DE10204613A1 - Verfahren zur Verbesserung der Sicherheit in einem Nachrichtennetz - Google Patents

Verfahren zur Verbesserung der Sicherheit in einem Nachrichtennetz

Info

Publication number
DE10204613A1
DE10204613A1 DE2002104613 DE10204613A DE10204613A1 DE 10204613 A1 DE10204613 A1 DE 10204613A1 DE 2002104613 DE2002104613 DE 2002104613 DE 10204613 A DE10204613 A DE 10204613A DE 10204613 A1 DE10204613 A1 DE 10204613A1
Authority
DE
Germany
Prior art keywords
participant
digital signature
network
key
algorithm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE2002104613
Other languages
English (en)
Inventor
Hermann Winkler
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE2002104613 priority Critical patent/DE10204613A1/de
Publication of DE10204613A1 publication Critical patent/DE10204613A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Der Anmeldungsgegenstand betrifft im Wesentlichen ein Verfahren, bei dem jedes übermittelte Datenpaket durch eine digitale Signatur transparent gemacht wird, die vorzugsweise von einem sogenannten Trust-Center zertifiziert ist. Dies kann beispielsweise auf der IP-Ebene durch besonders ausgestaltete Netzwerkkomponenten aber auch bereits auf der Transportprotokollebene erfolgen.

Description

  • Die Erfindung betrifft den Austausch von Daten zwischen einem Benutzerrechner (Client) und einem Dienstleistungsrechner (Server), zum Beispiel eines Diensteanbieter (Service Provider) in einem digitalen Nachrichtennetz, insbesondere im Internet.
  • Die der Erfindung zugrunde liegende Aufgabe besteht nun darin, die Sicherheit in einem Nachrichtennetz allgemein, das heißt hinsichtlich Hackerangriffen, Virenverbreitung, aber auch hinsichtlich der Vertragssicherheit zwischen e-business- Partnern, die das Datennetz benutzen, zu verbessern, bzw. überhaupt erst zu gewährleisten ohne die Performance in besonderer Weise zu verringern.
  • Diese Aufgabe wird erfindungsgemäß durch die Merkmale des Anspruchs 1 gelöst.
  • Die weiteren Ansprüche betreffen besonders vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens.
  • Von besonderem Vorteil bei der Erfindung ist, neben der Sicherheitsverbesserung, die Möglichkeit der Rechnungsstellung für Dienstleistungen und die Möglichkeit einer Hardwareverschlüsselung.
  • Ein Ausführungsbeispiel der Erfindung wird nachfolgend anhand der Zeichnungen näher erläutert. Dabei zeigt
  • Fig. 1 eine Darstellung zur Erläuterung eines gesicherten Datenaustausches zwischen einem sendenden und einem empfangenden Netzwerkteilnehmer,
  • Fig. 2 eine Darstellung zur Erläuterung einer in der IP- Ebene übertragenen digitalen Schlüssels, der auf eine digitale Signatur des jeweiligen Senders referenziert und
  • Fig. 3 eine Darstellung zur Erläuterung eines in der Transportprotokollebene übertragenen digitalen Schlüssels des jeweiligen Senders.
  • Die Hauptidee der Erfindung ist es, jedes übermittelte Datenpaket durch einen digitalen Schlüssels mit einer Prüfsumme bzw. Checksum über das jeweilige IP-Paket, die vorzugsweise von einem sogenannten Trust-Center durch einen nicht allgemein bekannten Algorithmus berechnet wird, transparent zu machen. Der Algorithmus oder Teile davon sind bspw. Bestandteil einer sogenannten Smartcard und nur dem Trust-Center bekannt. Damit ist nur der Sender oder der zuständige Trust-Center in der Lage ein IP-Paket online oder offline zu verifizieren.
  • Der erfindungsgemäße Kommunikationsablauf erfolgt dabei typischerweise folgendermaßen:
    • 1. Der Benutzer meldet sich auf einem lokalen PC, beispielsweise mit der sogenannten SmartCard, einer persönlichen Identifikationsnummer (PIN), seinem Fingerabdruck oder einer Iris-Erkennung an.
    • 2. Der Netzkartentreiber lädt einen von der Identifikationsinformation abhängigen Teil der digitalen Signatur in einen auf der Netzwerkkarte vorhandenen löschbaren elektrischprogramierbaren Nurlesespeicher (Flash- EPROM). Optional kann dies auch durch einen im System vorhandenen Software-Treiber realisiert sein.
    • 3. Der Benutzer surft über das herkömmliche IP-Verfahren im Netz und es erfolgt nach Veranlassung oder automatisch auf Grund der betreffenden Kommunikationsart ein Wechsel zum gesicherten IP-Verfahren.
    • 4. Die Netzkarte oder der Software-Treiber berechnet nun bei diesem gesicherten IP-Verfahren für jedes IP-Paket mit dem von der digitalen Signatur abhängigen Algorithmus des Benutzers die Checksum, z. B. nur 2 Byte, und fügt sie mit dem individuellen digitalen Schlüssel, z. B. 6 Byte, im IP-Header ein.
    • 5. Da die Netzkarte oder dessen Netzwerkkarten Treiber des Geschäftspartners ebenfalls mit dem gleichen Verfahren arbeitet, sind alle Protokolle, die im Schichtenmodell über dem Internet-Protokoll liegen, somit von beiden Seiten einer Kommunikation verifizierbar und damit jeweils indirekt signiert.
  • Jegliche Form von Kommunikation, die auf dem Internet- Protokoll aufbaut, kann somit auf beiden Seiten der Vertragspartner sicher gespeichert und zur Dokumentation der geschäftlichen Vereinbarungen verwahrt werden. Jede Form von Mißbrauch wird implizit durch den indirekten Signierungsvorgang verhindert. Jedes Paket trägt damit die Identifikation des Benutzers. Weiterführend können personalisierte Firewalls gebaut werden, die als Login automatisch das erste ankommende IP-Paket am Trust-Center verifizieren.
  • In Fig. 1 ist ein sendender lokaler Rechner S. der über mehrere Netzknoten (Hops) H1. . .H3 eines digitalen Netzes mit einem empfangenden Rechner R, beispielsweise eines Service- Providers, verbunden ist. Der sendende Rechner S besitzt, wie eingangs erwähnt, einen digitalen Schlüssel K(S) mit der er die zu versendenden Datenpakete P(S) durch einen Algoritmus mit einer Checksum C(S) versieht. Diese Checksum kann beispielsweise von einem Zwischenrechner H1, der in Verbindung mit einem Rechner eines Trust-Centers steht, oder aber von dem empfangenden Rechner R, der selbst eine Verbindung zu einem Trust-Center aufweist jederzeit, auf seine Vertrauenswürdigkeit, Bonität usw. überprüft werden. Die vom Rechner R übertragenen IP-Pakete P(R) werden in entsprechender Weise mit einem digitalen Schlüssel und einer Checksum K(R) auch direkt oder über Zwischenrechner an den ursprünglich sendenden Rechner S zurückgeschickt. Eine Überprüfung einer Checksum C(R) kann wiederum ebenfalls in einem Zwischenrechner, der eine Netzverbindung zu einem Trust-Center aufweist, oder aber im Rechner S. der selbst eine Verbindung zum Trust-Center TC aufweist, überprüft werden.
  • In Fig. 2 ist ein entsprechender Protokollaufbau dargestellt, mit dessen Hilfe jede auf dem Internet-Protokoll basierende Kommunikation indirekt signiert werden kann. Hierbei wird deutlich, dass sich, zwischen einem IP- Protokollteil IP und dem Transport-Protokollteil TCP/UDP, der von höheren Protokollen wie HTTP, SOAP, POP3 usw. gefolgt wird, ein Bereich für eine Signatur, wie beispielsweise Sig(S), vorhanden ist. Alle Netzwerkkarten, Switches und Router müssen dabei in der Lage sein, den digitalen Schlüssel K(S) und die Checksum C(S) dahinter auf der IP-Ebene zu transportieren. Der digitale Schlüssel des Senders und Empfängers ist dabei immer statisch im IP-Paket. Optional kann der jeweilige Schlüssel von getrusteten Webservern und Netzkomponenten hingegen zwischen den jeweiligen Kommunikationspunkten temporär im IP-Paket vorhanden sein um die Performance für gesicherte Verbindungen zu erhöhen.
  • Ein weiteres Ausführungsbeispiel der Erfindung besteht darin, jedes Paket bereits auf der Transportprotokollebene, also jedes TCP/IP-Paket, und nicht erst auf der Internet- Protokollebene mit einem jeweiligen digitalen Schlüssel und einer jeweiligen Checksum zu versehen.
  • In Fig. 3 wird ein entsprechendes Protokoll dargestellt, das zwischen einem IP-Protokollteil und einem Protokollteil für höhere Protokolle, wie HTTP, SOAP, POP3 usw., einen um einen digitalen Schlüssel K(S) und Checksum C(S) erweiterten Transportpro tokollteil TCP + Sig(S) aufweist. Hierbei sind vorteilhafterweise keine besonderen Netzwerkkarten bzw. Netzwerkkartentreiber erforderlich, da das System des jeweiligen sendenden Rechners selbst jedes TCP/IP-Paket mit einem digitalen Schlüssel und einer Checksum versieht.
  • Das Verfahren kann dazu verwendet werden, eine normale Bestellung über Internet zu realisieren, die von beiden Vertragspartnern aufgezeichnet wird, oder aber für ein e- business-Portal, das digital signiert ist und nur für Benutzer mit bestimmten Kennungen Einlass gewährt.

Claims (6)

1. Verfahren zur Verbesserung der Sicherheit in einem Nachrichtennetz,
bei dem Daten zwischen einem jeweiligen Teilnehmer (S) und mindestens einem zweiten Teilnehmer derart ausgetauscht werden,
dass sich ein jeweiliger Teilnehmer mit seiner persönlichen Identifikationsinformation bei einem lokalen Benutzerrechner anmeldet und ein von der Identifikationinformation abhängiger Schlüssel (K(S)) im Benutzerrechner gespeichert wird,
dass der jeweilige Teilnehmer wahlweise jedes einzelne Datenpaket eines Netzprotokolls mit diesem Schlüssel und einer Prüfsumme (C(S)) in Form einer digitalen Signatur (Sig(S)) signiert, wobei die Prüfsumme in Abhängigkeit des Schlüssels nach einem Algorithmus berechnet wird und wobei der Algorithmus oder Teile davon nur dem jeweiligen Teilnehmer und/oder mindestens einem Vertrauenszentrum zu Verfügung stehen.
2. Verfahren nach Anspruch 1, bei dem Datenpakete über Dienstleistungsrechner (H1. . .H3) des Netzes übertragen werden, die eine Schnittstelle zu einem Rechner eines Vertrauenszentrums (TC) aufweisen, und die Datenpakete nur dann zu mindestens einem zweiten Teilnehmer (R) übertragen werden, wenn eine entsprechende Vertrauenswürdigkeit der jeweiligen Signatur vorliegt.
3. Verfahren nach Anspruch 1 oder 2, bei dem der Schlüssel in einem löschbaren elektrisch programmierbaren Nurlesespeicher der Netzwerkkarte des lokalen Benutzerrechners abgespeichert wird.
4. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die persönliche Identifikation durch Eingabe einer Identifikationsnummer und/oder einer Fingerabdruckerkennung und/oder einer Fingerabdruckerkennung und/oder Irisabtastung erfolgt.
5. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der Transport der digitalen Signatur (Sig(S)) auf der Internet-Protokollebene erfolgt, wobei die digitale Signatur des Teilnehmers statisch und digitale Signaturen von weiteren an der Kommunikation beteiligten Netzwerkkomponenten nur temporär zwischen zwei jeweiligen Kommunikationspunkten (H1, H2) im IP-Datenpaket vorhanden sind.
6. Verfahren nach Anspruch 1 bis 4, bei dem der Transport der digitalen Signatur auf der Transportprotokollebene (TCI/UDP) erfolgt, wobei nur die digitale Signatur des Teilnehmers vorhanden ist.
DE2002104613 2002-02-05 2002-02-05 Verfahren zur Verbesserung der Sicherheit in einem Nachrichtennetz Withdrawn DE10204613A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2002104613 DE10204613A1 (de) 2002-02-05 2002-02-05 Verfahren zur Verbesserung der Sicherheit in einem Nachrichtennetz

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2002104613 DE10204613A1 (de) 2002-02-05 2002-02-05 Verfahren zur Verbesserung der Sicherheit in einem Nachrichtennetz

Publications (1)

Publication Number Publication Date
DE10204613A1 true DE10204613A1 (de) 2003-08-14

Family

ID=27588357

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2002104613 Withdrawn DE10204613A1 (de) 2002-02-05 2002-02-05 Verfahren zur Verbesserung der Sicherheit in einem Nachrichtennetz

Country Status (1)

Country Link
DE (1) DE10204613A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7685639B1 (en) * 2004-06-29 2010-03-23 Symantec Corporation Using inserted e-mail headers to enforce a security policy
US9906366B1 (en) * 2017-04-07 2018-02-27 At&T Mobility Ii Llc Service provider based security in a wireless network

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7685639B1 (en) * 2004-06-29 2010-03-23 Symantec Corporation Using inserted e-mail headers to enforce a security policy
US9906366B1 (en) * 2017-04-07 2018-02-27 At&T Mobility Ii Llc Service provider based security in a wireless network

Similar Documents

Publication Publication Date Title
DE60218042T2 (de) Verfahren und system für einen dienstleistungsprozess zur bereitstellung eines dienstes zu einem kunden
DE60206856T2 (de) Verfahren und Vorrichtung zum Schutz von Internetanlagen gegen Denial-of-Service Angriffen
DE60132984T2 (de) Elektronisches nachrichtensystem zur verwendung während des fluges
DE602004010703T2 (de) Eine persistente und zuverlässige sitzung, die neztwerkkomponenten unter verwendung eines verkapselungsprotokolls sicher durchläuft
DE602005000121T2 (de) Methode und Vorrichtung zum Reduzieren von e-Mail Spam und der Verbreitung von Viren in einem Kommunikationsnetz durch Authentifizierung der Herkunft von e-Mail Nachrichten
EP1250789B1 (de) Verfahren, system zur übermittlung von daten von einem sender zu einem empfänger und sender bzw. empfänger hierzu
DE102005046965B3 (de) Verfahren und Anordnung zur Verifikation einer im Zuge einer Verbindungsanfrage zum Zweck des Aufbaus einer Sprach-Kommunikationsverbindung übermittelten Absenderadresse in einem IP-Kommunikationsnetzwerk
EP1316188B1 (de) Verfahren und Internet-Zugangsknoten zur Identifikation von Internet-Nutzern
EP1417820A2 (de) Verfahren und computersystem zur sicherung der kommunikation in netzwerken
EP2575385B1 (de) Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos, zum Durchführen einer Transaktion, sowie Endgerät
DE602004002950T2 (de) Verfahren und Vorrichtung zur Zugriffssteuerung
DE10204613A1 (de) Verfahren zur Verbesserung der Sicherheit in einem Nachrichtennetz
DE102019210226A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Kommunikationsnetzwerk
EP1776821B1 (de) System und verfahren zum sicheren anmelden in einem kommuniktionssystem mit netzwerkverbindungs- und verbindungssteuerungs-rechnern
WO2002071350A2 (de) Verfahren zur bezahlung von entgeltpflichtigen angeboten, die über ein netz erfolgen
EP2055087A1 (de) Verfahren zum weiterleiten von notfallnachrichten eines endgerätes in einem kommunikationsnetz
WO2004021663A1 (de) Verfahren sowie vorrichtung zur datenquellenspezifischen kennzeichnung von push-nutzdaten
DE102016100692A1 (de) Netzwerkschutzentität und Verfahren zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten
Carpenter et al. Connecting IPv6 Routing Domains Over the IPv4 Internet
EP1323279B1 (de) Verfahren zur kopplung von online- und internetdiensten
EP1665712A1 (de) Verfahren zum übermitteln von elektronischen daten über zwei unterschiedliche netzwerke zur erhöhung der internetsicherheit
EP1916822A1 (de) Verfahren und System für einen Kommunikationsknoten mit mehreren Netzwerkschnittstellen
EP2493122B1 (de) IPv6 Quellenadressextrapolation
EP3515016B1 (de) System und verfahren zur captive-portal-bereitstellung durch paketkabel-multimedia
EP2887604B1 (de) Verfahren und Telekommunikationsnetz zur Erhöhung der Sicherheit beim paketorientierten Datenaustausch

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8130 Withdrawal