DE10215746A1 - Verfahren und Anordnung sowie Computerprogramm mit Programmcode-Mitteln und Computerprogramm-Produkt zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz - Google Patents

Verfahren und Anordnung sowie Computerprogramm mit Programmcode-Mitteln und Computerprogramm-Produkt zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz

Info

Publication number
DE10215746A1
DE10215746A1 DE10215746A DE10215746A DE10215746A1 DE 10215746 A1 DE10215746 A1 DE 10215746A1 DE 10215746 A DE10215746 A DE 10215746A DE 10215746 A DE10215746 A DE 10215746A DE 10215746 A1 DE10215746 A1 DE 10215746A1
Authority
DE
Germany
Prior art keywords
authorization
agent
service
mobile agent
ticket
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE10215746A
Other languages
English (en)
Other versions
DE10215746B4 (de
Inventor
Kai Fischer
Volkmar Lotz
Fabienne Waidelich
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qualcomm Inc
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE10215746.4A priority Critical patent/DE10215746B4/de
Priority to PCT/DE2003/001167 priority patent/WO2003088012A1/de
Priority to AU2003232596A priority patent/AU2003232596A1/en
Publication of DE10215746A1 publication Critical patent/DE10215746A1/de
Application granted granted Critical
Publication of DE10215746B4 publication Critical patent/DE10215746B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W74/00Wireless channel access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/14Backbone network devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft eine Autorisierung eines mobilen Agenten in einem Kommunikationsnetz für einen in dem Kommunikationsnetz angebotenen Dienst. Dabei wird an eine Autorisierungsinstanz in dem Kommunikationsnetz eine Autorisierungsanfrage zur Autorisierung des mobilen Agenten für den Dienst gestellt. Die Autorisierungsanfrage wird von der Autorisierungsinstanz überprüft. Anschließend werden Autorisierungsdaten dann von der Autorisierungsinstanz erzeugt, wenn die Überprüfung eine Berechtigung des mobilen Agenten für den Dienst anzeigt, welche Autorisierungsdaten den mobilen Agenten für den Dienst autorisieren und mit welchen der mobile Agent ausstattbar ist.

Description

  • Die Erfindung betrifft eine Autorisierung eines mobilen Agenten in einem Kommunikationsnetz für einen in dem Kommunikationsnetz angebotenen Dienst.
  • Mobile Agenten sind aus [1] bekannt.
  • Mobile Agenten sind selbstständig agierende Computerprogramme, die autonom, zielgerichtet und arbeitsteilig im Auftrag einer Person oder Organisation (Autorität) Aufträge ausführen. Dabei sind sie autorisiert, in Namen der Autorität Entscheidungen zu treffen.
  • Mobile Agenten sind mobil, d. h. sie können während ihrer Lebenszyklen ihre jeweilige Ausführungsumgebung ändern, beispielsweise dadurch, dass sie in Kommunikationsnetzen von einem Kommunikationsgerät zu einem zweiten Kommunikationsgerät migrieren.
  • Mobile Agenten werden von Agentenplattformen bzw. in Agentensystemen erzeugt, welche neben der Agentenerzeugung die Agenten interpretieren, ausführen, übertragen und terminieren sowie Verbindungen zwischen Autoritäten und Agenten sowie zwischen Agenten herstellen.
  • Ferner werden von Agentenplattformen und/oder in Agentensystemen Dienste für die Autoritäten bzw. für die die Autoritäten vertretenden Agenten angeboten, wie Informationsdienste, elektronische Marktplätze oder elektronische Finanzdienstleistungen.
  • Diese Dienste sind einerseits öffentlich zugänglich, d. h. alle Autoritäten können diese Dienste mittels der sie vertretenden Agenten in Anspruch nehmen.
  • Andererseits werden auch Dienste angeboten, die nur einer geschlossenen Benutzergruppe, d. h. nur entsprechend berechtigten Autoritäten bzw. deren Agenten, zugänglich sind.
  • Für den Zugriff auf solche meist kostenpflichtigen, geschützten Dienste müssen die Agenten als Stellvertreter ihrer Autoritäten autorisiert werden.
  • Bei der Autorisierung eines Agenten wird zwischen einer grob granularen und einer fein granularen Autorisierung unterschieden.
  • Unter fein granular ist eine Einschränkung der Zugriffsrechte der Agenten auf die Dienste im Hinblick auf z. B. Umfang, Zeitdauer, Zeitpunkt und/oder Funktionalität zu verstehen. Dadurch, dass ein Agent bei der fein granularen Autorisierung nur solche Zugriffsrechte erhält bzw. nur für solche Zugriffsrechte autorisiert wird, welche für die auf ihn übertragene Aufgabe notwendig sind, wird ein möglicher Missbrauch von Agenten für andere Aufgaben eingeschränkt.
  • Im Gegensatz dazu erhält ein Agent bei einer grob granularen Autorisierung Zugriffsrechte uneingeschränkt.
  • Eine grob granulare Autorisierung ist aus [2], einer Agentenplattform SeMoA©, bekannt.
  • Bei der Agentenplattform SeMoA© authentifizieren sich Agenten durch eine eindeutige und nicht manipulierbare ID. Solche IDs sind durch kryptographische Verfahren direkt an die Autoritäten der Agenten gebunden, d. h. ein Agent verfügt über die gesamte Rechtemenge seiner jeweiligen Autorität.
  • Aus [3], einer Agentenplattform Ajanta, ist eine fein granulare Autorisierung bekannt.
  • Bei der Agentenplattform Ajanta erfolgt die fein granulare Autorisierung eines Agenten durch die entsprechende Autorität des Agenten selbst, was einen sogenannten, zusätzlichen Policy-Abgleich, d. h. eine Überprüfung der Zugriffsrechte unter übergeordneten Gesichtspunkten (Policy), beim Dienstanbieter erfordert.
  • Darüber hinaus wird durch diese Vorgehensweise der Autorisierung bei [3] eine Übertragung von Rechten von einem autorisierten Agenten auf einen anderen Agenten (Delegation) erschwert, weil dabei sogenannte Attributsketten, auch bekannt aus [6], welche die Übertragung nachzeichnen, zu bilden sind.
  • Eine Delegation ermöglicht, Teilaufgaben auch von zweiten Agenten, welche im Auftrag der ursprünglich autorisierten, ersten Agenten handeln, ausführen zu lassen. Diese zweiten Agenten können auch Agenten anderer Autoritäten sein.
  • Zu berücksichtigende Sicherheitsaspekte bei den mobilen Agenten erfordern außerdem, dass mobile Agenten kein privates bzw. geheimes Schlüsselmaterial mit sich führen dürfen. Sie sind somit nicht in der Lage, auf entfernten Agentenplattformen kryptographische Operationen mit solchen Schlüsseln durchzuführen.
  • Aus [4] ist eine Autorisierung, ein sogenannter "Kerberos Network Authentication Service", zur Autorisierung eines Client durch einen Server in einer Client/Server-Umgebung bekannt.
  • Die Autorisierung bei dem "Kerberos Network Authentication Service" erfolgt unter Verwendung von Authentifikations- und Autorisierungsprotokollen und beruht darauf, dass eine kryptographische Operation mit privaten bzw. geheimen Schlüsseln notwendig ist.
  • Somit liegt der Erfindung die Aufgabe zugrunde, eine fein granulare und aufgabenspezifische Autorisierung eines Agenten auf einfache Weise zu ermöglichen. Darüber hinaus soll die Erfindung es ermöglichen, auf einfache Weise Zugriffsrechte von einem ersten Agenten auf einen zweiten Agenten zu delegieren.
  • Diese Aufgaben werden durch das Verfahren und die Anordnung sowie durch das Computerprogramm mit Programmcode-Mitteln und das Computerprogramm-Produkt zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz mit den Merkmalen gemäß dem jeweiligen unabhängigen Patentanspruch gelöst.
  • Bei dem Verfahren zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz für einen in dem Kommunikationsnetz angebotenen Dienst werden
    • a) an eine Autorisierungsinstanz in dem Kommunikationsnetz eine Autorisierungsanfrage zur Autorisierung des mobilen Agenten für den Dienst gestellt,
    • b) die Autorisierungsanfrage von der Autorisierungsinstanz überprüft und
    • c) Autorisierungsdaten dann von der Autorisierungsinstanz erzeugt, wenn die Überprüfung eine Berechtigung des mobilen Agenten für den Dienst anzeigt, welche Autorisierungsdaten den mobilen Agenten für den Dienst autorisieren und mit welchen der mobile Agent ausstattbar ist.
  • Die Anordnung zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz für einen in dem Kommunikationsnetz angebotenen Dienst ist derart eingerichtet, dass
    • - an sie eine Autorisierungsanfrage zur Autorisierung des mobilen Agenten für den Dienst stellbar ist,
    • - durch sie die Autorisierungsanfrage überprüfbar ist und dann, wenn die Überprüfung eine Berechtigung des mobilen Agenten für den Dienst anzeigt, Autorisierungsdaten erzeugbar sind, welche den mobilen Agenten für den Dienst autorisieren und mit welchen der mobile Agent ausstattbar ist.
  • Das Computerprogramm mit Programmcode-Mitteln ist eingerichtet, um alle Schritte gemäß dem erfindungsgemäßen Verfahren durchzuführen, wenn das Programm auf einem Computer ausgeführt wird.
  • Das Computerprogramm-Produkt mit auf einem maschinenlesbaren Träger gespeicherten Programmcode-Mitteln ist eingerichtet, um alle Schritte gemäß dem erfindungsgemäßen Verfahren durchzuführen, wenn das Programm auf einem Computer ausgeführt wird.
  • Die Anordnung sowie das Computerprogramm mit Programmcode- Mitteln, eingerichtet um alle Schritte gemäß dem erfinderischen Verfahren durchzuführen, wenn das Programm auf einem Computer ausgeführt wird, sowie das Computerprogramm-Produkt mit auf einem maschinenlesbaren Träger gespeicherten Programmcode-Mitteln, eingerichtet um alle Schritte gemäß dem erfinderischen Verfahren durchzuführen, wenn das Programm auf einem Computer ausgeführt wird, sind insbesondere geeignet zur Durchführung des erfindungsgemäßen Verfahrens oder einer seiner nachfolgend erläuterten Weiterbildungen.
  • Der Erfindung liegt der Grundgedanke zugrunde, Prinzipien des Client/Server-Umfelds in nicht trivialer Weise in einen Kontext mobiler Agentensysteme zu portieren, diese entsprechend dem neuen Umfeld anzupassen und dabei bei mobilen Agentensystemen vorhandene Mechanismen von Agentenplattformen, wie Authentifikationsverfahren zur eindeutigen und nicht manipulierbaren Authentifikation von mobilen Agenten, in nicht trivialer Weise mit den Prinzipien zu kombinieren und sie zu nutzen.
  • Dabei ist ein grundlegender Gedanke der Erfindung, die Autorisierung von Agenten durch sogenannte Autorisierungsdaten zu realisieren. Diese werden bei der Erfindung von einer zentralen Instanz, der Autorisierungsinstanz, ausgestellt und sind auf eindeutige Weise dem jeweiligen Agenten zugeordnet.
  • Die Autorisierungsdaten enthalten die Informationen für die fein granulare und aufgabenspezifische Autorisierung, wobei auch übergeordnete, globale Gesichtpunkte, eine sogenannte Policy, zentral berücksichtigt werden kann.
  • Gerade dadurch, dass die Autorisierungsdaten von einer zentralen Instanz und eben nicht lokal ausgestellt werden, d. h. von einer Autorität, welche den mobilen Agenten in der Regel erzeugt, können zentral bzw. auf übergeordneter Ebene globale Gesichtspunkte bzw. Randbedingungen (Policy), wie bestimmte globale Einschränkungen von Zugriffsrechten, berücksichtigt werden.
  • Agenten erhalten somit bei der Erfindung in Form der jeweiligen Autorisierungsdaten nur diejenigen Rechte, die tatsächlich zur Ausführung der an sie gestellten Aufgabe notwendig sind.
  • Durch diesen Ansatz wird die Möglichkeit minimiert, dass ein Agent eine andere als diejenige durchführt, für die er von seiner Autorität instruiert wurde.
  • Weiterhin ermöglich die Erfindung, dass Agenten ihre Rechte oder auch nur eine Teilmenge ihrer Rechte an andere Agenten delegieren können. Rechte können sowohl an Agenten derselben Autorität als auch an Agenten anderer Autoritäten delegiert werden.
  • Bevorzugte Weiterbildungen der Erfindung ergeben sich aus den abhängigen Ansprüchen.
  • Die im weiteren beschriebenen Weiterbildungen beziehen sich sowohl auf die Verfahren als auch auf die Anordnung.
  • Die Erfindung und die im weiteren beschriebenen Weiterbildungen können sowohl in Software als auch in Hardware, beispielsweise unter Verwendung einer speziellen elektrischen Schaltung, realisiert werden.
  • Ferner ist eine Realisierung der Erfindung oder einer im weiteren beschriebenen Weiterbildung möglich durch ein computerlesbares Speichermedium, auf welchem das Computerprogramm mit Programmcode-Mitteln gespeichert ist, welches die Erfindung oder Weiterbildung ausführt.
  • Auch kann die Erfindung oder jede im weiteren beschriebene Weiterbildung durch ein Computerprogrammerzeugnis realisiert sein, welches ein Speichermedium aufweist, auf welchem das Computerprogramm mit Programmcode-Mitteln gespeichert ist, welches die Erfindung oder Weiterbildung ausführt.
  • Zur Spezifizierung der Autorisierung des mobilen Agenten ist es zweckmäßig, dass die Autorisierungsdaten mindestens eine der folgenden Informationen enthalten:
    • - eine Gültigkeitsdauer, wie lange die Autorisierung gültig ist,
    • - eine Autorisierungsinformation, welche den Dienst kennzeichnet, insbesondere einen Umfang des Dienstes, einen Anbieter des Dienstes, eine Lokalisierungsinformation des Anbieters des Dienstes,
    • - eine Agenteninformation, welche den mobilen Agenten, welcher für den Dienst autorisiert wurde, bezeichnet (Agenten-ID).
  • Derartige Autorisierungsdaten ermöglichen eine eindeutige Verknüpfung zwischen klar definierten Zugriffsrechten und dem entsprechend autorisierten mobilen Agenten. Dadurch werden Manipulationsmöglichkeiten eingeschränkt.
  • Ferner kann die Sicherheit vor Manipulation und Missbrauch auch dadurch erhöht werden, dass die Autorisierungsanfrage und/oder die Autorisierungsdaten unter Verwendung eines kryptographischen Verfahrens/kryptischer Verfahren, wie eine digitale Signatur, geschützt werden. Verwendbare kryptographische Verfahren sind in [5] beschrieben.
  • Des weiteren ist es sinnvoll, eine Kommunikation bzw. einen Datenaustausch zwischen der Autorisierungsinstanz und dem mobilen Agenten durch einen Ticketdienst abzuwickeln. Dadurch lassen sich einzelne klar strukturierte, funktionelle Module bzw. Komponenten, beispielsweise durch entsprechend eingerichtete Server, realisieren.
  • So wäre dementsprechend die Funktion eines solchen Ticketdienstes das Stellen der Anfrage an die Autorisierungsinstanz, das Empfangen und Weiterreichen der Autorisierungsdaten an den mobilen Agenten. Auch zusätzliche Aufgaben bei Agentenplattformen und/oder Agentensystemen kann ein solcher Ticketdienst übernehmen, wie eine Authentifikationsprüfung des mobilen Agenten und/oder eine Authentifikationsprüfung der Autorisierungsinstanz.
  • Auch ist es möglich, den Ticketdienst und die Authorisierungsinstanz in einer Instanz zu integrieren.
  • Auch ist es sinnvoll, die Autorisierungsdaten in einem Ticket zusammenzufassen. Grundzüge einer Tickettechnik sind aus [4] bekannt.
  • Das Ticket kann durch kryptographische Verfahren [5] vor Missbrauch und Manipulationen geschützt werden. Eine Verknüpfung des auf einen mobilen Agenten ausgestellten Tickets mit diesem wird durch die Authentifikation des mobilen Agenten gewährleistet.
  • Ist nun der mobile Agent mit dem Ticket ausgestattet, so migriert er innerhalb des Kommunikationsnetzes, dorthin, wo der von ihm nachzufragende Dienst, beispielsweise ein Reisedienst oder ein Einkaufsdienst, bzw. der entsprechende Dienstanbieter lokalisiert ist. Dort wird der mobile Agent authentifiziert. Beim Versuch des Zugriffs auf den Dienst muss der mobile Agent seine Legitimation beweisen, was durch Übergabe des Tickets an den Dienstanbieter und die Überprüfung des Tickets und der dort niedergelegten Berechtigung durch den Dienstanbieter erfolgt.
  • In einem solchen Rechnernetz sind in der Regel der Dienstanbieter, die Autorisierungsinstanz sowie der Ticketdienst durch Server realisiert.
  • Ein mobile Agent selbst wird in der Regel dann erzeugt, wenn ein Kommunikationsteilnehmer in dem Kommunikationsnetz einen dort angebotenen Dienst in Anspruch nehmen möchte.
  • In einer Weiterbildung stellt der mobile Agent die Autorisierungsanfrage für sich selbst, d. h. er selbst möchte auf ihn ausgestellte und ihn autorisierende Autorisierungsdaten haben.
  • Alternativ ist es auch möglich, dass ein anderer, zweiter autorisierter mobiler Agent die Autorisierungsanfrage für den ersten mobilen Agenten stellt. Die Autorisierungsdaten werden dann auf Basis der Autorisierung des anderen, zweiten mobilen Agenten für den ersten mobilen Agenten ausgestellt. Der erste mobile Agent erhält anschließend direkt oder indirekt von dem anderen, zweiten mobilen Agenten die auf ihn ausgestellten Autorisierungsdaten.
  • Diese Vorgehensweise eignet sich insbesondere zu einer Übertragung von Autorisierungen, was als Delegation bezeichnet wird.
  • In diesem Fall wäre bei obiger Vorgehensweise der andere, zweite mobile Agent ein sogenannter Delegationsagent. Er delegiert seine ursprüngliche Autorisierung, d. h. seine ursprünglichen Rechte, an den ersten mobilen Agenten.
  • Im Detail kann eine solche Delegation derart realisiert werden:
    • - der Delegationsagent ist durch ursprüngliche Autorisierungsdaten ursprünglich für den Dienst autorisiert,
    • - der Delegationsagent stellt die Autorisierungsanfrage für den mobilen Agenten, durch welche die Autorisierungsdaten für den mobilen Agenten unter Verwendung der ursprünglichen Autorisierungsdaten erzeugt werden,
    • - der mobile Agent wird mit den Autorisierungsdaten ausgestattet, wobei die ursprünglichen Autorisierung des Delegationsagenten auf den mobilen Agenten übertragen wird.
  • In Figuren sind Ausführungsbeispiele der Erfindung dargestellt, welche im weiteren näher erläutert werden.
  • Es zeigen
  • Fig. 1 Autorisierung eines mobilen Agenten gemäß einem ersten Ausführungsbeispiel;
  • Fig. 2 Autorisierung eines zweiten mobilen Agenten durch Übertragung einer Autorisierung von einem ersten autorisierten Agenten auf den zweiten mobilen Agenten gemäß einem zweiten Ausführungsbeispiel.
  • Erstes Ausführungsbeispiel: Autorisierung eines mobilen Agenten in einem Agentensystem In Fig. 1 ist ein Ausschnitt eines Rechnernetzes 100 mit mehreren miteinander vernetzten Servern 101, 102, 103, auf welchen ein Agentensystem mit entsprechend eingerichteten Agentenplattformen implementiert ist, dargestellt.
  • Grundlegende Netz- und Servertechniken sowie Agentenplattformen sind allgemein bekannt.
  • Fig. 1 zeigt einen Server 101 eines Dienstanbieters S (Agentenserver S 101), welcher einen zugangsbeschränkten und kostenpflichtigen Dienst SD 104, in diesem Fall einen Reisebuchungsdienst, anbietet.
  • Fig. 1 zeigt ferner einen Server 102 (Agentenserver User U1 102) eines Benutzers U1 (User U1). Auf dem Agentenserver User U1 102 ist ein Ticket Dienst (TD1) 107, ein entsprechend programmiertes Computerprogramm, implementiert, mittels welchem Zugriffsrechte in Form von sogenannten Tickets 105 auf Dienste in dem Rechnernetz 100 erlangbar sind.
  • Auch zeigt Fig. 1 einen Ticket Granting Server 103, welcher Autorisierungszertifikate, die sogenannten Tickets 105, für mobile Agenten des Agentensystems, wie Agent A1 106, ausstellt.
  • Grundzüge einer Tickettechnik sind in [4] beschrieben.
  • Ein von dem Ticket Granting Server 103 ausgestelltes Ticket 105 ist auf eindeutige Weise demjenigen Agenten, beispielsweise dem Agenten A1 106, zugeordnet, für den es ausgestellt wird. Es definiert das dem Agenten zugestandene Recht. Dazu enthält das Ticket 105 entsprechende Autorisierungsdaten. Die Autorisierungsdaten setzen sich zusammen aus einer Agenten ID, einer Gültigkeitsdauer des Tickes 105, einer Angabe, wo und wie es einzulösen ist, sowie aus einer Beschreibung des konkreten zugestandene Rechts.
  • Das Ticket 105 ist darüber hinaus durch eine digitale Signatur vor Missbrauch und Manipulationen geschützt.
  • In Fig. 1 dargestellte Pfeile 0 bis 6 kennzeichnen die bei einer Nachfrage nach dem Dienstes SD 104 ablaufenden Schritte 0 bis 6.
    • 1. Der User (U1) möchte eine Reise buchen und will dazu den Dienst (SD) 104 im Rechnernetz 100 in Anspruch nehmen. Er greift über seinem Agentenserver User (U1) 192 auf den Dienst (SD) 104 des Agentenservers (S) 101 zu und startet bzw. erzeugt hierfür auf seiner Agentenplattform den Agenten (A1), der als Stellvertreter von U1 agiert.
      Da der Dienst (SD) 104 zugangsbeschränkt, weil kostenpflichtig, ist, muss der Agent A1 106 entsprechend autorisiert sein.
    • 2. Der Agent A1 106 fordert bei dem Ticket-Dienst (TD1) 107 des Agentenserver User (U1) 102 ein Ticket (T1) 105 für den Zugriff auf den Dienst SD 104 an. Der Ticket-Dienst TD1 107 ermittelt die eindeutige Identität von A1.
    • 3. Ticket-Dienst TDI 107 fordert bei einer zentralen Instanz, dem Ticket-Granting-Server (TGS) 103, das Ticket 105 für den Agenten A1 106 an (Ticket Request).
      Hierfür wird dem Ticket-Granting-Server (TGS) 103 die eindeutige Identität vom Agenten A1 106 mitgeteilt. Auch die Authentizität des Users U1 wird überprüft.
      Anschließend prüft der Ticket-Granting-Server (TGS) 103 anhand von gespeicherten Benutzerrechten, welche Rechte er dem Agenten A1 106 als Stellvertreter des Users U1 ausstellen darf und gleicht diese mit seiner übergeordneten Policy ab. Dann stellt er das entsprechende Ticket 105 für den Agenten A1 106 aus.
      Der Ticket-Request ist durch kryptographische Operationen geschützt.
    • 4. Der Ticket-Granting-Server (TGS) 103 übergibt das für den Agenten A1 106 ausgestellte Ticket 105 an den Ticket- Dienst TD1 107 (Ticket Reply).
      Der Ticket-Reply ist ebenfalls durch kryptographische Operationen geschützt. Die Authentizität von TGS 103 wird ebenfalls überprüft.
    • 5. Der Agent A1 106 bekommt vom Ticket-Dienst TD1 107 das Ticket 105.
    • 6. Der Agent A1 106 migriert zum Agentenserver S 101. Beim Betreten der Agentenplattform des Agentenservers S 101 wird der Agent A1 106 eindeutig und nicht manipulierbar authentifiziert.
    • 7. Der Agent A1 106 möchte auf den Dienst SD 104 zugreifen und übergibt das Ticket 105. Der Dienst SD 104 überprüft die Gültigkeit des Tickets 105 und führt den Zugriff gemäß den im Ticket 105 gespeicherten Rechten aus.
  • Zweites Ausführungsbeispiel: Autorisierung eines mobilen Agenten A2 durch Delegation durch den mobilen Agenten A1 106 in dem Agentensystem (Fig. 2)
  • Das zweite Ausführungsbeispiel beschreibt zusammen mit Fig. 2 eine Delegation eines zweiten mobilen Agenten A2 201 durch den mobilen Agenten A1 106.
  • Ohne Beschränkung der Allgemeinheit ist der zweite Agent A2 201 einem anderen Benutzer als User U1 zugehörig.
  • Die in Fig. 2 dargestellten Pfeile 1 bis 8 kennzeichnen die bei der Delegation (der Nachfrage nach dem Dienstes SD 104) ablaufenden Schritte 1 bis 8.
  • Ausgangssituation bei der nachfolgend beschrieben Delegation ist, dass der Agent A1 106 im Besitz des auf ihn ausgestellten Tickets 105 ist. Des weiteren befindet sich der Agent A1 106 auf der Agentenplattform des Agentenservers S 101. Auf dieses befindet sich ebenfalls der Agent A2 201.
    • 1. Agent A1 106 migriert zum Agentenserver User U1 102. Beim Betreten der Agentenplattform wird der Agent A1 106 eindeutig und nicht manipulierbar authentifiziert.
    • 2. Der Agent A1 106 fordert beim Ticket-Dienst TD1 107 ein Ticket (T2) 202 für den Agenten A2 201 an. Der Ticket- Dienst TD1 107 ermittelt die eindeutige Identität vom Agenten A1 106.
    • 3. Der Ticket-Dienst TDI 107 fordert bei dem Ticket-Granting- Server (TGS) 103 das Ticket 202 für den Agenten A2 201 an Ticket Request).
      Hierfür wird dem Ticket Granting Server TGS 103 die eindeutige Identität von Agent A1 106 und von Agent A2 201 mitgeteilt. Auch die Authentizität des Users U1 wird wieder überprüft.
      Der Ticket Granting Server TGS 103 prüft dann in analoger Weise wie zuvor beim Agenten A1 106, welche Rechte dem Agenten A2 202 zugestanden werden können.
      Das Ticket 105 von Agent A1 106 wird als Basis für das Ticket 202 von Agent A2 201 herangezogen.
      Der Ticket-Request ist durch kryptographische Operationen geschützt.
    • 4. Der Ticket Granting Server TGS 103 übergibt das für den Agenten A2 201 ausgestellte Ticket 202 an den Ticket Dienst TDI 107 (Ticket Reply).
      Der Ticket-Reply ist ebenfalls durch kryptographische Operationen geschützt. Auch die Authentizität des Ticket Granting Servers TGS 103 wird überprüft.
    • 5. Der Agent A1 106 bekommt vom Ticket-Dienst TDI 107 das Ticket 202.
    • 6. Der Agent A1 106 migriert zum Agentenserver S 101. Beim Betreten der Agentenplattform des Agentenservers S 101 wird der Agent A1 106 eindeutig und nicht manipulierbar authentifiziert.
    • 7. Der Agent A1 106 übergibt das Ticket 201 an den Agenten A2 201.
    • 8. Der Agent A2 201 greift auf den Dienst SD 104 zu und übergibt das Ticket 202. Der Dienst SD 104 überprüft die Gültigkeit des Tickets 202 und führt den Zugriff gemäß den im Ticket 202 gespeicherten Rechten aus.
  • In diesem Dokument sind folgende Schriften zitiert:
    [1] M. N. Huhns, M. P. Singh; Readings in Agents; Morgan Kaufmann Publishers Inc., 1998;
    [2] Agentenplattform SeMoA©, erhältlich am 23.03.2002 unter: http:/ / www.semoa.org
    [3] Agentenplattform Ajanta, in "Delegation of Privileges to Mobile Agents in Ajanta", erhältlich am 23.03.2002 unter: http:/ / www.cs.umn.edu/Ajanta/papers/ic2000.pdf;
    [4] Kerberos (IETF RFC 1510);
    [5] Bruce Schneider; Applied Cryptography; Second Edition; John Wiley & Sons, Inc.;
    [6] SPKI-Attributszertifikate (IETF RFC2692, IETF RFC2693).

Claims (16)

1. Verfahren zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz für einen in dem Kommunikationsnetz angebotenen Dienst, bei dem
a) an eine Autorisierungsinstanz in dem Kommunikationsnetz eine Autorisierungsanfrage zur Autorisierung des mobilen Agenten für den Dienst gestellt wird,
b) die Autorisierungsinstanz die Autorisierungsanfrage überprüft und
c) die Autorisierungsinstanz, wenn die Überprüfung eine Berechtigung des mobilen Agenten für den Dienst (bzw. mindestens eines Teils des Dienstes) anzeigt, Autorisierungsdaten erzeugt, welche den mobilen Agenten für den Dienst autorisieren und mit welchen der mobile Agent ausstattbar ist, andernfalls die Autorisierungsinstanz keine Autorisierungsdaten erzeugt.
2. Verfahren nach Anspruch 1, bei dem die Autorisierungsdaten mindestens eine der folgenden Informationen enthalten:
- eine Gültigkeitsdauer, wie lange die Autorisierung gültig ist,
- eine Autorisierungsinformation, welche den Dienst kennzeichnet, insbesondere einen Umfang des Dienstes, einen Anbieter des Dienstes, eine Lokalisierungsinformation des Anbieters des Dienstes,
- eine Agenteninformation, welche den mobilen Agenten, welcher für den Dienst autorisiert wurde, bezeichnet (Agenten-ID).
3. Verfahren nach Anspruch 1 oder 2, bei dem die Autorisierungsanfrage und/oder die Autorisierungsdaten unter Verwendung eines kryptographischen Verfahrens/kryptischer Verfahren geschützt werden.
4. Verfahren nach Anspruch 3, bei dem die Autorisierungsdaten mit einer digitalen Signatur versehen werden.
5. Verfahren nach einem der vorangehenden Ansprüche, bei dem die Autorisierungsanfrage von einem Ticketdienst bei der Autorisierungsinstanz gestellt wird, welcher Ticketdienst den mobilen Agenten mit einem Ticket, welches die Autorisierungsdaten enthält, ausstattet.
6. Verfahren nach einem der vorangehenden Ansprüche, bei dem der Agent unter Verwendung der Autorisierungsdaten bei einem Dienstanbieter um den Dienst nachfragt.
7. Verfahren nach einem der vorangehenden Ansprüche, bei dem das Kommunikationsnetz ein verteiltes Rechnernetz ist, wobei die Autorisierungsinstanz ein Serverrechner in dem verteilten Rechnernetz ist.
8. Verfahren nach einem der vorangehenden Ansprüchen, bei dem ein Kommunikationsteilnehmer in dem Kommunikationsnetz den Dienst in Anspruch nehmen möchte und dabei den mobilen Agenten erzeugt.
9. Verfahren nach einem der vorangehenden Ansprüche, bei dem der mobile Agent die Autorisierungsanfrage stellt.
10. Verfahren nach einem der Ansprüche 1 bis 8, bei dem ein Delegationsagent die Autorisierungsanfrage für den mobilen Agenten stellt.
11. Verfahren nach Anspruch 10, eingesetzt zur Übertragung einer ursprünglichen Autorisierung des Delegationsagenten für den Dienst auf den mobilen Agenten,
wobei der Delegationsagent durch ursprüngliche Autorisierungsdaten ursprünglich für den Dienst autorisiert war,
wobei der Delegationsagent die Autorisierungsanfrage für den mobilen Agenten stellt, durch welche die Autorisierungsdaten für den mobilen Agenten unter Verwendung der ursprünglichen Autorisierungsdaten erzeugt werden
und wobei der mobile Agent mit den Autorisierungsdaten ausgestattet wird, wobei die ursprünglichen Autorisierung des Delegationsagenten auf den mobilen Agenten übertragen wird.
12. Anordnung zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz für einen in dem Kommunikationsnetz angebotenen Dienst,
an welche Autorisierungsanordnung eine Autorisierungsanfrage zur Autorisierung des mobilen Agenten für den Dienst stellbar ist,
durch welche Autorisierungsanordnung die Autorisierungsanfrage überprüfbar ist und, wenn die Überprüfung eine Berechtigung des mobilen Agenten für den Dienst (bzw. mindestens eines Teils des Dienstes) anzeigt, Autorisierungsdaten erzeugbar sind, welche den mobilen Agenten für den Dienst autorisieren und mit welchen der mobile Agent ausstattbar ist, andernfalls keine Autorisierungsdaten erzeugbar sind.
13. Autorisierungsanordnung nach Anspruch 12, eingesetzt in einem Kommunikationsnetz zur Autorisierung des mobilen Agenten in einem Kommunikationsnetz für den in dem Kommunikationsnetz angebotenen Dienst.
14. Computerprogramm mit Programmcode-Mitteln, um alle Schritte gemäß Anspruch 1 durchzuführen, wenn das Programm auf einem Computer ausgeführt wird.
15. Computerprogramm mit Programmcode-Mitteln gemäß Anspruch 14, die auf einem computerlesbaren Datenträger gespeichert sind.
16. Computerprogramm-Produkt mit auf einem maschinenlesbaren Träger gespeicherten Programmcode-Mitteln, um alle Schritte gemäß Anspruch 1 durchzuführen, wenn das Programm auf einem Computer ausgeführt wird.
DE10215746.4A 2002-04-10 2002-04-10 Verfahren und Anordnung sowie Computerprogramm mit Programmcode-Mitteln und Computerprogramm-Produkt zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz Expired - Fee Related DE10215746B4 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE10215746.4A DE10215746B4 (de) 2002-04-10 2002-04-10 Verfahren und Anordnung sowie Computerprogramm mit Programmcode-Mitteln und Computerprogramm-Produkt zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz
PCT/DE2003/001167 WO2003088012A1 (de) 2002-04-10 2003-04-09 Verfahren und anordnung zur autorisierung eines mobilen agenten in einem kommunikationsnetz
AU2003232596A AU2003232596A1 (en) 2002-04-10 2003-04-09 Method and device for authorizing a mobile agent in a communications network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10215746.4A DE10215746B4 (de) 2002-04-10 2002-04-10 Verfahren und Anordnung sowie Computerprogramm mit Programmcode-Mitteln und Computerprogramm-Produkt zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz

Publications (2)

Publication Number Publication Date
DE10215746A1 true DE10215746A1 (de) 2003-11-06
DE10215746B4 DE10215746B4 (de) 2019-01-03

Family

ID=28798346

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10215746.4A Expired - Fee Related DE10215746B4 (de) 2002-04-10 2002-04-10 Verfahren und Anordnung sowie Computerprogramm mit Programmcode-Mitteln und Computerprogramm-Produkt zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz

Country Status (3)

Country Link
AU (1) AU2003232596A1 (de)
DE (1) DE10215746B4 (de)
WO (1) WO2003088012A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004016381A1 (de) * 2004-04-02 2005-10-27 Siemens Ag Verfahren zur Fehlererkennung und zur Unterstützung von Rekonfigurationsentscheidungen in Mobilfunknetzwerken mit rekonfigurierbaren Endgeräten sowie entsprechende Netzwerkelemente und Komponenten

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000065493A2 (en) 1999-04-22 2000-11-02 Cloakware Corporation Delegation billing
DE69940107D1 (de) * 1999-07-05 2009-01-29 Sony Deutschland Gmbh Verwaltung eines Kommunikationsnetzwerks und Migration von mobilen Agenten
US6681243B1 (en) 1999-07-27 2004-01-20 Intel Corporation Network environment supporting mobile agents with permissioned access to resources

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004016381A1 (de) * 2004-04-02 2005-10-27 Siemens Ag Verfahren zur Fehlererkennung und zur Unterstützung von Rekonfigurationsentscheidungen in Mobilfunknetzwerken mit rekonfigurierbaren Endgeräten sowie entsprechende Netzwerkelemente und Komponenten
DE102004016381B4 (de) * 2004-04-02 2006-02-09 Siemens Ag Verfahren zur Fehlererkennung und zur Unterstützung von Rekonfigurationsentscheidungen in Mobilfunknetzwerken mit rekonfigurierbaren Endgeräten sowie entsprechende Netzwerkelemente und Komponenten
US7818605B2 (en) 2004-04-02 2010-10-19 Siemens Aktiengesellschaft Method of managing reconfigurable terminals within a radio network
US8020061B2 (en) 2004-04-02 2011-09-13 Siemens Aktiengesellschaft Method for detecting errors and supporting reconfiguration decisions in mobile radio networks comprising reconfigurable terminals, and corresponding network elements and components

Also Published As

Publication number Publication date
AU2003232596A1 (en) 2003-10-27
WO2003088012A1 (de) 2003-10-23
DE10215746B4 (de) 2019-01-03

Similar Documents

Publication Publication Date Title
DE60214632T2 (de) Multidomäne Berechtigung und Authentifizierung
EP2332313B1 (de) Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem
DE112011100182B4 (de) Datensicherheitsvorrichtung, Rechenprogramm, Endgerät und System für Transaktionsprüfung
DE69334091T2 (de) Zugangskontrollen-Untersystem und Verfahren für ein verteiltes Rechensystem, das lokal gespeicherte Authentifizierungsdaten benutzt
DE102008042262B4 (de) Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem
EP2415228B1 (de) Verfahren zum lesen von attributen aus einem id-token über eine mobilfunkverbindung
DE69816400T2 (de) Verteiltes Objektsystem und Verfahren zum Anbieten von Dienstleistungen darin
EP2159653B1 (de) Verfahren zur Einräumung einer Zugriffsberechtigung auf ein rechnerbasiertes Objekt in einem Automatisierungssystem, Computerprogramm und Automatisierungssystem
DE102011089580B3 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
DE102007012749A1 (de) Verfahren und System zur Bereitstellung von Diensten für Endgeräte
EP2454704A1 (de) Verfahren zum lesen von attributen aus einem id-token
EP2245573A1 (de) Verfahren zum lesen von attributen aus einem id-token
EP3649625B1 (de) Verfahren zur delegation von zugriffsrechten
DE60212969T3 (de) Verfahren und vorrichtung zum verfolgen des status eines betriebsmittels in einem system zur verwaltung der benutzung der betriebsmittel
DE10125955A1 (de) Berechtigungsüberprüfung für intelligente Agenten über ein Positionsbestimmungssystem
EP3596709A1 (de) Verfahren zur zugangskontrolle
DE102008042582A1 (de) Telekommunikationsverfahren, Computerprogrammprodukt und Computersystem
DE10296626T5 (de) Verfahren zur unleugbaren Verwendung kryptographischer Signaturen in kleinen Einrichtungen
DE10215746B4 (de) Verfahren und Anordnung sowie Computerprogramm mit Programmcode-Mitteln und Computerprogramm-Produkt zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz
DE102005041055A1 (de) Verfahren zur Verbesserung der Vertrauenswürdigkeit von elektronischen Geräten und Datenträger dafür
EP3186741A1 (de) Zugriffsschutz für fremddaten im nichtflüchtigen speicher eines tokens
DE102005062061A1 (de) Verfahren und Vorrichtung zum mobilfunknetzbasierten Zugriff auf in einem öffentlichen Datennetz bereitgestellten und eine Freigabe erfordernden Inhalten
WO2020169502A1 (de) Verfahren zum transfer von daten
EP3180729B1 (de) Digitale identitäten mit fremdattributen
DE102006045710A1 (de) Verfahren und System zur Wiedergabe eines verschlüsselten digitalen Datenstroms

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: PALM, INC. (N.D.GES. D. STAATES DELAWARE), SUN, US

8128 New person/name/address of the agent

Representative=s name: SAMSON & PARTNER, PATENTANWAELTE, 80538 MUENCHEN

8127 New person/name/address of the applicant

Owner name: HEWLETT-PACKARD DEVELOPMENT CO., L.P., HOUSTON, US

R081 Change of applicant/patentee

Owner name: QUALCOMM INCORPORATED, SAN DIEGO, US

Free format text: FORMER OWNER: PALM, INC. (N.D.GES. D. STAATES DELAWARE), SUNNYVALE, CALIF., US

Effective date: 20110406

R082 Change of representative

Representative=s name: SAMSON & PARTNER, PATENTANWAELTE, DE

R081 Change of applicant/patentee

Owner name: QUALCOMM INCORPORATED, US

Free format text: FORMER OWNER: HEWLETT-PACKARD DEVELOPMENT CO., L.P., HOUSTON, US

Effective date: 20140307

Owner name: QUALCOMM INCORPORATED, SAN DIEGO, US

Free format text: FORMER OWNER: HEWLETT-PACKARD DEVELOPMENT COMPANY, L.P., HOUSTON, TEX., US

Effective date: 20140307

R082 Change of representative

Representative=s name: SAMSON & PARTNER, PATENTANWAELTE, DE

Effective date: 20140307

Representative=s name: SAMSON & PARTNER PATENTANWAELTE MBB, DE

Effective date: 20140307

Representative=s name: MAUCHER JENKINS, DE

Effective date: 20140307

Representative=s name: MAUCHER JENKINS PATENTANWAELTE & RECHTSANWAELT, DE

Effective date: 20140307

R082 Change of representative

Representative=s name: MAUCHER JENKINS, DE

Representative=s name: MAUCHER JENKINS PATENTANWAELTE & RECHTSANWAELT, DE

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee