DE10204613A1 - Verfahren zur Verbesserung der Sicherheit in einem Nachrichtennetz - Google Patents
Verfahren zur Verbesserung der Sicherheit in einem NachrichtennetzInfo
- Publication number
- DE10204613A1 DE10204613A1 DE2002104613 DE10204613A DE10204613A1 DE 10204613 A1 DE10204613 A1 DE 10204613A1 DE 2002104613 DE2002104613 DE 2002104613 DE 10204613 A DE10204613 A DE 10204613A DE 10204613 A1 DE10204613 A1 DE 10204613A1
- Authority
- DE
- Germany
- Prior art keywords
- participant
- digital signature
- network
- key
- algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Der Anmeldungsgegenstand betrifft im Wesentlichen ein Verfahren, bei dem jedes übermittelte Datenpaket durch eine digitale Signatur transparent gemacht wird, die vorzugsweise von einem sogenannten Trust-Center zertifiziert ist. Dies kann beispielsweise auf der IP-Ebene durch besonders ausgestaltete Netzwerkkomponenten aber auch bereits auf der Transportprotokollebene erfolgen.
Description
- Die Erfindung betrifft den Austausch von Daten zwischen einem Benutzerrechner (Client) und einem Dienstleistungsrechner (Server), zum Beispiel eines Diensteanbieter (Service Provider) in einem digitalen Nachrichtennetz, insbesondere im Internet.
- Die der Erfindung zugrunde liegende Aufgabe besteht nun darin, die Sicherheit in einem Nachrichtennetz allgemein, das heißt hinsichtlich Hackerangriffen, Virenverbreitung, aber auch hinsichtlich der Vertragssicherheit zwischen e-business- Partnern, die das Datennetz benutzen, zu verbessern, bzw. überhaupt erst zu gewährleisten ohne die Performance in besonderer Weise zu verringern.
- Diese Aufgabe wird erfindungsgemäß durch die Merkmale des Anspruchs 1 gelöst.
- Die weiteren Ansprüche betreffen besonders vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens.
- Von besonderem Vorteil bei der Erfindung ist, neben der Sicherheitsverbesserung, die Möglichkeit der Rechnungsstellung für Dienstleistungen und die Möglichkeit einer Hardwareverschlüsselung.
- Ein Ausführungsbeispiel der Erfindung wird nachfolgend anhand der Zeichnungen näher erläutert. Dabei zeigt
- Fig. 1 eine Darstellung zur Erläuterung eines gesicherten Datenaustausches zwischen einem sendenden und einem empfangenden Netzwerkteilnehmer,
- Fig. 2 eine Darstellung zur Erläuterung einer in der IP- Ebene übertragenen digitalen Schlüssels, der auf eine digitale Signatur des jeweiligen Senders referenziert und
- Fig. 3 eine Darstellung zur Erläuterung eines in der Transportprotokollebene übertragenen digitalen Schlüssels des jeweiligen Senders.
- Die Hauptidee der Erfindung ist es, jedes übermittelte Datenpaket durch einen digitalen Schlüssels mit einer Prüfsumme bzw. Checksum über das jeweilige IP-Paket, die vorzugsweise von einem sogenannten Trust-Center durch einen nicht allgemein bekannten Algorithmus berechnet wird, transparent zu machen. Der Algorithmus oder Teile davon sind bspw. Bestandteil einer sogenannten Smartcard und nur dem Trust-Center bekannt. Damit ist nur der Sender oder der zuständige Trust-Center in der Lage ein IP-Paket online oder offline zu verifizieren.
- Der erfindungsgemäße Kommunikationsablauf erfolgt dabei typischerweise folgendermaßen:
- 1. Der Benutzer meldet sich auf einem lokalen PC, beispielsweise mit der sogenannten SmartCard, einer persönlichen Identifikationsnummer (PIN), seinem Fingerabdruck oder einer Iris-Erkennung an.
- 2. Der Netzkartentreiber lädt einen von der Identifikationsinformation abhängigen Teil der digitalen Signatur in einen auf der Netzwerkkarte vorhandenen löschbaren elektrischprogramierbaren Nurlesespeicher (Flash- EPROM). Optional kann dies auch durch einen im System vorhandenen Software-Treiber realisiert sein.
- 3. Der Benutzer surft über das herkömmliche IP-Verfahren im Netz und es erfolgt nach Veranlassung oder automatisch auf Grund der betreffenden Kommunikationsart ein Wechsel zum gesicherten IP-Verfahren.
- 4. Die Netzkarte oder der Software-Treiber berechnet nun bei diesem gesicherten IP-Verfahren für jedes IP-Paket mit dem von der digitalen Signatur abhängigen Algorithmus des Benutzers die Checksum, z. B. nur 2 Byte, und fügt sie mit dem individuellen digitalen Schlüssel, z. B. 6 Byte, im IP-Header ein.
- 5. Da die Netzkarte oder dessen Netzwerkkarten Treiber des Geschäftspartners ebenfalls mit dem gleichen Verfahren arbeitet, sind alle Protokolle, die im Schichtenmodell über dem Internet-Protokoll liegen, somit von beiden Seiten einer Kommunikation verifizierbar und damit jeweils indirekt signiert.
- Jegliche Form von Kommunikation, die auf dem Internet- Protokoll aufbaut, kann somit auf beiden Seiten der Vertragspartner sicher gespeichert und zur Dokumentation der geschäftlichen Vereinbarungen verwahrt werden. Jede Form von Mißbrauch wird implizit durch den indirekten Signierungsvorgang verhindert. Jedes Paket trägt damit die Identifikation des Benutzers. Weiterführend können personalisierte Firewalls gebaut werden, die als Login automatisch das erste ankommende IP-Paket am Trust-Center verifizieren.
- In Fig. 1 ist ein sendender lokaler Rechner S. der über mehrere Netzknoten (Hops) H1. . .H3 eines digitalen Netzes mit einem empfangenden Rechner R, beispielsweise eines Service- Providers, verbunden ist. Der sendende Rechner S besitzt, wie eingangs erwähnt, einen digitalen Schlüssel K(S) mit der er die zu versendenden Datenpakete P(S) durch einen Algoritmus mit einer Checksum C(S) versieht. Diese Checksum kann beispielsweise von einem Zwischenrechner H1, der in Verbindung mit einem Rechner eines Trust-Centers steht, oder aber von dem empfangenden Rechner R, der selbst eine Verbindung zu einem Trust-Center aufweist jederzeit, auf seine Vertrauenswürdigkeit, Bonität usw. überprüft werden. Die vom Rechner R übertragenen IP-Pakete P(R) werden in entsprechender Weise mit einem digitalen Schlüssel und einer Checksum K(R) auch direkt oder über Zwischenrechner an den ursprünglich sendenden Rechner S zurückgeschickt. Eine Überprüfung einer Checksum C(R) kann wiederum ebenfalls in einem Zwischenrechner, der eine Netzverbindung zu einem Trust-Center aufweist, oder aber im Rechner S. der selbst eine Verbindung zum Trust-Center TC aufweist, überprüft werden.
- In Fig. 2 ist ein entsprechender Protokollaufbau dargestellt, mit dessen Hilfe jede auf dem Internet-Protokoll basierende Kommunikation indirekt signiert werden kann. Hierbei wird deutlich, dass sich, zwischen einem IP- Protokollteil IP und dem Transport-Protokollteil TCP/UDP, der von höheren Protokollen wie HTTP, SOAP, POP3 usw. gefolgt wird, ein Bereich für eine Signatur, wie beispielsweise Sig(S), vorhanden ist. Alle Netzwerkkarten, Switches und Router müssen dabei in der Lage sein, den digitalen Schlüssel K(S) und die Checksum C(S) dahinter auf der IP-Ebene zu transportieren. Der digitale Schlüssel des Senders und Empfängers ist dabei immer statisch im IP-Paket. Optional kann der jeweilige Schlüssel von getrusteten Webservern und Netzkomponenten hingegen zwischen den jeweiligen Kommunikationspunkten temporär im IP-Paket vorhanden sein um die Performance für gesicherte Verbindungen zu erhöhen.
- Ein weiteres Ausführungsbeispiel der Erfindung besteht darin, jedes Paket bereits auf der Transportprotokollebene, also jedes TCP/IP-Paket, und nicht erst auf der Internet- Protokollebene mit einem jeweiligen digitalen Schlüssel und einer jeweiligen Checksum zu versehen.
- In Fig. 3 wird ein entsprechendes Protokoll dargestellt, das zwischen einem IP-Protokollteil und einem Protokollteil für höhere Protokolle, wie HTTP, SOAP, POP3 usw., einen um einen digitalen Schlüssel K(S) und Checksum C(S) erweiterten Transportpro tokollteil TCP + Sig(S) aufweist. Hierbei sind vorteilhafterweise keine besonderen Netzwerkkarten bzw. Netzwerkkartentreiber erforderlich, da das System des jeweiligen sendenden Rechners selbst jedes TCP/IP-Paket mit einem digitalen Schlüssel und einer Checksum versieht.
- Das Verfahren kann dazu verwendet werden, eine normale Bestellung über Internet zu realisieren, die von beiden Vertragspartnern aufgezeichnet wird, oder aber für ein e- business-Portal, das digital signiert ist und nur für Benutzer mit bestimmten Kennungen Einlass gewährt.
Claims (6)
1. Verfahren zur Verbesserung der Sicherheit in einem
Nachrichtennetz,
bei dem Daten zwischen einem jeweiligen Teilnehmer (S) und mindestens einem zweiten Teilnehmer derart ausgetauscht werden,
dass sich ein jeweiliger Teilnehmer mit seiner persönlichen Identifikationsinformation bei einem lokalen Benutzerrechner anmeldet und ein von der Identifikationinformation abhängiger Schlüssel (K(S)) im Benutzerrechner gespeichert wird,
dass der jeweilige Teilnehmer wahlweise jedes einzelne Datenpaket eines Netzprotokolls mit diesem Schlüssel und einer Prüfsumme (C(S)) in Form einer digitalen Signatur (Sig(S)) signiert, wobei die Prüfsumme in Abhängigkeit des Schlüssels nach einem Algorithmus berechnet wird und wobei der Algorithmus oder Teile davon nur dem jeweiligen Teilnehmer und/oder mindestens einem Vertrauenszentrum zu Verfügung stehen.
bei dem Daten zwischen einem jeweiligen Teilnehmer (S) und mindestens einem zweiten Teilnehmer derart ausgetauscht werden,
dass sich ein jeweiliger Teilnehmer mit seiner persönlichen Identifikationsinformation bei einem lokalen Benutzerrechner anmeldet und ein von der Identifikationinformation abhängiger Schlüssel (K(S)) im Benutzerrechner gespeichert wird,
dass der jeweilige Teilnehmer wahlweise jedes einzelne Datenpaket eines Netzprotokolls mit diesem Schlüssel und einer Prüfsumme (C(S)) in Form einer digitalen Signatur (Sig(S)) signiert, wobei die Prüfsumme in Abhängigkeit des Schlüssels nach einem Algorithmus berechnet wird und wobei der Algorithmus oder Teile davon nur dem jeweiligen Teilnehmer und/oder mindestens einem Vertrauenszentrum zu Verfügung stehen.
2. Verfahren nach Anspruch 1,
bei dem Datenpakete über Dienstleistungsrechner (H1. . .H3) des
Netzes übertragen werden, die eine Schnittstelle zu einem
Rechner eines Vertrauenszentrums (TC) aufweisen, und die
Datenpakete nur dann zu mindestens einem zweiten Teilnehmer
(R) übertragen werden, wenn eine entsprechende
Vertrauenswürdigkeit der jeweiligen Signatur vorliegt.
3. Verfahren nach Anspruch 1 oder 2,
bei dem der Schlüssel in einem löschbaren elektrisch
programmierbaren Nurlesespeicher der Netzwerkkarte des
lokalen Benutzerrechners abgespeichert wird.
4. Verfahren nach einem der vorhergehenden Ansprüche,
bei dem die persönliche Identifikation durch Eingabe einer
Identifikationsnummer und/oder einer Fingerabdruckerkennung
und/oder einer Fingerabdruckerkennung und/oder Irisabtastung
erfolgt.
5. Verfahren nach einem der vorhergehenden Ansprüche,
bei dem der Transport der digitalen Signatur (Sig(S)) auf der
Internet-Protokollebene erfolgt, wobei die digitale Signatur
des Teilnehmers statisch und digitale Signaturen von weiteren
an der Kommunikation beteiligten Netzwerkkomponenten nur
temporär zwischen zwei jeweiligen Kommunikationspunkten (H1,
H2) im IP-Datenpaket vorhanden sind.
6. Verfahren nach Anspruch 1 bis 4,
bei dem der Transport der digitalen Signatur auf der
Transportprotokollebene (TCI/UDP) erfolgt, wobei nur die
digitale Signatur des Teilnehmers vorhanden ist.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE2002104613 DE10204613A1 (de) | 2002-02-05 | 2002-02-05 | Verfahren zur Verbesserung der Sicherheit in einem Nachrichtennetz |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE2002104613 DE10204613A1 (de) | 2002-02-05 | 2002-02-05 | Verfahren zur Verbesserung der Sicherheit in einem Nachrichtennetz |
Publications (1)
Publication Number | Publication Date |
---|---|
DE10204613A1 true DE10204613A1 (de) | 2003-08-14 |
Family
ID=27588357
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE2002104613 Withdrawn DE10204613A1 (de) | 2002-02-05 | 2002-02-05 | Verfahren zur Verbesserung der Sicherheit in einem Nachrichtennetz |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE10204613A1 (de) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7685639B1 (en) * | 2004-06-29 | 2010-03-23 | Symantec Corporation | Using inserted e-mail headers to enforce a security policy |
US9906366B1 (en) * | 2017-04-07 | 2018-02-27 | At&T Mobility Ii Llc | Service provider based security in a wireless network |
-
2002
- 2002-02-05 DE DE2002104613 patent/DE10204613A1/de not_active Withdrawn
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7685639B1 (en) * | 2004-06-29 | 2010-03-23 | Symantec Corporation | Using inserted e-mail headers to enforce a security policy |
US9906366B1 (en) * | 2017-04-07 | 2018-02-27 | At&T Mobility Ii Llc | Service provider based security in a wireless network |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60218042T2 (de) | Verfahren und system für einen dienstleistungsprozess zur bereitstellung eines dienstes zu einem kunden | |
DE60206856T2 (de) | Verfahren und Vorrichtung zum Schutz von Internetanlagen gegen Denial-of-Service Angriffen | |
DE60132984T2 (de) | Elektronisches nachrichtensystem zur verwendung während des fluges | |
DE602004010703T2 (de) | Eine persistente und zuverlässige sitzung, die neztwerkkomponenten unter verwendung eines verkapselungsprotokolls sicher durchläuft | |
DE602005000121T2 (de) | Methode und Vorrichtung zum Reduzieren von e-Mail Spam und der Verbreitung von Viren in einem Kommunikationsnetz durch Authentifizierung der Herkunft von e-Mail Nachrichten | |
EP1250789B1 (de) | Verfahren, system zur übermittlung von daten von einem sender zu einem empfänger und sender bzw. empfänger hierzu | |
DE102005046965B3 (de) | Verfahren und Anordnung zur Verifikation einer im Zuge einer Verbindungsanfrage zum Zweck des Aufbaus einer Sprach-Kommunikationsverbindung übermittelten Absenderadresse in einem IP-Kommunikationsnetzwerk | |
EP1316188B1 (de) | Verfahren und Internet-Zugangsknoten zur Identifikation von Internet-Nutzern | |
EP1417820A2 (de) | Verfahren und computersystem zur sicherung der kommunikation in netzwerken | |
EP2575385B1 (de) | Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos, zum Durchführen einer Transaktion, sowie Endgerät | |
DE602004002950T2 (de) | Verfahren und Vorrichtung zur Zugriffssteuerung | |
DE10204613A1 (de) | Verfahren zur Verbesserung der Sicherheit in einem Nachrichtennetz | |
DE102019210226A1 (de) | Vorrichtung und Verfahren für Angriffserkennung in einem Kommunikationsnetzwerk | |
EP1776821B1 (de) | System und verfahren zum sicheren anmelden in einem kommuniktionssystem mit netzwerkverbindungs- und verbindungssteuerungs-rechnern | |
WO2002071350A2 (de) | Verfahren zur bezahlung von entgeltpflichtigen angeboten, die über ein netz erfolgen | |
EP2055087A1 (de) | Verfahren zum weiterleiten von notfallnachrichten eines endgerätes in einem kommunikationsnetz | |
WO2004021663A1 (de) | Verfahren sowie vorrichtung zur datenquellenspezifischen kennzeichnung von push-nutzdaten | |
DE102016100692A1 (de) | Netzwerkschutzentität und Verfahren zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten | |
Carpenter et al. | Connecting IPv6 Routing Domains Over the IPv4 Internet | |
EP1323279B1 (de) | Verfahren zur kopplung von online- und internetdiensten | |
EP1665712A1 (de) | Verfahren zum übermitteln von elektronischen daten über zwei unterschiedliche netzwerke zur erhöhung der internetsicherheit | |
EP1916822A1 (de) | Verfahren und System für einen Kommunikationsknoten mit mehreren Netzwerkschnittstellen | |
EP2493122B1 (de) | IPv6 Quellenadressextrapolation | |
EP3515016B1 (de) | System und verfahren zur captive-portal-bereitstellung durch paketkabel-multimedia | |
EP2887604B1 (de) | Verfahren und Telekommunikationsnetz zur Erhöhung der Sicherheit beim paketorientierten Datenaustausch |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8130 | Withdrawal |