DE10215746A1 - Verfahren und Anordnung sowie Computerprogramm mit Programmcode-Mitteln und Computerprogramm-Produkt zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz - Google Patents
Verfahren und Anordnung sowie Computerprogramm mit Programmcode-Mitteln und Computerprogramm-Produkt zur Autorisierung eines mobilen Agenten in einem KommunikationsnetzInfo
- Publication number
- DE10215746A1 DE10215746A1 DE10215746A DE10215746A DE10215746A1 DE 10215746 A1 DE10215746 A1 DE 10215746A1 DE 10215746 A DE10215746 A DE 10215746A DE 10215746 A DE10215746 A DE 10215746A DE 10215746 A1 DE10215746 A1 DE 10215746A1
- Authority
- DE
- Germany
- Prior art keywords
- authorization
- agent
- service
- mobile agent
- ticket
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 30
- 238000000034 method Methods 0.000 title claims description 30
- 238000004590 computer program Methods 0.000 title claims description 16
- 238000013475 authorization Methods 0.000 claims abstract description 113
- 238000012795 verification Methods 0.000 claims abstract description 5
- 238000012546 transfer Methods 0.000 claims description 3
- 238000011161 development Methods 0.000 description 5
- 230000018109 developmental process Effects 0.000 description 5
- 238000013459 approach Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000001747 exhibiting effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/14—Backbone network devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
Description
- Die Erfindung betrifft eine Autorisierung eines mobilen Agenten in einem Kommunikationsnetz für einen in dem Kommunikationsnetz angebotenen Dienst.
- Mobile Agenten sind aus [1] bekannt.
- Mobile Agenten sind selbstständig agierende Computerprogramme, die autonom, zielgerichtet und arbeitsteilig im Auftrag einer Person oder Organisation (Autorität) Aufträge ausführen. Dabei sind sie autorisiert, in Namen der Autorität Entscheidungen zu treffen.
- Mobile Agenten sind mobil, d. h. sie können während ihrer Lebenszyklen ihre jeweilige Ausführungsumgebung ändern, beispielsweise dadurch, dass sie in Kommunikationsnetzen von einem Kommunikationsgerät zu einem zweiten Kommunikationsgerät migrieren.
- Mobile Agenten werden von Agentenplattformen bzw. in Agentensystemen erzeugt, welche neben der Agentenerzeugung die Agenten interpretieren, ausführen, übertragen und terminieren sowie Verbindungen zwischen Autoritäten und Agenten sowie zwischen Agenten herstellen.
- Ferner werden von Agentenplattformen und/oder in Agentensystemen Dienste für die Autoritäten bzw. für die die Autoritäten vertretenden Agenten angeboten, wie Informationsdienste, elektronische Marktplätze oder elektronische Finanzdienstleistungen.
- Diese Dienste sind einerseits öffentlich zugänglich, d. h. alle Autoritäten können diese Dienste mittels der sie vertretenden Agenten in Anspruch nehmen.
- Andererseits werden auch Dienste angeboten, die nur einer geschlossenen Benutzergruppe, d. h. nur entsprechend berechtigten Autoritäten bzw. deren Agenten, zugänglich sind.
- Für den Zugriff auf solche meist kostenpflichtigen, geschützten Dienste müssen die Agenten als Stellvertreter ihrer Autoritäten autorisiert werden.
- Bei der Autorisierung eines Agenten wird zwischen einer grob granularen und einer fein granularen Autorisierung unterschieden.
- Unter fein granular ist eine Einschränkung der Zugriffsrechte der Agenten auf die Dienste im Hinblick auf z. B. Umfang, Zeitdauer, Zeitpunkt und/oder Funktionalität zu verstehen. Dadurch, dass ein Agent bei der fein granularen Autorisierung nur solche Zugriffsrechte erhält bzw. nur für solche Zugriffsrechte autorisiert wird, welche für die auf ihn übertragene Aufgabe notwendig sind, wird ein möglicher Missbrauch von Agenten für andere Aufgaben eingeschränkt.
- Im Gegensatz dazu erhält ein Agent bei einer grob granularen Autorisierung Zugriffsrechte uneingeschränkt.
- Eine grob granulare Autorisierung ist aus [2], einer Agentenplattform SeMoA©, bekannt.
- Bei der Agentenplattform SeMoA© authentifizieren sich Agenten durch eine eindeutige und nicht manipulierbare ID. Solche IDs sind durch kryptographische Verfahren direkt an die Autoritäten der Agenten gebunden, d. h. ein Agent verfügt über die gesamte Rechtemenge seiner jeweiligen Autorität.
- Aus [3], einer Agentenplattform Ajanta, ist eine fein granulare Autorisierung bekannt.
- Bei der Agentenplattform Ajanta erfolgt die fein granulare Autorisierung eines Agenten durch die entsprechende Autorität des Agenten selbst, was einen sogenannten, zusätzlichen Policy-Abgleich, d. h. eine Überprüfung der Zugriffsrechte unter übergeordneten Gesichtspunkten (Policy), beim Dienstanbieter erfordert.
- Darüber hinaus wird durch diese Vorgehensweise der Autorisierung bei [3] eine Übertragung von Rechten von einem autorisierten Agenten auf einen anderen Agenten (Delegation) erschwert, weil dabei sogenannte Attributsketten, auch bekannt aus [6], welche die Übertragung nachzeichnen, zu bilden sind.
- Eine Delegation ermöglicht, Teilaufgaben auch von zweiten Agenten, welche im Auftrag der ursprünglich autorisierten, ersten Agenten handeln, ausführen zu lassen. Diese zweiten Agenten können auch Agenten anderer Autoritäten sein.
- Zu berücksichtigende Sicherheitsaspekte bei den mobilen Agenten erfordern außerdem, dass mobile Agenten kein privates bzw. geheimes Schlüsselmaterial mit sich führen dürfen. Sie sind somit nicht in der Lage, auf entfernten Agentenplattformen kryptographische Operationen mit solchen Schlüsseln durchzuführen.
- Aus [4] ist eine Autorisierung, ein sogenannter "Kerberos Network Authentication Service", zur Autorisierung eines Client durch einen Server in einer Client/Server-Umgebung bekannt.
- Die Autorisierung bei dem "Kerberos Network Authentication Service" erfolgt unter Verwendung von Authentifikations- und Autorisierungsprotokollen und beruht darauf, dass eine kryptographische Operation mit privaten bzw. geheimen Schlüsseln notwendig ist.
- Somit liegt der Erfindung die Aufgabe zugrunde, eine fein granulare und aufgabenspezifische Autorisierung eines Agenten auf einfache Weise zu ermöglichen. Darüber hinaus soll die Erfindung es ermöglichen, auf einfache Weise Zugriffsrechte von einem ersten Agenten auf einen zweiten Agenten zu delegieren.
- Diese Aufgaben werden durch das Verfahren und die Anordnung sowie durch das Computerprogramm mit Programmcode-Mitteln und das Computerprogramm-Produkt zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz mit den Merkmalen gemäß dem jeweiligen unabhängigen Patentanspruch gelöst.
- Bei dem Verfahren zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz für einen in dem Kommunikationsnetz angebotenen Dienst werden
- a) an eine Autorisierungsinstanz in dem Kommunikationsnetz eine Autorisierungsanfrage zur Autorisierung des mobilen Agenten für den Dienst gestellt,
- b) die Autorisierungsanfrage von der Autorisierungsinstanz überprüft und
- c) Autorisierungsdaten dann von der Autorisierungsinstanz erzeugt, wenn die Überprüfung eine Berechtigung des mobilen Agenten für den Dienst anzeigt, welche Autorisierungsdaten den mobilen Agenten für den Dienst autorisieren und mit welchen der mobile Agent ausstattbar ist.
- Die Anordnung zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz für einen in dem Kommunikationsnetz angebotenen Dienst ist derart eingerichtet, dass
- - an sie eine Autorisierungsanfrage zur Autorisierung des mobilen Agenten für den Dienst stellbar ist,
- - durch sie die Autorisierungsanfrage überprüfbar ist und dann, wenn die Überprüfung eine Berechtigung des mobilen Agenten für den Dienst anzeigt, Autorisierungsdaten erzeugbar sind, welche den mobilen Agenten für den Dienst autorisieren und mit welchen der mobile Agent ausstattbar ist.
- Das Computerprogramm mit Programmcode-Mitteln ist eingerichtet, um alle Schritte gemäß dem erfindungsgemäßen Verfahren durchzuführen, wenn das Programm auf einem Computer ausgeführt wird.
- Das Computerprogramm-Produkt mit auf einem maschinenlesbaren Träger gespeicherten Programmcode-Mitteln ist eingerichtet, um alle Schritte gemäß dem erfindungsgemäßen Verfahren durchzuführen, wenn das Programm auf einem Computer ausgeführt wird.
- Die Anordnung sowie das Computerprogramm mit Programmcode- Mitteln, eingerichtet um alle Schritte gemäß dem erfinderischen Verfahren durchzuführen, wenn das Programm auf einem Computer ausgeführt wird, sowie das Computerprogramm-Produkt mit auf einem maschinenlesbaren Träger gespeicherten Programmcode-Mitteln, eingerichtet um alle Schritte gemäß dem erfinderischen Verfahren durchzuführen, wenn das Programm auf einem Computer ausgeführt wird, sind insbesondere geeignet zur Durchführung des erfindungsgemäßen Verfahrens oder einer seiner nachfolgend erläuterten Weiterbildungen.
- Der Erfindung liegt der Grundgedanke zugrunde, Prinzipien des Client/Server-Umfelds in nicht trivialer Weise in einen Kontext mobiler Agentensysteme zu portieren, diese entsprechend dem neuen Umfeld anzupassen und dabei bei mobilen Agentensystemen vorhandene Mechanismen von Agentenplattformen, wie Authentifikationsverfahren zur eindeutigen und nicht manipulierbaren Authentifikation von mobilen Agenten, in nicht trivialer Weise mit den Prinzipien zu kombinieren und sie zu nutzen.
- Dabei ist ein grundlegender Gedanke der Erfindung, die Autorisierung von Agenten durch sogenannte Autorisierungsdaten zu realisieren. Diese werden bei der Erfindung von einer zentralen Instanz, der Autorisierungsinstanz, ausgestellt und sind auf eindeutige Weise dem jeweiligen Agenten zugeordnet.
- Die Autorisierungsdaten enthalten die Informationen für die fein granulare und aufgabenspezifische Autorisierung, wobei auch übergeordnete, globale Gesichtpunkte, eine sogenannte Policy, zentral berücksichtigt werden kann.
- Gerade dadurch, dass die Autorisierungsdaten von einer zentralen Instanz und eben nicht lokal ausgestellt werden, d. h. von einer Autorität, welche den mobilen Agenten in der Regel erzeugt, können zentral bzw. auf übergeordneter Ebene globale Gesichtspunkte bzw. Randbedingungen (Policy), wie bestimmte globale Einschränkungen von Zugriffsrechten, berücksichtigt werden.
- Agenten erhalten somit bei der Erfindung in Form der jeweiligen Autorisierungsdaten nur diejenigen Rechte, die tatsächlich zur Ausführung der an sie gestellten Aufgabe notwendig sind.
- Durch diesen Ansatz wird die Möglichkeit minimiert, dass ein Agent eine andere als diejenige durchführt, für die er von seiner Autorität instruiert wurde.
- Weiterhin ermöglich die Erfindung, dass Agenten ihre Rechte oder auch nur eine Teilmenge ihrer Rechte an andere Agenten delegieren können. Rechte können sowohl an Agenten derselben Autorität als auch an Agenten anderer Autoritäten delegiert werden.
- Bevorzugte Weiterbildungen der Erfindung ergeben sich aus den abhängigen Ansprüchen.
- Die im weiteren beschriebenen Weiterbildungen beziehen sich sowohl auf die Verfahren als auch auf die Anordnung.
- Die Erfindung und die im weiteren beschriebenen Weiterbildungen können sowohl in Software als auch in Hardware, beispielsweise unter Verwendung einer speziellen elektrischen Schaltung, realisiert werden.
- Ferner ist eine Realisierung der Erfindung oder einer im weiteren beschriebenen Weiterbildung möglich durch ein computerlesbares Speichermedium, auf welchem das Computerprogramm mit Programmcode-Mitteln gespeichert ist, welches die Erfindung oder Weiterbildung ausführt.
- Auch kann die Erfindung oder jede im weiteren beschriebene Weiterbildung durch ein Computerprogrammerzeugnis realisiert sein, welches ein Speichermedium aufweist, auf welchem das Computerprogramm mit Programmcode-Mitteln gespeichert ist, welches die Erfindung oder Weiterbildung ausführt.
- Zur Spezifizierung der Autorisierung des mobilen Agenten ist es zweckmäßig, dass die Autorisierungsdaten mindestens eine der folgenden Informationen enthalten:
- - eine Gültigkeitsdauer, wie lange die Autorisierung gültig ist,
- - eine Autorisierungsinformation, welche den Dienst kennzeichnet, insbesondere einen Umfang des Dienstes, einen Anbieter des Dienstes, eine Lokalisierungsinformation des Anbieters des Dienstes,
- - eine Agenteninformation, welche den mobilen Agenten, welcher für den Dienst autorisiert wurde, bezeichnet (Agenten-ID).
- Derartige Autorisierungsdaten ermöglichen eine eindeutige Verknüpfung zwischen klar definierten Zugriffsrechten und dem entsprechend autorisierten mobilen Agenten. Dadurch werden Manipulationsmöglichkeiten eingeschränkt.
- Ferner kann die Sicherheit vor Manipulation und Missbrauch auch dadurch erhöht werden, dass die Autorisierungsanfrage und/oder die Autorisierungsdaten unter Verwendung eines kryptographischen Verfahrens/kryptischer Verfahren, wie eine digitale Signatur, geschützt werden. Verwendbare kryptographische Verfahren sind in [5] beschrieben.
- Des weiteren ist es sinnvoll, eine Kommunikation bzw. einen Datenaustausch zwischen der Autorisierungsinstanz und dem mobilen Agenten durch einen Ticketdienst abzuwickeln. Dadurch lassen sich einzelne klar strukturierte, funktionelle Module bzw. Komponenten, beispielsweise durch entsprechend eingerichtete Server, realisieren.
- So wäre dementsprechend die Funktion eines solchen Ticketdienstes das Stellen der Anfrage an die Autorisierungsinstanz, das Empfangen und Weiterreichen der Autorisierungsdaten an den mobilen Agenten. Auch zusätzliche Aufgaben bei Agentenplattformen und/oder Agentensystemen kann ein solcher Ticketdienst übernehmen, wie eine Authentifikationsprüfung des mobilen Agenten und/oder eine Authentifikationsprüfung der Autorisierungsinstanz.
- Auch ist es möglich, den Ticketdienst und die Authorisierungsinstanz in einer Instanz zu integrieren.
- Auch ist es sinnvoll, die Autorisierungsdaten in einem Ticket zusammenzufassen. Grundzüge einer Tickettechnik sind aus [4] bekannt.
- Das Ticket kann durch kryptographische Verfahren [5] vor Missbrauch und Manipulationen geschützt werden. Eine Verknüpfung des auf einen mobilen Agenten ausgestellten Tickets mit diesem wird durch die Authentifikation des mobilen Agenten gewährleistet.
- Ist nun der mobile Agent mit dem Ticket ausgestattet, so migriert er innerhalb des Kommunikationsnetzes, dorthin, wo der von ihm nachzufragende Dienst, beispielsweise ein Reisedienst oder ein Einkaufsdienst, bzw. der entsprechende Dienstanbieter lokalisiert ist. Dort wird der mobile Agent authentifiziert. Beim Versuch des Zugriffs auf den Dienst muss der mobile Agent seine Legitimation beweisen, was durch Übergabe des Tickets an den Dienstanbieter und die Überprüfung des Tickets und der dort niedergelegten Berechtigung durch den Dienstanbieter erfolgt.
- In einem solchen Rechnernetz sind in der Regel der Dienstanbieter, die Autorisierungsinstanz sowie der Ticketdienst durch Server realisiert.
- Ein mobile Agent selbst wird in der Regel dann erzeugt, wenn ein Kommunikationsteilnehmer in dem Kommunikationsnetz einen dort angebotenen Dienst in Anspruch nehmen möchte.
- In einer Weiterbildung stellt der mobile Agent die Autorisierungsanfrage für sich selbst, d. h. er selbst möchte auf ihn ausgestellte und ihn autorisierende Autorisierungsdaten haben.
- Alternativ ist es auch möglich, dass ein anderer, zweiter autorisierter mobiler Agent die Autorisierungsanfrage für den ersten mobilen Agenten stellt. Die Autorisierungsdaten werden dann auf Basis der Autorisierung des anderen, zweiten mobilen Agenten für den ersten mobilen Agenten ausgestellt. Der erste mobile Agent erhält anschließend direkt oder indirekt von dem anderen, zweiten mobilen Agenten die auf ihn ausgestellten Autorisierungsdaten.
- Diese Vorgehensweise eignet sich insbesondere zu einer Übertragung von Autorisierungen, was als Delegation bezeichnet wird.
- In diesem Fall wäre bei obiger Vorgehensweise der andere, zweite mobile Agent ein sogenannter Delegationsagent. Er delegiert seine ursprüngliche Autorisierung, d. h. seine ursprünglichen Rechte, an den ersten mobilen Agenten.
- Im Detail kann eine solche Delegation derart realisiert werden:
- - der Delegationsagent ist durch ursprüngliche Autorisierungsdaten ursprünglich für den Dienst autorisiert,
- - der Delegationsagent stellt die Autorisierungsanfrage für den mobilen Agenten, durch welche die Autorisierungsdaten für den mobilen Agenten unter Verwendung der ursprünglichen Autorisierungsdaten erzeugt werden,
- - der mobile Agent wird mit den Autorisierungsdaten ausgestattet, wobei die ursprünglichen Autorisierung des Delegationsagenten auf den mobilen Agenten übertragen wird.
- In Figuren sind Ausführungsbeispiele der Erfindung dargestellt, welche im weiteren näher erläutert werden.
- Es zeigen
- Fig. 1 Autorisierung eines mobilen Agenten gemäß einem ersten Ausführungsbeispiel;
- Fig. 2 Autorisierung eines zweiten mobilen Agenten durch Übertragung einer Autorisierung von einem ersten autorisierten Agenten auf den zweiten mobilen Agenten gemäß einem zweiten Ausführungsbeispiel.
- Erstes Ausführungsbeispiel: Autorisierung eines mobilen Agenten in einem Agentensystem In Fig. 1 ist ein Ausschnitt eines Rechnernetzes 100 mit mehreren miteinander vernetzten Servern 101, 102, 103, auf welchen ein Agentensystem mit entsprechend eingerichteten Agentenplattformen implementiert ist, dargestellt.
- Grundlegende Netz- und Servertechniken sowie Agentenplattformen sind allgemein bekannt.
- Fig. 1 zeigt einen Server 101 eines Dienstanbieters S (Agentenserver S 101), welcher einen zugangsbeschränkten und kostenpflichtigen Dienst SD 104, in diesem Fall einen Reisebuchungsdienst, anbietet.
- Fig. 1 zeigt ferner einen Server 102 (Agentenserver User U1 102) eines Benutzers U1 (User U1). Auf dem Agentenserver User U1 102 ist ein Ticket Dienst (TD1) 107, ein entsprechend programmiertes Computerprogramm, implementiert, mittels welchem Zugriffsrechte in Form von sogenannten Tickets 105 auf Dienste in dem Rechnernetz 100 erlangbar sind.
- Auch zeigt Fig. 1 einen Ticket Granting Server 103, welcher Autorisierungszertifikate, die sogenannten Tickets 105, für mobile Agenten des Agentensystems, wie Agent A1 106, ausstellt.
- Grundzüge einer Tickettechnik sind in [4] beschrieben.
- Ein von dem Ticket Granting Server 103 ausgestelltes Ticket 105 ist auf eindeutige Weise demjenigen Agenten, beispielsweise dem Agenten A1 106, zugeordnet, für den es ausgestellt wird. Es definiert das dem Agenten zugestandene Recht. Dazu enthält das Ticket 105 entsprechende Autorisierungsdaten. Die Autorisierungsdaten setzen sich zusammen aus einer Agenten ID, einer Gültigkeitsdauer des Tickes 105, einer Angabe, wo und wie es einzulösen ist, sowie aus einer Beschreibung des konkreten zugestandene Rechts.
- Das Ticket 105 ist darüber hinaus durch eine digitale Signatur vor Missbrauch und Manipulationen geschützt.
- In Fig. 1 dargestellte Pfeile 0 bis 6 kennzeichnen die bei einer Nachfrage nach dem Dienstes SD 104 ablaufenden Schritte 0 bis 6.
- 1. Der User (U1) möchte eine Reise buchen und will dazu den
Dienst (SD) 104 im Rechnernetz 100 in Anspruch nehmen. Er
greift über seinem Agentenserver User (U1) 192 auf den
Dienst (SD) 104 des Agentenservers (S) 101 zu und startet
bzw. erzeugt hierfür auf seiner Agentenplattform den
Agenten (A1), der als Stellvertreter von U1 agiert.
Da der Dienst (SD) 104 zugangsbeschränkt, weil kostenpflichtig, ist, muss der Agent A1 106 entsprechend autorisiert sein. - 2. Der Agent A1 106 fordert bei dem Ticket-Dienst (TD1) 107 des Agentenserver User (U1) 102 ein Ticket (T1) 105 für den Zugriff auf den Dienst SD 104 an. Der Ticket-Dienst TD1 107 ermittelt die eindeutige Identität von A1.
- 3. Ticket-Dienst TDI 107 fordert bei einer zentralen
Instanz, dem Ticket-Granting-Server (TGS) 103, das Ticket
105 für den Agenten A1 106 an (Ticket Request).
Hierfür wird dem Ticket-Granting-Server (TGS) 103 die eindeutige Identität vom Agenten A1 106 mitgeteilt. Auch die Authentizität des Users U1 wird überprüft.
Anschließend prüft der Ticket-Granting-Server (TGS) 103 anhand von gespeicherten Benutzerrechten, welche Rechte er dem Agenten A1 106 als Stellvertreter des Users U1 ausstellen darf und gleicht diese mit seiner übergeordneten Policy ab. Dann stellt er das entsprechende Ticket 105 für den Agenten A1 106 aus.
Der Ticket-Request ist durch kryptographische Operationen geschützt. - 4. Der Ticket-Granting-Server (TGS) 103 übergibt das für den
Agenten A1 106 ausgestellte Ticket 105 an den Ticket-
Dienst TD1 107 (Ticket Reply).
Der Ticket-Reply ist ebenfalls durch kryptographische Operationen geschützt. Die Authentizität von TGS 103 wird ebenfalls überprüft. - 5. Der Agent A1 106 bekommt vom Ticket-Dienst TD1 107 das Ticket 105.
- 6. Der Agent A1 106 migriert zum Agentenserver S 101. Beim Betreten der Agentenplattform des Agentenservers S 101 wird der Agent A1 106 eindeutig und nicht manipulierbar authentifiziert.
- 7. Der Agent A1 106 möchte auf den Dienst SD 104 zugreifen und übergibt das Ticket 105. Der Dienst SD 104 überprüft die Gültigkeit des Tickets 105 und führt den Zugriff gemäß den im Ticket 105 gespeicherten Rechten aus.
- Zweites Ausführungsbeispiel: Autorisierung eines mobilen Agenten A2 durch Delegation durch den mobilen Agenten A1 106 in dem Agentensystem (Fig. 2)
- Das zweite Ausführungsbeispiel beschreibt zusammen mit Fig. 2 eine Delegation eines zweiten mobilen Agenten A2 201 durch den mobilen Agenten A1 106.
- Ohne Beschränkung der Allgemeinheit ist der zweite Agent A2 201 einem anderen Benutzer als User U1 zugehörig.
- Die in Fig. 2 dargestellten Pfeile 1 bis 8 kennzeichnen die bei der Delegation (der Nachfrage nach dem Dienstes SD 104) ablaufenden Schritte 1 bis 8.
- Ausgangssituation bei der nachfolgend beschrieben Delegation ist, dass der Agent A1 106 im Besitz des auf ihn ausgestellten Tickets 105 ist. Des weiteren befindet sich der Agent A1 106 auf der Agentenplattform des Agentenservers S 101. Auf dieses befindet sich ebenfalls der Agent A2 201.
- 1. Agent A1 106 migriert zum Agentenserver User U1 102. Beim Betreten der Agentenplattform wird der Agent A1 106 eindeutig und nicht manipulierbar authentifiziert.
- 2. Der Agent A1 106 fordert beim Ticket-Dienst TD1 107 ein Ticket (T2) 202 für den Agenten A2 201 an. Der Ticket- Dienst TD1 107 ermittelt die eindeutige Identität vom Agenten A1 106.
- 3. Der Ticket-Dienst TDI 107 fordert bei dem Ticket-Granting-
Server (TGS) 103 das Ticket 202 für den Agenten A2 201 an
Ticket Request).
Hierfür wird dem Ticket Granting Server TGS 103 die eindeutige Identität von Agent A1 106 und von Agent A2 201 mitgeteilt. Auch die Authentizität des Users U1 wird wieder überprüft.
Der Ticket Granting Server TGS 103 prüft dann in analoger Weise wie zuvor beim Agenten A1 106, welche Rechte dem Agenten A2 202 zugestanden werden können.
Das Ticket 105 von Agent A1 106 wird als Basis für das Ticket 202 von Agent A2 201 herangezogen.
Der Ticket-Request ist durch kryptographische Operationen geschützt. - 4. Der Ticket Granting Server TGS 103 übergibt das für den
Agenten A2 201 ausgestellte Ticket 202 an den Ticket Dienst
TDI 107 (Ticket Reply).
Der Ticket-Reply ist ebenfalls durch kryptographische Operationen geschützt. Auch die Authentizität des Ticket Granting Servers TGS 103 wird überprüft. - 5. Der Agent A1 106 bekommt vom Ticket-Dienst TDI 107 das Ticket 202.
- 6. Der Agent A1 106 migriert zum Agentenserver S 101. Beim Betreten der Agentenplattform des Agentenservers S 101 wird der Agent A1 106 eindeutig und nicht manipulierbar authentifiziert.
- 7. Der Agent A1 106 übergibt das Ticket 201 an den Agenten A2 201.
- 8. Der Agent A2 201 greift auf den Dienst SD 104 zu und übergibt das Ticket 202. Der Dienst SD 104 überprüft die Gültigkeit des Tickets 202 und führt den Zugriff gemäß den im Ticket 202 gespeicherten Rechten aus.
- In diesem Dokument sind folgende Schriften zitiert:
[1] M. N. Huhns, M. P. Singh; Readings in Agents; Morgan Kaufmann Publishers Inc., 1998;
[2] Agentenplattform SeMoA©, erhältlich am 23.03.2002 unter: http:/ / www.semoa.org
[3] Agentenplattform Ajanta, in "Delegation of Privileges to Mobile Agents in Ajanta", erhältlich am 23.03.2002 unter: http:/ / www.cs.umn.edu/Ajanta/papers/ic2000.pdf;
[4] Kerberos (IETF RFC 1510);
[5] Bruce Schneider; Applied Cryptography; Second Edition; John Wiley & Sons, Inc.;
[6] SPKI-Attributszertifikate (IETF RFC2692, IETF RFC2693).
Claims (16)
wobei der Delegationsagent durch ursprüngliche Autorisierungsdaten ursprünglich für den Dienst autorisiert war,
wobei der Delegationsagent die Autorisierungsanfrage für den mobilen Agenten stellt, durch welche die Autorisierungsdaten für den mobilen Agenten unter Verwendung der ursprünglichen Autorisierungsdaten erzeugt werden
und wobei der mobile Agent mit den Autorisierungsdaten ausgestattet wird, wobei die ursprünglichen Autorisierung des Delegationsagenten auf den mobilen Agenten übertragen wird.
an welche Autorisierungsanordnung eine Autorisierungsanfrage zur Autorisierung des mobilen Agenten für den Dienst stellbar ist,
durch welche Autorisierungsanordnung die Autorisierungsanfrage überprüfbar ist und, wenn die Überprüfung eine Berechtigung des mobilen Agenten für den Dienst (bzw. mindestens eines Teils des Dienstes) anzeigt, Autorisierungsdaten erzeugbar sind, welche den mobilen Agenten für den Dienst autorisieren und mit welchen der mobile Agent ausstattbar ist, andernfalls keine Autorisierungsdaten erzeugbar sind.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10215746.4A DE10215746B4 (de) | 2002-04-10 | 2002-04-10 | Verfahren und Anordnung sowie Computerprogramm mit Programmcode-Mitteln und Computerprogramm-Produkt zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz |
PCT/DE2003/001167 WO2003088012A1 (de) | 2002-04-10 | 2003-04-09 | Verfahren und anordnung zur autorisierung eines mobilen agenten in einem kommunikationsnetz |
AU2003232596A AU2003232596A1 (en) | 2002-04-10 | 2003-04-09 | Method and device for authorizing a mobile agent in a communications network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10215746.4A DE10215746B4 (de) | 2002-04-10 | 2002-04-10 | Verfahren und Anordnung sowie Computerprogramm mit Programmcode-Mitteln und Computerprogramm-Produkt zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz |
Publications (2)
Publication Number | Publication Date |
---|---|
DE10215746A1 true DE10215746A1 (de) | 2003-11-06 |
DE10215746B4 DE10215746B4 (de) | 2019-01-03 |
Family
ID=28798346
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10215746.4A Expired - Fee Related DE10215746B4 (de) | 2002-04-10 | 2002-04-10 | Verfahren und Anordnung sowie Computerprogramm mit Programmcode-Mitteln und Computerprogramm-Produkt zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz |
Country Status (3)
Country | Link |
---|---|
AU (1) | AU2003232596A1 (de) |
DE (1) | DE10215746B4 (de) |
WO (1) | WO2003088012A1 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102004016381A1 (de) * | 2004-04-02 | 2005-10-27 | Siemens Ag | Verfahren zur Fehlererkennung und zur Unterstützung von Rekonfigurationsentscheidungen in Mobilfunknetzwerken mit rekonfigurierbaren Endgeräten sowie entsprechende Netzwerkelemente und Komponenten |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2000065493A2 (en) | 1999-04-22 | 2000-11-02 | Cloakware Corporation | Delegation billing |
DE69940107D1 (de) * | 1999-07-05 | 2009-01-29 | Sony Deutschland Gmbh | Verwaltung eines Kommunikationsnetzwerks und Migration von mobilen Agenten |
US6681243B1 (en) | 1999-07-27 | 2004-01-20 | Intel Corporation | Network environment supporting mobile agents with permissioned access to resources |
-
2002
- 2002-04-10 DE DE10215746.4A patent/DE10215746B4/de not_active Expired - Fee Related
-
2003
- 2003-04-09 WO PCT/DE2003/001167 patent/WO2003088012A1/de not_active Application Discontinuation
- 2003-04-09 AU AU2003232596A patent/AU2003232596A1/en not_active Abandoned
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102004016381A1 (de) * | 2004-04-02 | 2005-10-27 | Siemens Ag | Verfahren zur Fehlererkennung und zur Unterstützung von Rekonfigurationsentscheidungen in Mobilfunknetzwerken mit rekonfigurierbaren Endgeräten sowie entsprechende Netzwerkelemente und Komponenten |
DE102004016381B4 (de) * | 2004-04-02 | 2006-02-09 | Siemens Ag | Verfahren zur Fehlererkennung und zur Unterstützung von Rekonfigurationsentscheidungen in Mobilfunknetzwerken mit rekonfigurierbaren Endgeräten sowie entsprechende Netzwerkelemente und Komponenten |
US7818605B2 (en) | 2004-04-02 | 2010-10-19 | Siemens Aktiengesellschaft | Method of managing reconfigurable terminals within a radio network |
US8020061B2 (en) | 2004-04-02 | 2011-09-13 | Siemens Aktiengesellschaft | Method for detecting errors and supporting reconfiguration decisions in mobile radio networks comprising reconfigurable terminals, and corresponding network elements and components |
Also Published As
Publication number | Publication date |
---|---|
AU2003232596A1 (en) | 2003-10-27 |
WO2003088012A1 (de) | 2003-10-23 |
DE10215746B4 (de) | 2019-01-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60214632T2 (de) | Multidomäne Berechtigung und Authentifizierung | |
EP2332313B1 (de) | Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem | |
DE112011100182B4 (de) | Datensicherheitsvorrichtung, Rechenprogramm, Endgerät und System für Transaktionsprüfung | |
DE69334091T2 (de) | Zugangskontrollen-Untersystem und Verfahren für ein verteiltes Rechensystem, das lokal gespeicherte Authentifizierungsdaten benutzt | |
DE102008042262B4 (de) | Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem | |
EP2415228B1 (de) | Verfahren zum lesen von attributen aus einem id-token über eine mobilfunkverbindung | |
DE69816400T2 (de) | Verteiltes Objektsystem und Verfahren zum Anbieten von Dienstleistungen darin | |
EP2159653B1 (de) | Verfahren zur Einräumung einer Zugriffsberechtigung auf ein rechnerbasiertes Objekt in einem Automatisierungssystem, Computerprogramm und Automatisierungssystem | |
DE102011089580B3 (de) | Verfahren zum Lesen von Attributen aus einem ID-Token | |
DE102007012749A1 (de) | Verfahren und System zur Bereitstellung von Diensten für Endgeräte | |
EP2454704A1 (de) | Verfahren zum lesen von attributen aus einem id-token | |
EP2245573A1 (de) | Verfahren zum lesen von attributen aus einem id-token | |
EP3649625B1 (de) | Verfahren zur delegation von zugriffsrechten | |
DE60212969T3 (de) | Verfahren und vorrichtung zum verfolgen des status eines betriebsmittels in einem system zur verwaltung der benutzung der betriebsmittel | |
DE10125955A1 (de) | Berechtigungsüberprüfung für intelligente Agenten über ein Positionsbestimmungssystem | |
EP3596709A1 (de) | Verfahren zur zugangskontrolle | |
DE102008042582A1 (de) | Telekommunikationsverfahren, Computerprogrammprodukt und Computersystem | |
DE10296626T5 (de) | Verfahren zur unleugbaren Verwendung kryptographischer Signaturen in kleinen Einrichtungen | |
DE10215746B4 (de) | Verfahren und Anordnung sowie Computerprogramm mit Programmcode-Mitteln und Computerprogramm-Produkt zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz | |
DE102005041055A1 (de) | Verfahren zur Verbesserung der Vertrauenswürdigkeit von elektronischen Geräten und Datenträger dafür | |
EP3186741A1 (de) | Zugriffsschutz für fremddaten im nichtflüchtigen speicher eines tokens | |
DE102005062061A1 (de) | Verfahren und Vorrichtung zum mobilfunknetzbasierten Zugriff auf in einem öffentlichen Datennetz bereitgestellten und eine Freigabe erfordernden Inhalten | |
WO2020169502A1 (de) | Verfahren zum transfer von daten | |
EP3180729B1 (de) | Digitale identitäten mit fremdattributen | |
DE102006045710A1 (de) | Verfahren und System zur Wiedergabe eines verschlüsselten digitalen Datenstroms |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8127 | New person/name/address of the applicant |
Owner name: PALM, INC. (N.D.GES. D. STAATES DELAWARE), SUN, US |
|
8128 | New person/name/address of the agent |
Representative=s name: SAMSON & PARTNER, PATENTANWAELTE, 80538 MUENCHEN |
|
8127 | New person/name/address of the applicant |
Owner name: HEWLETT-PACKARD DEVELOPMENT CO., L.P., HOUSTON, US |
|
R081 | Change of applicant/patentee |
Owner name: QUALCOMM INCORPORATED, SAN DIEGO, US Free format text: FORMER OWNER: PALM, INC. (N.D.GES. D. STAATES DELAWARE), SUNNYVALE, CALIF., US Effective date: 20110406 |
|
R082 | Change of representative |
Representative=s name: SAMSON & PARTNER, PATENTANWAELTE, DE |
|
R081 | Change of applicant/patentee |
Owner name: QUALCOMM INCORPORATED, US Free format text: FORMER OWNER: HEWLETT-PACKARD DEVELOPMENT CO., L.P., HOUSTON, US Effective date: 20140307 Owner name: QUALCOMM INCORPORATED, SAN DIEGO, US Free format text: FORMER OWNER: HEWLETT-PACKARD DEVELOPMENT COMPANY, L.P., HOUSTON, TEX., US Effective date: 20140307 |
|
R082 | Change of representative |
Representative=s name: SAMSON & PARTNER, PATENTANWAELTE, DE Effective date: 20140307 Representative=s name: SAMSON & PARTNER PATENTANWAELTE MBB, DE Effective date: 20140307 Representative=s name: MAUCHER JENKINS, DE Effective date: 20140307 Representative=s name: MAUCHER JENKINS PATENTANWAELTE & RECHTSANWAELT, DE Effective date: 20140307 |
|
R082 | Change of representative |
Representative=s name: MAUCHER JENKINS, DE Representative=s name: MAUCHER JENKINS PATENTANWAELTE & RECHTSANWAELT, DE |
|
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R020 | Patent grant now final | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |