Clients 11 für einen Zugriff auf den Legacy-Server 21 zu überprüfen.

A corresponding method for upgrading at least one, in particular outdated, client / server application for secure and confidential data transmission between a client platform 10 with a legacy client 11 and a server platform 20 with a legacy server 21, wherein according to the , in particular outdated, client/server application, the legacy client 11 gains access to the legacy server 21 using login data AD, having the following actions:

- Running the client platform 10 with a security token 12 to build a tunnel 40 to the server platform 20 for encrypted and authorized communication, and authentication, in particular a two-factor authentication, the legacy client 11 for enable communication with the legacy server 21,
Running the server platform 20 with a security server 22 to set up the tunnel 40 to the client platform 10 for encrypted and authorized communication, and to authenticate the legacy client 11 for communication with the legacy server 21 ,
- Running the server platform 20 with a login analysis module 23 to check the login data AD of the legacy client 11 for access to the legacy server 21.

Vorteilhafterweise kann das erfindungsgemäße Verfahren mithilfe eines Systems 100 durchgeführt werden, welches wie oben beschrieben ausgeführt sein kann.The method according to the invention can advantageously be carried out using a system 100 which can be implemented as described above.

Die voranstehende Beschreibung der Figur beschreibt die vorliegende Erfindung ausschließlich im Rahmen von Beispielen. Selbstverständlich können einzelne Merkmale der Ausführungsformen, sofern es technisch sinnvoll ist, frei miteinander kombiniert werden, ohne den Rahmen der Erfindung zu verlassen.The above description of the figure describes the present invention solely within the framework of examples. It goes without saying that individual features of the embodiments can be freely combined with one another, insofar as this makes technical sense, without departing from the scope of the invention.

BezugszeichenlisteReference List

100100: System system
1010: Client-Plattformclient platform
1111: Legacy-Clientlegacy client
1212: Sicherheits-Tokensecurity token
1414: Kommunikationsverbindung communication link
2020: Server-Plattformserver platform
2121: Legacy-Serverlegacy server
2222: Sicherheits-Serversecurity server
2323: Anmelde-Analyse-ModulLogin Analysis Module
2424: Kommunikationsverbindungcommunication link
2525: Kommunikationsverbindungcommunication link
2626: Verzeichnis directory
4040: Tunnel tunnel
SS: Infrastruktur infrastructure
ADAD: Anmeldedatencredentials
AIAl: Auswerteeinheitevaluation unit
BDBD: Benutzerdatenuser data
EIEGG: Empfangseinheitreceiving unit
MUMU: Speichereinheitstorage unit
SNSN: Schnittstelleinterface
WIWI: Weiterleitungseinheitforwarding unit

Claims

A system (100) for upgrading at least one client/server application for secure and confidential communications, comprising: - a client platform (10) with a legacy client (11) and - a server platform (20) with a legacy server (21), - whereby according to the client/server application the legacy client (11) receives access to the legacy server (21) using login data (AD), - wherein the client platform (10) is implemented with a security token (12), to set up a tunnel (40) to the server platform (20) for encrypted and authorized communication, and to enable authentication of the legacy client (11) for communication with the legacy server (21), - wherein the server platform (20) is designed with a security server (22), to set up the tunnel (40) to the client platform (10) for encrypted and authorized communication, and to perform the authentication of the legacy client (11) for communication with the legacy server (21), - and wherein the server platform (20) is designed with a registration analysis module (23), to check the credentials (AD) of the legacy client (11) for access to the legacy server (21).

system (100) after claim 1 , wherein the tunnel (40) is provided in the form of an SSH tunnel, and/or wherein the security token (12) is in the form of a chip card or a PKI card.

System (100) according to one of the preceding claims, wherein a directory (26) is provided in order to provide at least some of the registration data (AD) and/or further user data (BD), in particular extended user data, for a client ID.

System (100) according to one of the preceding claims, wherein the registration analysis module (23) has an interface (SN) to a directory (26) in order to at least partially store the registration data (AD) and/or further user data (BD) , in particular extended user data, to query a client ID.

System (100) according to any one of the preceding claims, wherein the registration analysis module (23) has a receiving unit (EI) in order to receive the ID data and/or the registration data (AD) of the legacy client (11) from the security token (12), and/or wherein the registration analysis module (23) has a forwarding unit (WI) in order to forward the ID data and/or the registration data (AD) of the legacy client (11) to the legacy server (21), in particular only to be forwarded if the login data (AD) of the legacy client (11) for access to the legacy server (21) has been positively verified.

System (100) according to one of the preceding claims, wherein the registration analysis module (23) has a, in particular non-volatile, storage unit (MU) for the registration data (AD) of the legacy client (11) and/or for log entries.

System (100) according to any one of the preceding claims, wherein the login analysis module (23) is designed to client ID and / or client management on the server platform (20) to the security token (12). tie.

Use of a system (100) according to one of the preceding claims in a distributed infrastructure (S).

Distributed infrastructure (S), comprising: a plurality of client platforms (10) and a plurality of server platforms (20), wherein the plurality of client platforms (10) are the same as or different from the plurality of server platforms (20), and wherein a tunnel (40 ) is constructed using a system (100) according to any one of the preceding claims.

Method for upgrading at least one client / server application for secure and confidential data transmission between a client platform (10) with a legacy client (11) and a server platform (20) with a legacy server (21), wherein according to the client/server application, the legacy client (11) is granted access to the legacy server (21) using credentials (AD), having: - running the client platform (10) with a security token (12), to set up a tunnel (40) to the server platform (20) for encrypted and authorized communication, and to enable authentication of the legacy client (11) for communication with the legacy server (21), - running the server platform (20) with a security server (22), to set up the tunnel (40) to the client platform (10) for encrypted and authorized communication, and to perform the authentication of the legacy client (11) for communication with the legacy server (21), - Running the server platform (20) with a login analysis module (23) to check the login data (AD) of the legacy client (11) for access to the legacy server (21).