DE10234562B4 - Secure network architecture - Google Patents
Secure network architecture Download PDFInfo
- Publication number
- DE10234562B4 DE10234562B4 DE10234562A DE10234562A DE10234562B4 DE 10234562 B4 DE10234562 B4 DE 10234562B4 DE 10234562 A DE10234562 A DE 10234562A DE 10234562 A DE10234562 A DE 10234562A DE 10234562 B4 DE10234562 B4 DE 10234562B4
- Authority
- DE
- Germany
- Prior art keywords
- network
- server
- communication
- server group
- application service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2557—Translation policies or rules
Abstract
Kommunikationsnetzwerk
mit einer ersten Servergruppe, mindestens einer zweiten Servergruppe
und einem ersten Kommunikationsweg zwischen der ersten und der zweiten
Servergruppe,
dadurch gekennzeichnet, dass
der erste Kommunikationsweg
ein Kommunikationsmodul zum Aufbauen und Aufrechterhalten einer
ersten Kommunikationsverbindung umfasst und
das Kommunikationsmodul
derart ausgestaltet ist, dass es die Nutzung eines in der ersten
Servergruppe vorhandenen Service durch die zweite Servergruppe ermöglicht,
nicht aber die Nutzung eines in der zweiten Servergruppe vorhandenen
Service durch die erste Servergruppe, wobei die Kommunikationsverbindung
nur auf Veranlassung der zweiten Servergruppe aufgebaut wird, das
Kommunikationsmodul die Identität
der zweiten Servergruppe anhand von der zweiten Servergruppe dezidiert
zugeordneten Zugriffswegen feststellt und anhand dieser Identität die Berechtigung
der zweiten Servergruppe, auf einen Server der ersten Servergruppe
zuzugreifen überprüft.Communication network with a first server group, at least one second server group and a first communication path between the first and the second server group,
characterized in that
the first communication path comprises a communication module for establishing and maintaining a first communication connection, and
the communication module is configured such that it enables the use of a service present in the first server group by the second server group, but not the use of existing in the second server group service by the first server group, wherein the communication connection is established only on the initiative of the second server group in that the communication module ascertains the identity of the second server group on the basis of access routes assigned to it by the second server group and uses this identity to check the authorization of the second server group to access a server of the first server group.
Description
Die vorliegende Erfindung betrifft ein Kommunikationsnetzwerk, ein Verfahren zum Durchführen der Kommunikation im Kommunikationsnetzwerk und ein Kommunikationsmodul zur Verwendung im Kommunikationsnetzwerk.The The present invention relates to a communication network, a method to perform communication in the communication network and a communication module for use in the communications network.
Ein kurzer Blick auf das klassische Internet zeigt deutlich dessen Schwächen, Sicherheitsmängel bzw. Architekturprobleme auf. Alle Server, Workstations etc. oder daraus bestehende Netze, die permanent oder auch zeitweise (dynamisch) mit dem Internet verbunden sind, sollen im folgenden kurz als Knotenpunkte bezeichnet werden. Damit ergibt sich folgendes vereinfachtes Bild des klassischen Internets: Verbindet man einen Knotenpunkt mit dem Internet, ist dieser Knotenpunkt grundsätzlich mit allen anderen Knotenpunkten des Internets verbunden. Jeder Knotenpunkt kann prinzipiell mit jedem anderen Knotenpunkt eine Verbindung aufnehmen. Dies ist vollständig unabhängig davon, ob die beiden Knotenpunkte in einer von beiden Knotenbetreibern gewollten Servicebeziehung zueinander stehen oder nicht.One A quick look at the classic Internet clearly shows its weaknesses, security flaws or Architecture problems. All servers, workstations etc or from it existing networks that are permanent or temporary (dynamic) Connected to the Internet are referred to below as nodes be designated. This results in the following simplified picture of the classic Internet: Connecting a node to the Internet, this node is basically with all other nodes connected to the internet. Each node can in principle with connect to every other node. This is completely independent of whether the two nodes in either of two node operators desired service relationship with each other or not.
Diese Offenheit geht über den eigentlichen Kommunikationsnutzen weit hinaus. Ihr Missbrauch lässt sich nur durch Selbstschutzmaßnahmen einzelner Knoten bzw. Knotengruppen gegenüber dem gesamten Rest des Netzes einschränken.These Openness goes over the actual communication benefits far beyond. Your abuse can be only by self-protection measures individual nodes or node groups with respect to the entire remainder of the network limit.
Da jeder für jeden und damit auch für potentielle Angriffe erreichbar ist, und es auf Ebene des Netzwerks fast nichts gibt, auf das sich ein Knotenpunkt verlassen könnte, bleibt nur die Möglichkeit des allumfassenden, knotenindividuellen Selbstschutzes. Dieser müsste theoretisch permanent in Echtzeit aktuellen Angriffstechniken nachgeführt werden: Ein gänzlich aussichtloses Unterfangen. Genau betrachtet, handelt es sich um ein Konstruktionsproblem, das grenzenlose Kommunikation global und nahezu unreglementiert zulässt und Sicherheitsbelange in den Bereich knotenbezogener Insellösungen (Firewalls, Intrusion Detection Systems etc.) verweist.There everyone for everyone and therefore also for potential attacks is achievable, and it is at the level of the network There is almost nothing that a node could rely on only the possibility the all-encompassing, node-individual self-protection. This would have to be theoretical permanently updated in real time with current attack techniques: A thoroughly hopeless venture. Exactly, it is about a construction problem, boundless communication global and Almost unregulated allows and security issues in the area of nodal island solutions (firewalls, intrusion Detection Systems etc.).
So
wird zum Beispiel in der
Durch das System soll verschiedenen Usern der Zugriff auf unterschiedliche Applikationen des Servers ermöglicht werden. Die Aufgabe wird erfindungsgemäß dadurch gelöst, dass zwischen Nutzer und dem Server eine Firewall installiert wird. Softwaremodule bearbeiten die Anfragen der Nutzer und stellen daraufhin die jeweiligen Applikationen zur Verfügung. Ein Nachteil einer Firewall ist, dass diese zu vergrößertem administrativen Aufwand für die Nachführung der sicherheitstechnischen Einstellungen führt.By The system should allow different users to access different ones Applications of the server allows become. The object is achieved in that between the user and the server a firewall is installed. software modules edit the requests of the users and then provide the respective ones Applications available. A disadvantage of a firewall is that it is too much administrative Effort for the tracking the safety-related settings leads.
Auch sind anhand der Identität des externen Knotens differenzierte Schutzmaßnahmen nicht realisierbar, da der Identität des externen Knotens nicht getraut werden kann. So können Knotennutzer die Identität des Knotens fälschen (so genanntes IP-Address Spoofing). Zudem können von Fremden böswillig kompromittierte Knotenpunkte dazu verwendet werden, die Identität zu verschleiern bzw. den kompromittierten Knotenpunkt als Ausgangspunkt für einen Angriff (z. B. für so genannte Distributed Denial of Service-Angriffe) zu verwenden.Also are based on identity of the external node differentiated protective measures can not be realized, because of the identity of the external node can not be trusted. So can node users the identity fake the knot (so-called IP address spoofing). In addition, strangers can be malicious compromised nodes are used to disguise the identity or the compromised node as a starting point for a Attack (eg for so-called distributed denial of service attacks).
Außerhalb der eigenen Festung in Form von Firewalls, Intrusion Detection Systems u. A. Schutzmechanismen, gibt es nichts, auf das sich ein Knotenpunkt, der Services bereitstellt, verlassen könnte. Die Betreiber angriffsattraktiver Knotenpunkte versuchen daher ihre Knotenpunkte quasi durch eine Allround-Panzerung zu schützen. Diese Panzerung müsste, wie bereits erwähnt, theoretisch in Echtzeit immer den aktuell bekannten Angriffstechniken nachgeführt werden. Bei den stetig kürzer werdenden Innovationszyklen im IT-Bereich und vor dem Hintergrund des im Hacker-Umfeld anzutreffenden Kreativ- und Innovationspotenzials ist dies kaum mehr möglich.Outside its own fortress in the form of firewalls, intrusion detection systems u. A. Protective mechanisms, there is nothing to which a node, providing services. The operators more attacking Nodes therefore try their nodes by a quasi Protect all-round armor. This armor would have, As already mentioned, theoretically in real time always the currently known attack techniques tracked become. In the steadily shorter Emerging innovation cycles in the IT sector and against the background of creative and innovation potential found in the hacker environment this is hardly possible anymore.
Die verwendeten Sicherheitsmechanismen können das Problem daher nur mildern. Ein Sprachgebrauch, der sich auch neuerdings in entsprechender einschlägiger Literatur zum Thema Security findet, wo auffallend oft (und ehrlich) von ,mildern' (mitigate) und nicht mehr von 'verhindern' (prevent) gesprochen wird. Eine Sicherheitsgarantie ist prinzipiell unmöglich.The used security mechanisms can therefore only solve the problem mitigate. A linguistic usage, which lately also in corresponding relevant Security literature finds where strikingly often (and honestly) of mitigate and no longer speak of 'prevent' becomes. A security guarantee is impossible in principle.
Damit ist auch klar, dass das Internet unter anderem für das Application Service Providing geschäftskritischer Anwendungen ungeeignet ist, nicht zuletzt deswegen, weil es in Relation zu einem geschlossenen privaten Netzwerk legitime Sicherheitsbelange des Nutzers bzw. Kunden nur unzureichend berücksichtigen kann.In order to It is also clear that the Internet among other things for the Application Service Providing business-critical Applications is unsuitable, not least because it is in relation to a closed private network legitimate security concerns of the user or customer can take insufficient account.
Hier hat die technische Globalisierung des Internets die entsprechenden Prozesse international übergreifender gesetzlicher Regelungen weit hinter sich gelassen. Regelungen existieren nur aus dem technisch operativen Umfeld in Form sogenannter RFC's. Beispiel RFC 2827: Hier wird u. a. versucht, die Fälschung von Quelladressen einzuschränken. Dieser RFC ist in die Kategorie Best Current Practice eingestuft und hat damit aber nur Empfehlungscharakter.Here the technical globalization of the Internet has the corresponding ones Processes internationally more comprehensive far from legal regulations. Regulations exist only from the technical operating environment in the form of so-called RFC's. Example RFC 2827: Here u. a. tried the fake of source addresses. This RFC is classified in the Best Current Practice category and has but only as a recommendation.
Um
diesen Problemen abzuhelfen, wurden alternative Sicherheitsansätze auf
Basis des klassischen Internet entwickelt. Die Schlüsselworte
an dieser Stelle lauten: Public Key Infrastrukturen (PKI), Secure
Socket Layer (SSL), Virtual Private Networks (VPN), IP Sec etc.
Um eine umfassende differenzierte Diskussion des Themas an dieser
Stelle zu vermeiden, soll eine praktisch eingesetzte Lösung, welche
die wesentlichen Technologien in Kombination einsetzt, exemplarisch
herausgegriffen werden:
Ein angesehener deutscher Festnetzbetreiber
bietet seinen Großkunden
sogenannte Intelligent Networks z. B. zum Betrieb ursprungsabhängig verteilter
Servicerufnummern an, die der Großkunde via Internet eigenständig administrieren
kann. Durch einen Missbrauch des Administrationszugangs wäre es problemlos
möglich,
z. B. die gesamte Call-Center-Infrastruktur des Kunden – quasi
auf Knopfdruck – dauerhaft
mit der lokalen Telefonseelsorge zu verbinden. Da es sich hier um
eine geschäftskritische
Anwendung handelt, versucht der Anbieter diesen Umstand in Form
folgender Lösung
zu berücksichtigen:
Der
Anbieter stellt dem Großkunden
ein Zertifikat aus, das via Diskette (also jenseits des Internets) zum
Großkunden
versandt wird, und dort im Browser des Großkunden installiert werden
muss. Das Zertifikat kann nur durch ein Kennwort aktiviert werden, das
ebenfalls separat versandt wird. Der Zugriff auf den Administrationsservice
erfolgt über
eine verschlüsselte
Verbindung adäquater
Schlüssellänge. Betrachtet
man die Kette bestehend aus Browser, Internetverbindung und Administrationsserver
und geht davon aus, dass die verwendete Technologie fehlerfrei implementiert
wurde (z. B. keine Ansatzpunkte für Buffer Overflow-Attacken),
besteht angesichts dieses Horizonts nicht unbedingt ein Grund zur
Sorge.To remedy these problems, alternative security approaches based on the classic Internet have been developed. The keywords to the These are: Public Key Infrastructures (PKI), Secure Socket Layer (SSL), Virtual Private Network (VPN), IP Sec etc. In order to avoid a comprehensive differentiated discussion of the topic at this point, a practically used solution that the essential technologies in combination, to be selected by way of example:
A respected German landline operator offers its major customers so-called Intelligent Networks z. As for the operation of origin-dependent distributed service numbers to which the major customer can administer independently via the Internet. By misusing the administration access, it would be easily possible, for. B. the entire call center infrastructure of the customer - almost at the touch of a button - permanently connect to the local telephone counseling. Since this is a business-critical application, the provider tries to take this fact into account in the form of the following solution:
The provider issues a certificate to the major customer, which is sent via floppy disk (ie beyond the Internet) to the major customer, where it must be installed in the browser of the major customer. The certificate can only be activated by a password, which is also sent separately. The administration service is accessed via an encrypted connection of adequate key length. If one considers the chain consisting of browser, Internet connection and administration server and assumes that the technology used was implemented without errors (eg no starting points for buffer overflow attacks), there is not necessarily any cause for concern in view of this horizon.
Bekanntlich ist jede Kette jedoch nur so stark wie ihr schwächstes Glied. Hierzu wird der Betrachtungshorizont geringfügig erweitert. Wird davon ausgegangen, dass der Festnetzbetreiber den Administrationsserver adäquat abgesichert hat, betrachtet man den gegenüberliegenden Kommunikationsendpunkt, den Browser des Großkunden. Hier findet sich beispielsweise ein Browser der Firma Netscape® (vom Anbieter so gefordert) auf einem Betriebssystem der Firma Microsoft®. Auf dieser Seite einen so genannten Trojaner zu platzieren, der die Userinterfacefunktionen des Betriebssystems um externe Andockmöglichkeiten erweitert (zuweilen auch als Fernwartungssoftware bezeichnet), könnte hier leicht für unangenehme Überraschungen sorgen, obwohl das theoretische Prinzip zertifikatbasierter, verschlüsselter Kommunikation zwischen Browser und Administrationsserver durchaus als sicher einzustufen wäre. Die Wahrscheinlichkeit eines derartigen Angriffs multipliziert sich mit der Anzahl der Knotenpunkte, von denen dieser Server direkt aber auch indirekt erreichbar ist.But every chain is only as strong as its weakest link. For this purpose, the viewing horizon is slightly extended. If it is assumed that the fixed network operator has adequately secured the administration server, one looks at the opposite communication endpoint, the browser of the major customer. Here you will find, for example, a browser from Netscape ® (as required by the provider) on an operating system from Microsoft ® . To place a so-called Trojan on this page, which extends the user interface functions of the operating system to external docking possibilities (sometimes also referred to as remote maintenance software), could easily cause unpleasant surprises, although the theoretical principle of certificate-based, encrypted communication between the browser and the administration server is certainly secure would be classified. The probability of such an attack is multiplied by the number of nodes from which this server is directly but also indirectly reachable.
Der vorliegenden Erfindung liegt daher die Aufgabe zu Grunde, ein Kommunikationsnetzwerk, ein Kommunikationsverfahren und ein Kommunikationsmodul zur Verwendung in einem Kommunikationsnetzwerk zur Verfügung zu stellen, welches die oben genannten Nachteile nicht oder zumindest in geringerem Maße aufweist und insbesondere die Möglichkeiten des Missbrauchs der Daten von Nutzern eines Kommunikationsnetzwerks deutlich reduziert.Of the The present invention is therefore based on the object, a communication network, a Communication method and a communication module for use to provide in a communication network the above mentioned disadvantages or at least to a lesser extent and especially the possibilities the misuse of the data of users of a communication network significantly reduced.
Diese Aufgabe wird durch das Kommunikationsnetzwerk nach Anspruch 1, das Kommunikationsverfahren nach Anspruch 6 und das Kommunikationsmodul nach Anspruch 9 gelöst. Die Unteransprüche enthalten weitere Ausgestaltungen des Kommunikationsnetzwerkes bzw. des Kommunikationsverfahrens. Unter Nutzer ist hierbei ein Knotenpunkt zu verstehen.These The object is achieved by the communication network according to claim 1, which Communication method according to claim 6 and the communication module solved according to claim 9. The dependent claims contain further embodiments of the communication network or of the communication method. Under user here is a node to understand.
Der
vorliegenden Erfindung liegt der folgende Gedanke zugrunde:
Elektronisch
gespeicherte Daten sind in der Regel auf einem Datenträger (Festplatte,
CD, Chipkarte, Memory, etc.) gespeichert. Der Zugriff auf die Daten erfolgt
durch ein Programm, das eine für
das jeweilige Speichermedium geeignete Schreib/Lesevorrichtung steuert.
Ein solches Programm ist üblicherweise in
ein Betriebssystem eingebunden, das potentiellen Nutzern den Zugriff
auf die Daten in Form sogenannter Dienste oder Services ermöglicht.
Zum Beispiel kann ein Nutzer eines Computers in einem sog. netzwerktrans parenten
Dateisystem auf seine lokalen Daten, d. h. die auf seinem Computer
gespeicherten Daten, in gleicher Form zurückgreifen wie auf Daten, die
tatsächlich
auf einem anderen Computer gespeichert sind. Der Zugriff auf die
Daten des entfernten Computers erfolgt, indem das Betriebssystem
des lokalen Computers auf der Basis eines Kommunikationsprotokolls
die entsprechenden Services des Betriebssystems des entfernten Computers
verwendet. Die Autorisierung zur Nutzung des Services auf dem entfernten
Computer erfolgt dabei anhand einer Identifikation des anfragenden
Nutzers bzw. seines Computers. In einem solchen System kann eine
unberechtigte Nutzung eines Services auf dem entfernten Computer
erfolgen, indem dem entfernten Computer eine falsche Identität vorgespiegelt
wird.The present invention is based on the following idea:
Electronically stored data are usually stored on a data medium (hard disk, CD, chip card, memory, etc.). The data is accessed by a program which controls a read / write device suitable for the respective storage medium. Such a program is usually integrated into an operating system that enables potential users to access the data in the form of so-called services or services. For example, a user of a computer in a so-called network-transparent file system can access his or her local data, ie the data stored on his computer, in the same way as data actually stored on another computer. The remote computer data is accessed by using the operating system of the local computer based on a communication protocol, the corresponding services of the operating system of the remote computer. The authorization to use the service on the remote computer is based on an identification of the requesting user or his computer. In such a system, unauthorized use of a service on the remote computer may occur by faking the wrong computer an incorrect identity.
Die Erfindung sieht nun gemäß Anspruch 1 vor, bereits auf der Netzwerkebene ein Kommunikationsmodul im Kommunikationsweg (in der Kommunikationsleitung) zwischen einem ersten Server oder einer ersten Servergruppe und einem zweiten Server oder einer zweiten Servergruppe zur Verfügung zu stellen, das nur die Nutzung eines in dem ersten Server oder der ersten Servergruppe vorhandenen Service durch den zweiten Server oder die zweite Servergruppe ermöglicht, nicht aber die Nutzung eines in dem zweiten Server oder der zweiten Servergruppe vorhandenen Service durch den ersten Server oder die erste Servergruppe.The Invention now according to claim 1 before, already at the network level a communication module in Communication path (in the communication line) between a first server or a first server group and a second server or a second server group that only the Use one in the first server or the first server group existing service through the second server or the second server group allows but not the use of one in the second server or the second Server group existing service through the first server or the first server group.
Gemäß Anspruch 6 sieht die Erfindung vor, ein Kommunikationsverfahren zum Durchführen einer Kommunikation in einem erfindungsgemäßen Kommunikationsnetzwerk zur Verfügung zu stellen, das sich dadurch auszeichnet, dass die Servergruppen Daten über den oder die Kommunikationswege austauschen und dass das Kommunikationsmodul über die Berechtigung, auf den Service einer Servergruppe zuzugreifen, entscheidet.According to claim 6 provides the invention, a communication method for performing a Communication in a communication network according to the invention to disposal which is characterized by the fact that the server groups Data about exchange the communication path or channels and that the communication module via the Authorization to access the service of a server group is decided.
Gemäß Anspruch 9 sieht die Erfindung vor, ein Kommunikationsmodul zur Verwendung in einem erfindungsgemäßen Kommunikationsnetzwerk zu schaffen. Das Kommunikationsmodul zeichnet sich dadurch aus, dass es ein Kommunikationsprotokoll umfasst, dass die Identifikation von Servern oder Servergruppen beinhaltet.According to claim Fig. 9 provides the invention, a communication module for use in a communication network according to the invention to accomplish. The communication module is characterized by that it includes a communication protocol that identifies of servers or server groups.
Auf diese Weise werden bereits auf Netzwerkebene nur gerichtete Beziehungen zwischen Servern bzw. Servergruppen zugelassen. Dies ermöglicht es, nur gewollte Servicebeziehungen zuzulassen und aufzubauen. Die in diesem Rahmen verwendete Identifikation eines Servers oder einer Servergruppe im Netzwerk wird an ein physikalisches Zugangsmerkmal, nämlich eine dedizierte Leitung, eine nicht mittels Software manipulierbare Hardwareidentifizierung, gebunden.On In this way, at the network level, only directional relationships are established allowed between servers or server groups. This makes it possible only permit and build intentional service relationships. In the this identification used a server or a Server group on the network becomes a physical access feature, namely a dedicated line, not software manipulable Hardware identification, bound.
Die Erfindung bietet die Möglichkeit, einen Missbrauch der Daten von Nutzern eines Datenverarbeitungsnetzwerks um Größenordnungen zu reduzieren, insbesondere, wenn der Verbindungsaufbau zwischen einer Datenverarbeitungsinfrastruktur oder Servergruppe und einem zugriffsberechtigten Knotenpunkt ausschließlich auf Veranlassung des zugriffsberechtigten Knotenpunkts erfolgt. Hierdurch wird in einfacher Weise verhindert, dass zwischen einem ersten zugriffsberechtigten Knotenpunkt und einem zweiten zugriffsberechtigten Knotenpunkt über die Datenverarbeitungsinfrastruktur ohne Zutun des jeweils anderen Knotenpunktes eine Verbindung hergestellt werden kann, über die ein Angriff auf die Daten des jeweils anderen Knotenpunkts erfolgen könnte.The Invention offers the possibility misuse of the data of users of a data processing network by orders of magnitude reduce, in particular, if the connection establishment between a computing infrastructure or server group and a accessable node exclusively at the instigation of the access node. This will be easier Way prevents between a first authorized access Node and a second authorized node on the Data processing infrastructure without the intervention of the other node A connection can be made via which an attack on the Data of the other node could be done.
Gemäß der Erfindung kann daher vorgesehen sein, dass in einem Kommunikationsnetzwerk, insbesondere in dessen Kommunikationsweg oder Kommunikationsleitung, ein Zugriffsmodul zum Ermöglichen des Zugriffs auf eine interne Datenverarbeitungsinfrastruktur des Datenverarbeitungszentrums durch einen externen Nutzer und der Ausgabe von Daten von der internen Datenverarbeitungsinfrastruktur an den Nutzer vorhanden ist. Das Zugriffsmodul ist derart ausgestaltet, dass eine Verbindung zwischen dem externen Nutzer und der Datenverarbeitungsinfrastruktur nur durch den externen Nutzer initiiert werden kann.According to the invention can therefore be provided that in a communication network, in particular in the communication path or communication line, an access module to enable access to an internal data processing infrastructure of the Data processing center by an external user and the output of Data from the internal computing infrastructure to the user is available. The access module is designed such that a Connection between the external user and the computing infrastructure can only be initiated by the external user.
Die Autorisierung der einzelnen Knotenpunkte kann in bekannter Weise über entsprechende Nutzungsverträge erlangt werden, zu deren Abschluss in der Regel eine entsprechende Überprüfung bzw. Identifizierung der Knotenbetreiber des jeweiligen Knotenpunktes erfolgt.The Authorization of the individual nodes can in a known manner via appropriate License agreements at the conclusion of which, as a rule, a corresponding check or identification the node operator of the respective node takes place.
Mit der Erfindung ist die Restrukturierung des klassischen Internet in Richtung einer orientiert an Servicebeziehungen strukturierten, im folgenden als Application Service Infrastructure (ASI) bezeichneten Infrastruktur auf Basis einer, unter Sicherheitsaspekten optimierten, Netzwerkarchitektur möglich. Der durch den Business-Bereich einschränkend vorgeprägte Begriff des Application Service Providing ist hier weitreichend zu interpretieren: Ein Application Service Provider ist demnach eine Person oder Organisation, die für eine andere Person oder Organisation einen oder mehrere Services auf Basis eines Kommunikationsnetzes bereitstellt. Als unter Umständen einfachstes Beispiel wäre darunter auch das Veröffentlichen einer privaten Homepage zu verstehen.With The invention is the restructuring of the classic Internet structured in the direction of an oriented to service relationships, hereinafter referred to as Application Service Infrastructure (ASI) infrastructure on the basis of a security architecture optimized network architecture possible. The concept prefixed by the business area Application Service Providing here is to be interpreted extensively: An application service provider is therefore a person or organization the for another person or organization one or more services based on a communication network. As perhaps simplest Example would be including publishing to understand a private homepage.
Im Umfeld der Nutzung von Services (Diensten) im Rahmen einer Application Service Infrastructure (ASI), können dabei die folgenden funktionalen Rollen voneinander abgegrenzt werden:
- – Application Service User (ASU): der eigentliche Nutzer des Services,
- – Application Service Customer (ASC): der den Servicevertrag abschließende Betreiber eines zugangsberechtigten Knotenpunktes als übergeordnete Organisation etc. der Application Service User (ASU),
- – Application Service Provider (ASP): der Provider eines bestimmten Services.
- - Application Service User (ASU): the actual user of the service,
- - Application Service Customer (ASC): the operator of an access-authorized node who terminates the service contract as the parent organization, etc. of the Application Service User (ASU),
- - Application Service Provider (ASP): the provider of a particular service.
Dabei muss der Application Service nicht notwendigerweise von dem Betreiber eines Datenverarbeitungszentrums zur Verfügung gestellt werden. Viel mehr kann gegebenenfalls noch eine weitere funktionale Rolle identifiziert werden, nämlich diejenige eines so genannten
- – Application Service Infrastucture Provider (ASIP), der die Infrastruktur, insbesondere das Datenverarbeitungszentrum zur Verfügung stellt und betreibt.
- - Application Service Infrastructure Provider (ASIP), which provides and operates the infrastructure, in particular the data processing center.
Mit anderen Worten kann auch vorgesehen sein, dass nicht nur die Application Service User (ASU) als Betreiber eines zugriffsberechtigten Knoten in Frage kommen, sondern auch Application Service Provider (ASP). Die Application Service Provider (ASP) stellen einen Service im Datenverarbeitungszentrum zur Verfügung und administrieren diesen über die Verbindung zum Datenverarbeitungszentrum als externe Nutzer des Datenverarbeitungszentrums. Die Trennung von Application Service Provider (ASP) und Application Service Infrastructure Provider (ASIP) ermöglicht es, die Verantwortung der Bereitstellung von Applikationen (Anwendungen) auf unterschiedliche Firmen zu verteilen und von der Kernverantwortung bezüglich der Infrastruktur zu trennen. Der Application Service Infrastructure Provider (ASIP) kann sich damit auf die Weiterentwicklung der Infrastruktur und einige wenige, für alle Kunden standardisiert betreibbare Services, wie z. B. einen sicheren Internetzugang in Form eines so genannten Secure Internet Gateway, konzentrieren.In other words, it can also be provided that not only the Application Service User (ASU) come into question as operator of an access-authorized node, but also Application Service Provider (ASP). The application service providers (ASP) provide a service in the data processing center and administer it via the connection to the data processing center as external users of the data processing center. Separation of Application Service Provider (ASP) and Application Service Infrastructure Provider (ASIP) makes it possible to distribute the responsibility of providing applications (applications) to different companies and to separate them from the core responsibility for the infrastructure. The Application Service Infrastructure Provider (ASIP) can thus focus on the further development of the infrastructure and a few services that can be standardized for all customers, such as: B. a secure Internet access in the form of a so-called Secure Internet Gateway, concentrate.
Im Gegenzug ermöglicht der Einbezug verschiedener Firmen, die bereits über Kernkompetenz komplexer Applikationen verfügen, als Application Service Provider (ASP) ein schnelleres Wachstum des Serviceangebots, was letztlich die Attraktivität der gesamten Infrastruktur für potentielle neue Nutzer steigert. Gleichzeitig steigt mit zunehmender Nutzerzahl die Attraktivität der Infrastruktur für potentielle neue Application Service Provider (ASP). Damit entsteht ein Schneeballeffekt, der ein dynamischeres Geschäftsmodell ermöglicht, als dies im klassischen Application Service Providing Modell mit einem Provider, der alle Services bereitstellt, der Fall ist.in the Backing allows the inclusion of different companies that already have more complex core competencies Have applications, as an Application Service Provider (ASP) a faster growth of the Service offerings, which ultimately the attractiveness of the entire infrastructure for potential new users increases. At the same time increases with increasing number of users the attractiveness the infrastructure for potential new application service providers (ASP). This creates a snowball that is a more dynamic business model allows than this in the classic application service providing model with a provider that provides all services is the case.
Die Datenverarbeitungsinfrastruktur kann einen einzigen Zugriffsbereich oder Infrastrukturbereich als Datenverarbeitungsstruktur, beispielsweise einen einzelnen Server oder dergleichen umfassen, auf den die zugangsberechtigten Knotenpunkte zugreifen können. Die Datenverarbeitungsstruktur kann jedoch auch als Netzwerk, ähnlich einem LAN (Local Area Network) vorliegen. Um unterschiedlichen Knotenbetreibern unterschiedliche Dienste anbieten zu können, umfasst die Datenverarbeitungsinfrastruktur bevorzugt mehrere Datenverarbeitungsstrukturen (Zugriffsbereiche, Infrastrukturbereiche). Dabei ist bevorzugt wenigstens eine zugangsbeschränkte erste Datenverarbeitungsstruktur vorgesehen, wobei das Zugriffsmodul bzw. eine im Zugriffsmodul vorhandene Verbindungsaufbausteuerung dann zum Verbindungsaufbau zwischen einem Knotenpunkt und der ersten Datenverarbeitungsstruktur nur bei der ersten Datenverarbeitungsstruktur zugeordneter Autorisierung des Knotenpunkts ausgebildet ist, um nur entsprechend autorisierten Knotenpunkten Zugang zur ersten Datenverarbeitungsstruktur bzw. den dort zur Verfügung gestellten Diensten zu gewähren.The Computing infrastructure can have a single access area or infrastructure area as a data processing structure, for example a single server or the like, to which the authorized Can access nodes. However, the data processing structure can also act as a network, similar to a LAN (Local Area Network). To different node operators Being able to offer different services preferably includes the data processing infrastructure several data processing structures (access areas, infrastructure areas). In this case, at least one access-restricted first is preferred Data processing structure provided, wherein the access module or a connection setup controller present in the access module then for establishing a connection between a node and the first Data processing structure only in the first data processing structure Associated authorization of the node is designed to only according to authorized nodes access to the first data processing structure or the available there granted services.
Falls ein Application Service Provider (ASP) einen im Datenverarbeitungszentrum zur Verfügung gestellten Service über eine Verbindung zum Datenverarbeitungszentrum administrieren will, kann auch vorgesehen sein, mindestens einen Server zwei Datenverarbeitungsstrukturen zuzuordnen, von denen eine den Service bereitstellt und die andere als Administrationszugang für den Application Service Provider (ASP) dient.If an Application Service Provider (ASP) in the data processing center provided Service over wants to administer a connection to the data processing center, can also be provided at least one server two data processing structures assign, one of which provides the service and the other as administration access for the Application Service Provider (ASP).
Weiter vorzugsweise sind mehrere solcher ersten Datenverarbeitungsstrukturen oder Infrastrukturbereiche vorgesehen. Die Application Service User (ASU) des Application Service Customer (ASC) können dann die Services eines oder mehrer Application Service Provider (ASP) nutzen, welche diese in unterschiedlichen, hier auch als Network Safes bezeichneten ersten Infrastrukturbereichen der Datenverarbeitungsinfrastruktur zur Verfügung stellen.Further preferably, several such first data processing structures or infrastructure areas. The Application Service User (ASU) of the Application Service Customer (ASC) can then use the services of a or several Application Service Providers (ASP) who use these in different, also referred to here as Network Safes first Infrastructure areas of the computing infrastructure.
Optional kann der Application Service Customer (ASC) so genannte private Services in der Application Service Infrastructure positionieren. Private Servi ces können z. B. den Charakter eines privaten Netzwerks haben und können ausschließlich durch den Application Service Customer (ASC) selbst bzw. seine Application Service User (ASU) genutzt werden. Darüber hinaus erhält der Application Service User (ASU) des Application Service Customer (ASC) nur Zugriff auf die Services, für die der Application Service Customer (ASC) mit dem jeweiligen Application Service Provider (ASP) einen Nutzungsvertrag geschlossen hat.optional The Application Service Customer (ASC) can call it private Position services in the Application Service Infrastructure. Private services can z. B. have the character of a private network and can only by the Application Service Customer (ASC) itself or its application Service User (ASU) are used. In addition, the application receives Service User (ASU) of the Application Service Customer (ASC) access only on the services, for the Application Service Customer (ASC) with the respective application Service Provider (ASP) has concluded a license agreement.
Nur der Application Service User (ASU) des Application Service Customer (ASC) kann eine Verbindung zu einem Serviceknoten, d. h. zu der Datenverarbeitungsinfrastruktur bzw. zu einem entsprechenden ersten Infrastrukturbereich derselben, initiieren. Die umgekehrte Richtung ist nicht möglich. Die Nutzung eines Serviceknotens durch einen Application Service User (ASU) des Application Service Customer (ASC) ist dank der Erfindung eine gerichtete Beziehung, d. h. es ist gewährleistet, dass der Betreiber des Serviceknotens umgekehrt keinen Zugriff auf die lokale IT-Infrastruktur des Kunden erhält.Just the Application Service User (ASU) of the Application Service Customer (ASC) can connect to a service node, i. H. to the Data processing infrastructure or to a corresponding first Infrastructure area of the same, initiate. The opposite direction can not. The use of a service node by an application service User (ASU) of the Application Service Customer (ASC) is thanks to the invention a directed relationship, i. H. it is guaranteed that the operator conversely, the service node does not have access to the local IT infrastructure of the customer receives.
Gleiches gilt für die Beziehung einzelner Kunden, d. h. Application Service Customer (ASC) untereinander: Hier ist erfindungsgemäß gewährleistet, dass zwei Application Service Customer (ASC), die den selben Service nutzen, dadurch nicht wechselseitig auf die lokale IT-Infrastruktur des jeweils anderen Application Service Customer (ASC) zugreifen können.The same applies to the relationship of individual customers, d. H. Application Service Customer (ASC) with each other: Here, the invention ensures that two application Service Customer (ASC) who use the same service, not by doing so mutually on the local IT infrastructure of each other Application Service Customer (ASC).
Eine Grundidee der Erfindung besteht demgemäß darin, Services in voneinander getrennten Räumen dem Nutzer zur Verfügung zu stellen. Diese Räume werden durch die ersten Infrastrukturbereiche (Datenverarbeitungsstrukturen) gebildet, die im folgenden auch als Network Safes bezeichnet werden. Ein Network Safe verbindet ausschließlich Server oder dergleichen miteinander, die gemeinsam einen Service erbringen und zueinander in einer Vertrauensbeziehung stehen. Die durch einen Network Safe bereitgestellten Services können nur durch berechtigte Knotenpunkte bzw. Knotenpunktgruppen ge nutzt werden, wobei die privaten Ressourcen der Knotenpunkte bzw. Knotenpunktgruppen vor wechselseitigem Zugriff geschützt sind.A The basic idea of the invention is thus to provide services in one another separate rooms available to the user to deliver. These rooms become through the first infrastructure areas (data processing structures) formed, which are referred to below as Network Safes. A Network Safe connects only servers or the like with each other, who together provide a service and each other to be in a relationship of trust. The through a network safe provided services uses only by legitimate nodes or node groups ge where the private resources of the nodes or node groups protected against mutual access.
Langfristig ermöglicht die Erfindung, den bisherigen Ansatz des nahezu unbeschränkt offenen, aber sicherheitsmangelhaften Internets sowie den Ansatz vollständig geschlossener Netze, durch eine an expliziten Servicebeziehungen orientierte, sichere, standardisierte und flexible erfindungsgemäße Struktur zu ersetzen.long-term allows the invention, the previous approach of almost unlimited open, but security-deficient Internet and the approach completely closed Networks, oriented by explicit service relationships, safe, standardized and flexible structure according to the invention to replace.
Bei bevorzugten Varianten der Erfindung ist vorgesehen, dass die Knotenpunkte über eine ausschließlich dem jeweiligen Knotenpunkt zugeordnete Kommunikationsleitung mit der Datenverarbeitungsinfrastruktur verbunden werden und die Steuerung des Verbindungsaufbaus mit dem ersten Infrastrukturbereich zugangsbasiert in Abhängigkeit von der jeweils zugeordneten Kommunikationsleitung erfolgt.at preferred variants of the invention it is provided that the nodes via a exclusively associated with the respective node communication line with the data processing infrastructure and the control of the Connection setup with the first infrastructure area access-based dependent on from the respectively assigned communication line.
Bei der erfindungsgemäßen Netzwerkarchitektur bzw. dem erfindungsgemäßen Datenverarbeitungszentrum wird dies dadurch erreicht, dass für wenigstens eine Anzahl jeweils ausschließlich einem Knotenpunkt zugeordnete Kommunikationsleitungen eine ausschließlich der jeweiligen Kommunikationsleitung zugeordnete Schnittstelleneinrichtung der Datenverarbeitungsinfrastruktur vorgesehen ist und eine Verbindungsaufbausteuerung zur zugangsbasierten Steuerung des Verbindungsaufbaus zum ersten Infrastrukturbereich in Abhängigkeit von der Schnittstelleneinrichtung ausgebildet ist. Mit anderen Worten werden über die Verbindungsaufbausteuerung nur Verbindungen mit dem ersten Infrastrukturbereich aufgebaut, die über die Kommunikationsleitungen bzw. diesen fest zugeordnete Schnittstelleneinrichtungen erfolgen, welche entsprechend zugangsberechtigten Knotenpunkten in vorgegebener Weise zugeordnet sind. Die Zuordnung kann dabei nur durch den Betreiber des Datenverarbeitungszentrums bzw. auf dessen Veranlassung hin modifiziert werden.at the network architecture according to the invention or the data processing center according to the invention this is achieved by having at least a number of each exclusively a node associated communication lines exclusively the respective communication line associated interface device the data processing infrastructure is provided and a connection setup control for access-based control of the connection setup to the first Infrastructure area depending is formed by the interface device. In other words be over the connection setup control only connections to the first infrastructure area built that over the communication lines or these permanently assigned interface devices be carried out, which corresponding access authorized nodes assigned in a predetermined manner. The assignment can only by the operator of the data processing center or on its Occasion to be modified.
Die lokalen IT-Infrastrukturen des betreffenden Application Service Customer (ASC) sind mit dem im folgenden auch als Network Operation Center (NOC) bezeichneten Datenverarbeitungszentrum, das die Application Service Infrastructure (ASI), also die Datenverarbeitungsinfrastruktur, bereitstellt, dediziert verbunden. Dediziert verbunden soll hierbei bedeuten, dass die lokalen Strukturen des Application Service Customer (ASC) mit einer nicht durch Software manipulierbaren Identifikation versehen sind. Als dedizierte Verbindungen kommen beispielsweise Standleitungen oder Verbindungen mit sonstigen physikalisch verankerten Identifikationsmechanismen in Frage. Sind mehrere Network Operation Center (NOC) vorgesehen, so sind die lokalen IT-Infrastrukturen des betreffenden Application Service Customer (ASC) jeweils nächstgelegenen Network Operation Center (NOC) verbunden.The local IT infrastructures of the relevant application service Customer (ASC) are with the following also as Network Operation Center (NOC) designated data processing center, which is the Application Service Infrastructure (ASI), ie the data processing infrastructure, provides, connected in a dedicated way. Dedicated connected here mean the local structures of the Application Service Customer (ASC) with an identification that can not be manipulated by software are provided. For example, leased lines come as dedicated connections or connections with other physically anchored identification mechanisms in question. Are there multiple Network Operation Centers (NOC)? such are the local IT infrastructures of the relevant Application Service Customer (ASC) Network Operation Center (NOC).
Hierdurch wird in vorteilhafter Weise eine Zuordnung der Zugangsberechtigung zu einem physikalischen Zugang zur Datenverarbeitungsinfrastruktur erreicht, wodurch sich die Angriffs- bzw. Manipulationsmöglichkeiten um mehrere Größenordnungen reduzieren, da hierbei ein tatsächlicher Zugriff auf die Hardware vor Ort erforderlich wäre.hereby is advantageously an assignment of the access authorization to a physical access to the computing infrastructure achieved, thereby attacking or Manipulationsmöglichkeiten reduce by several orders of magnitude, because this is an actual Access to the hardware would be required locally.
Hierdurch können in einfacher Weise die auf Netzwerkebene bestehenden Sicherheitsprobleme im klassischen Internet überwunden werden, die fast ausschließlich daraus resultieren, dass die Sicherheitsmechanismen auf dem Inhalt eines oder mehrerer Datenpakete basieren. Solche Datenpakete können bekanntermaßen durch entsprechende Software nahezu beliebig erzeugt und manipuliert werden. Im Gegensatz dazu, basieren die Sicherheitsmechanismen dieser bevorzugten Variante der Erfindung auf einfachen Ketten, deren erstes Glied immer an dem physikalischen Zugangsweg eines Pakets verankert wird. Angriffe auf derart verankerte Sicherheitsmechanismen erfordern wie erwähnt den direkten persönlichen Zugriff des Angreifers auf die physikalische Infrastruktur vor Ort. Der Personenkreis potentieller Angreifer wird damit im Vergleich zum klassischen Internet um mehrere Größenordnungen reduziert.hereby can in a simple way, the network level security problems in the overcome classic internet be almost exclusively The result is that the security mechanisms on the content one or more data packets. Such data packets can be known by appropriate software can be generated and manipulated almost arbitrarily. In contrast, the security mechanisms are based on these preferred ones Variant of the invention on simple chains whose first link always anchored to the physical access path of a packet. Require attacks on such anchored security mechanisms as mentioned the direct personal Access of the attacker to the physical infrastructure on site. The group of potential attackers is thus compared reduced to the classical Internet by several orders of magnitude.
Die Überprüfung, ob ein Verbindungsaufbau über eine bestimmte Kommunikationsleitung erlaubt ist oder nicht, kann anhand einfacher Listen erfolgen, auf welche die Verbindungsaufbausteuerung zugreift und in denen die zugangsberechtigten Kommunikationsleitungen für den jeweiligen ersten Infrastrukturbereich abgelegt sind.Checking if a connection via a specific communication line is allowed or not based on simple lists to which the connection setup control access and in which the authorized communication lines for the respective first infrastructure area are stored.
Bei der Kommunikationsleitung handelt es sich erwähntermaßen um eine sichere Verbindung zwischen dem jeweiligen zugangsberechtigten Knotenpunkt und dem Datenverarbeitungszentrum, beispielsweise eine Standleitung oder dergleichen, welche nicht ohne weiteres für Angriffe oder Manipulationen zugänglich ist.at The communication line is, as mentioned, a secure connection between the respective authorized node and the data processing center, For example, a leased line or the like, which not without further ado Attacks or tampering accessible is.
Der Begriff Kommunikationsleitung soll dabei nicht nur eine physikalische Leitung umfassen, sondern auch Kommunikationsverbindungen einschließen, welche die Kommunikation zumindest abschnittsweise auf anderweitigem Wege, beispielsweise funkbasiert, herstellen. Die Vorteile der Erfindung, insbesondere die Reduktion von Manipulationsmöglichkeiten, lassen sich, wenn auch möglicherweise in geringerem Maße oder mit höherem Aufwand, auch hier erreichen.Of the The term communication line should not only be a physical one Line, but also include communication links which the communication at least in sections in other ways, for example, radio-based manufacture. The advantages of the invention, in particular the reduction of manipulation possibilities, can be, if maybe also to a lesser extent or with higher Effort, reach here as well.
Existierende, so genannte Dial-In-Lösungen müssen zunächst unter Sicherheitsaspekten bewertet werden. Anschließend ist die gewählte Lösung strukturharmonisch zu integrieren. Der Betrieb von Dial-In-Lösungen im Rahmen einer erfindungsgemäßen Netzwerkarchitektur schafft jedoch auch hier zusätzliche Sicherheit gegenüber einer konventionellen Infrastruktur, in der unter Umständen eine Verbindung zum gesamten Netzwerk aufgebaut wird. In der erfindungsgemäßen Netzwerkarchitektur ist der verbundene Knotenpunkt nach wie vor immer nur mit dem bzw. den jeweils freigegebenen Network Safes (ersten Infrastrukturbereichen) verbunden, aber nie mit dem gesamten Netzwerk.Existing so-called dial-in solutions must first be evaluated in terms of security. Afterwards, the chosen solution has to be integrated harmoniously. However, the operation of dial-in solutions in the context of a network architecture according to the invention also provides additional security over a conventional one here Infrastructure that may be connecting to the entire network. In the network architecture according to the invention, the connected node is still connected only to the respectively released network safes (first infrastructure areas), but never to the entire network.
Bevorzugte in Alleinstellung oder kombiniert realisierbare Varianten solcher Dial-In-Lösungen können wie folgt aussehen:
- – Es gibt grundsätzlich keine anonymen Dial-In-Möglichkeiten. Im Rahmen des Verbindungsaufbaus muss sich der betreffende Benutzer mindestens im Rahmen eines starken Authentifizierungsverfahrens (z. B. basiert auf RSA-Secure-ID-Token) zu erkennen geben. Die nach erfolgreicher Authentifizierung aufgebaute Netzverbindung ist grundsätzlich verschlüsselt.
- – Verbindungen werden im sogenannten Call-Back-Verfahren aufgebaut, bei dem entsprechende Nummern bzw. Vorwahlbereiche Nutzerbezogen freigegeben werden.
- – Die Quelladresse einer Dial-In-Verbindung wird durch den Einwahlserver nutzerbezogen fest vergeben. Die verwendeten Adressbereiche sind von den Adressbereichen dedizierter Verbindungen unterscheidbar, sodass im weiteren Verlauf darauf basierende, verschärfte Sicherheitsregeln zum Einsatz kommen können.
- – Der wechselseitige Schutz verschiedener, mit der Infrastruktur via Dial-In verbundenen Knotenpunkte wird über entsprechende Filter- und Routing-Mechanismen sichergestellt.
- - There are basically no anonymous dial-in options. As part of the connection setup, the user concerned must at least be identified as part of a strong authentication procedure (eg based on RSA Secure ID tokens). The network connection established after successful authentication is always encrypted.
- - Connections are established in the so-called call-back procedure, in which corresponding numbers or area codes are released user-related.
- - The source address of a dial-in connection is permanently assigned by the dial-in server. The address ranges used are distinguishable from the address ranges of dedicated connections, so that more stringent security rules based on them can be used later.
- - The mutual protection of various, connected to the infrastructure via dial-in nodes is ensured by appropriate filtering and routing mechanisms.
Die Überprüfung, ob eine Verbindung hergestellt wird oder nicht, kann bei allen Zugriffsvarianten anhand beliebiger Kriterien erfolgen, die eine eindeutige Zuordnung zu einer bestimmten Kommunikationsleitung ermöglichen. So kann beispielsweise vorgesehen sein, dass bei dem Versuch eines Verbindungsaufbaus zu einem ersten Infrastrukturbereich über eine bestimmte Kommunikationsleitung durch eine der Kommunikationsleitung zugeordnete Einrichtung ein entsprechendes Identifikationsmerkmal an die Verbindungsaufbausteuerung weitergegeben wird, anhand dessen diese entscheidet, ob die Verbindung aufgebaut wird oder nicht.Checking if A connection is made or not, can be used with all access variants arbitrary criteria that have a clear assignment to enable a specific communication line. So, for example be provided that in attempting to connect to a first infrastructure area over a particular communication line by a device associated with the communication line corresponding identification feature to the connection setup control is passed on the basis of which decides whether the connection is built or not.
Bei bevorzugten, weil besonders einfach aufgebauten und zu realisierenden Varianten der Erfindung ist vorgesehen, dass die über eine Kommunikationsleitung von einem Knotenpunkt im Datenverarbeitungszentrum eingehenden Daten mit einem der Kommunikationsleitung eindeutig zugeordneten Identifikationsmerkmal versehen werden. Die Steuerung des Verbindungsaufbaus mit dem ersten Infrastrukturbereich erfolgt dann in Abhängigkeit von diesem Identifikationsmerkmal.at preferred, because particularly simple in construction and to be realized Variants of the invention is provided that the over a Communication line from a node in the data processing center incoming data with one of the communication line assigned identification feature. The control the connection is established with the first infrastructure area then depending from this identification feature.
Bei der erfindungsgemäßen Netzwerkarchitektur bzw. dem erfindungsgemäßen Datenverarbeitungszentrum wird dies in einfacher Weise dadurch erreicht, dass wenigstens eine der jeweiligen Kommunikationsleitung zugeordnete Identifikationseinrichtung vorgesehen ist, die zum Kennzeichnen von im Datenverarbeitungszentrum eingehenden Daten mit einem der Kommunikationsleitung eindeutig zugeordneten Identifikationsmerkmal dient. Die Verbindungsaufbausteuerung ist dann zur Steuerung des Verbindungsaufbaus mit dem ersten Infrastrukturbereich in Abhängigkeit vom Identifikationsmerkmal ausgebildet. Falls mehrere Infrastrukturbereiche vorhanden sind, können entsprechend mehrere Identifikationsmerkmale vergeben werden.at the network architecture according to the invention or the data processing center according to the invention This is achieved in a simple manner in that at least one Identification device assigned to the respective communication line is provided for identifying in the data processing center incoming data with one of the communication line assigned identification feature is used. The connection setup control is then to control the connection establishment with the first infrastructure area dependent on formed by the identification feature. If several infrastructure areas can exist be assigned according to several identification features.
Bei dieser Variante sind keine zusätzlichen Sensoren oder dergleichen erforderlich, sondern es muss lediglich mit in der Regel ohnehin vorhandenen Einrichtungen das entsprechende Identifikationsmerkmal ausgelesen werden und anhand dieses Identifikationsmerkmals entschieden werden, ob die Verbindung aufgebaut werden soll oder nicht.at this variant are no additional sensors or the like required, but it only needs to be in usually already existing facilities the corresponding identification feature be read out and decided on the basis of this identification feature whether the connection should be established or not.
Bei einer einfach aufgebauten Varianten der erfindungsgemäßen Netzwerkarchitektur bzw. des erfindungsgemäßen Datenverarbeitungszentrums ist die betreffende Kennzeichnungseinrichtung einer Schnittstelle zugeordnet. Beispielsweise kann die Kennzeichnungseinrichtung Bestandteil einer solchen Schnittstelle sein.at a simply constructed variants of the network architecture according to the invention or the data processing center according to the invention is the relevant identifier of an interface assigned. For example, the marking device part be such an interface.
Die Zuordnung des Identifikationsmerkmals zu den Daten kann in beliebiger Weise erfolgen. Bevorzugt erfolgt sie mittels einer so genannten Network Address Translation (NAT), insbesondere einer Source Network Address Translation (S-NAT), oder einem Connection Tracking Modul, was bei der erfindungsgemäßen Netzwerkarchitektur bzw. dem erfindungsgemäßen Da tenverarbeitungszentrum bevorzugt dadurch realisiert ist, dass die Kennzeichnungseinrichtung zur Zuordnung des Identifikationsmerkmals mittels Network Address Translation (NAT) ausgebildet ist.The Assignment of the identification feature to the data can be in any Done way. Preferably, it takes place by means of a so-called Network Address Translation (NAT), especially a source network Address Translation (S-NAT), or a Connection Tracking Module, what in the network architecture according to the invention or the data processing center according to the invention Preferably realized by the fact that the marking device for the assignment of the identification feature by means of Network Address Translation (NAT) is formed.
Dadurch werden in einfacher Weise folgende Anforderungen erfüllt bzw. Vorteile erzielt:
- – Der Application Service Customer (ASC) erhält eine eindeutig ihm zugeordnete und nicht durch Software manipulierbare Quelladresse, die damit als Ausgangspunkt weiterer Zugriffsentscheidungen verwendet wird.
- – Der Adressraum des Datenverarbeitungszentrums, also des Network Operation Center (NOC), kann vollständig unabhängig vom Adressraum des angeschlossenen Knotenpunkts oder LAN verwaltet werden.
- - The Application Service Customer (ASC) receives a uniquely assigned to him and not manipulated by software source address, which is thus used as a starting point for further access decisions.
- - The address space of the data processing center, ie the Network Operation Center (NOC), can be managed completely independently of the address space of the connected node or LAN.
Es gibt grundsätzlich keine direkten Verbindungen zwischen verschiedenen Network Safes, d. h. zwischen ersten Infrastrukturbereichen. In einer Ausgestaltung der erfindungsgemäßen Netzwerkarchitektur bzw. des erfindungsgemäßen Datenverarbeitungszentrums kann jedoch vorgesehen sein, dass die Datenverarbeitungsinfrastruktur wenigstens zwei erste Infrastrukturbereiche (Datenverarbeitungsstrukturen) und wenigstens eine Verbindung in Form eines zweiten Infrastrukturbereiches zwischen den ersten Infrastrukturbereichen umfasst, über welche die ersten Infrastrukturbereiche verbunden sind, beispielsweise um den einen ersten Infrastrukturbereich mit Hilfe eines weiteren ersten Infrastrukturbereichs zu administrieren. Der zweite Infrastrukturbereich kann beispielsweise ein Server sein, der mit mindestens zwei ersten Infrastrukturbereichen verbunden ist. Im Hinblick auf kooperativ durch verschiedene Application Service Provider (ASP) erbrachte Services, z. B. im Business-to-Business (B2B) Umfeld, besteht hiermit die Möglichkeit, dass z. B. ein Server oder dergleichen durch separate Netzwerkinterfaces mit mehreren ersten Infrastrukturbereichen, d. h. Network Safes, verbunden ist. Der Missbrauch des zweiten Infrastrukturbereiches bzw. des Servers, als generel ler Router zwischen den Network Safes mit denen er verbunden ist, wird durch die zuvor genannten Kommunikationsbeschränkungen verhindert.There are basically no direct connections between different Network Safes, d. H. between first infrastructure areas. In an embodiment of the network architecture according to the invention or of the data processing center according to the invention, however, it may be provided that the data processing infrastructure comprises at least two first infrastructure areas (data processing structures) and at least one connection in the form of a second infrastructure area between the first infrastructure areas, via which the first infrastructure areas are connected, for example to administer the first infrastructure area with the help of another first infrastructure area. The second infrastructure area may, for example, be a server that is connected to at least two first infrastructure areas. With regard to cooperative services provided by various Application Service Providers (ASP), e.g. B. in the business-to-business (B2B) environment, this is the possibility that z. As a server or the like by separate network interfaces with multiple first infrastructure areas, ie Network Safes, is connected. The abuse of the second infrastructure area or of the server, as a general router between the network safes to which it is connected, is prevented by the aforementioned communication restrictions.
Um eine in möglichst breiten Umfang und kostengünstig zu nutzende Netzwerkarchitektur zu erzielen, sind bevorzugt eine Anzahl von über sichere Kommunikationsverbindungen miteinander verbindbare Datenverarbeitungszentren sowie wenigstens eine Synchronisationseinrichtung vorgesehen, über welche die Datenverarbeitungszentren synchronisiert werden können, sodass in mehreren Datenverarbeitungszentren von ihrem Inhalt her synchronisierte erste Infrastrukturbereiche, d. h. Network Safes, bestehen. Hierdurch ist es beispielsweise möglich, Services für Application Service Customer (ASC) zur Verfügung zu stellen, deren Application Service User (ASU) sich an unterschiedlichen Standorten befinden. Diese können dann dank der Synchronisation der Datenverarbeitungszentren in kostengünstiger Weise jeweils auf das nächstgelegene Datenverarbeitungszentrum zugreifen.Around one in as possible wide scope and cost-effective To achieve network architecture to be used are preferably one Number of over secure communication links connectable to each other data processing centers and at least one synchronization device, via which the data processing centers can be synchronized so that synchronized by content in several data processing centers first infrastructure areas, d. H. Network Safes, exist. hereby is it possible, for example, Services for Application Service Customer (ASC) to provide their application service User (ASU) are located in different locations. These can then thanks to the synchronization of the data processing centers in less expensive Each time to the nearest data processing center access.
Langfristig ist hier zu berücksichtigen beziehungsweise kann berücksichtigt werden, dass ein Network Safe auch auf verschiedene Network Operation Center (NOC), d. h. Datenverarbeitungszentren, verschiedener Betreiber verteilt sein kann, sodass auch hier dem klassischen Internet vergleichbare übergeordnete Organisationsstrukturen existieren müssen bzw. vorgesehen sein können, die für die Verwaltung des Adressraums zuständig sind.long-term is to be considered here or can be considered be that a network safe also on different network operation Center (NOC), d. H. Data processing centers, various operators can be distributed, so that even here the classic Internet comparable superior Organizational structures must exist or can be provided, the for the administration the address space responsible are.
Mit
der Erfindung lässt
sich eine Migration in eine alternative Netzwerkarchitektur realisieren,
die ausgehend von den eingangs genannten Schwächen der Architektur des klassischen
Internet in erster Linie die folgenden Anforderungen erfüllt:
Bereits
die Fundamente der erfindungsgemäßen Netzwerkarchitektur
bzw. Datenverarbeitungszentrale sind so ausgelegt, dass grundsätzlich nur
die Knotenpunkte die Datenverarbeitungsinfrastruktur bzw. dieselben
Bereiche der Datenverarbeitungsinfrastruktur nutzen können, deren
Knotenbetreiber zueinander in einer gewollten Servicebeziehung stehen.
Der Begriff Service beziehung ist dabei als gerichtete Verbindung
aufzufassen, damit private Ressourcen aller Beteiligten im Umfeld
einer Servicebeziehung hinreichend geschützt werden. Beispiel: Nutzer
A benutzt einen Service von Provider B; Die privaten Ressourcen
von Nutzer A sind jedoch vor dem Zugriff durch Provider B geschützt. Analoges
gilt generell für
verschiedene Nutzer: Selbst wenn Nutzer A und Nutzer C den selben
Service nutzen, sind Ihre privaten Ressourcen wechselseitig vor
unberechtigtem Zugriff, insbesondere durch den jeweils anderen, geschützt.With the invention, a migration into an alternative network architecture can be realized, which primarily meets the following requirements based on the aforementioned weaknesses of the classical Internet architecture:
The foundations of the network architecture or data processing center according to the invention are already designed so that in principle only the nodes can use the data processing infrastructure or the same areas of the data processing infrastructure whose node operators are in a desired service relationship with one another. The term "service relationship" should be understood as a directed connection, so that private resources of all those involved in the context of a service relationship are adequately protected. Example: User A uses a service from Provider B; However, User A's private resources are protected from being accessed by Provider B. The same applies in general to different users: Even if user A and user C use the same service, their private resources are mutually protected against unauthorized access, especially by the other.
Die einem Nutzer hinsichtlich der Zugriffssicherheit zugesicherten Eigenschaften der erfindungsgemäßen Netzwerkarchitektur bzw. Datenverarbeitungszentrale können in vorteilhafter Weise durch eine vertrauenswürdige externe Institution zertifiziert und regelmäßig überwacht werden. Die erfindungsgemäßen Netzwerkarchitektur bzw. Datenverarbeitungszentrale muss, nicht zuletzt unter dem zuvor genannten Aspekt, revisionssicher betrieben werden.The a user with regard to access security assured properties the network architecture according to the invention or data processing center can advantageously by a trusted one external institution certified and regularly monitored. The network architecture according to the invention or data processing center must, not least under the previously mentioned aspect, audit-proof operation.
Der Ausgangspunkt einer Servicenutzung ist bei vorteilhaften Varianten der Erfindung bereits auf Netzwerkebene manipulationssicher einem Nutzer bzw. Nutzergruppe zuzuordnen.Of the Starting point of a service use is in advantageous variants the invention already at the network level tamper-proof one Assign user or user group.
Die Alternativarchitektur kann mit der Erfindung parallel zum klassischen Internet aufgebaut, und betrieben werden. Sie ermöglicht eine gesicherte und kontrollierte Kommunikation zum klassischem Internet, sofern ein Secure Internet Gateway in Form eines eigenen Network Safes vorhanden ist. Sie ermöglicht weiterhin ausgehend vom klassischen Internet eine schrittweise Migration, da sie nicht unabhängig und ad hoc aufgebaut werden muss. Die Migration kann zunächst in sicherheits- bzw. geschäftskritischen Serviceinfrastrukturen forciert werden, da hier ein hohes Schutzbedürfnis besteht.The Alternative architecture can be parallel to the classic with the invention Internet is built and operated. It allows one secure and controlled communication to the classical Internet, provided a secure internet gateway in the form of its own network Safes is available. It allows continuing from the classical Internet a gradual migration, since they are not independent and must be built ad hoc. The migration can begin in security or business critical Service infrastructures are forced, since there is a high need for protection.
Es besteht zudem ohne weiteres die Möglichkeit, bestehende Netzwerkinfrastrukturkomponenten im Rahmen der alternativen Architektur wiederzuverwenden, damit die Migration nicht durch einen unverhältnismäßig hohen Investitionsaufwand verhindert oder gebremst wird.It There is also the option of existing network infrastructure components reuse in the context of alternative architecture, so The migration is not prevented by a disproportionate investment or braked.
Die Alternativarchitektur zum klassischen Internet ist hinsichtlich sich ändernder Anforderungen hinreichend flexibel. Zudem ist sie zumindest mittelfristig auch für die Integration des Business-to-Consumer (B2C) und des Consumer-to-Consumer Bereichs offen.The alternative architecture to the classic Internet is in terms of changing requirements sufficiently flexible. In addition, at least in the medium term, it is also open for the integration of the business-to-consumer (B2C) and the consumer-to-consumer sector.
Die vorstehenden Ausführungen konzentrieren sich auf die Beschreibung der innovativen Grundideen der Erfindung, insbesondere also im wesentlichen auf die Darstellung des Grundmodells der erfindungsgemäßen Netzwerkarchitektur. Über dieses Grundmodell hinaus sind weitere Komponenten und Organisationsstrukturen für den erfolgreichen Betrieb eines entsprechenden Network Operation Center (NOC) erforderlich. Hier muss das Rad nicht neu erfunden werden, und kann auf entsprechende State-of-the-Art Techniken zurückgegriffen werden, die damit an dieser Stelle auch nur kurz thematisiert werden sollen. Es versteht sich von selbst, dass der externe Datenverkehr, d. h. der Datenverkehr zwischen Kunde und Network Operation Center (NOC) und der Datenverkehr zwischen verschiedenen Network Operation Centern (NOC) generell verschlüsselt abgewickelt werden sollte. Genauso ist, da es sich in der Regel um sicherheitskritische zentralisierte Strukturen handelt, die Infrastruktur redundant auszulegen.The above focus on the description of the innovative basic ideas of the invention, in particular so essentially on the presentation the basic model of the network architecture according to the invention. About this basic model In addition, other components and organizational structures for the successful Operation of an appropriate Network Operation Center (NOC) is required. Here, the wheel does not have to be reinvented, and can be based on appropriate State-of-the-art techniques are used which will be briefly discussed here should. It goes without saying that the external traffic, d. H. the traffic between customer and Network Operation Center (NOC) and the traffic between different network operations Centers (NOC) generally encrypted should be handled. That's the same as it usually is safety-critical centralized structures, the infrastructure redundant design.
Zum qualitativ hochwertigen Betrieb einer Netzwerkarchitektur sind ausgeprägte Komponenten erforderlich, die allgemein unter der Abkürzung FCAPS zusammengefasst werden: Fault Management (F), Configuration Management (C), Accounting (A) bzw. daraus resultierend auch das sogenannte Billing, Performance Monitoring (P), Security Management (S).To the high-quality operation of a network architecture requires distinct components, generally under the abbreviation FCAPS summarized: Fault Management (F), Configuration Management (C), accounting (A) or, as a result, the so-called billing, Performance Monitoring (P), Security Management (S).
Ausgehend von diversen Sicherheitsaspekten, sollten diese Komponenten auf Basis eines separaten, sogenannten Out-of-Band Management Netzwerks betrieben werden. Eine mögliche Referenzarchitektur findet sich unter anderem in der Veröffentlichung "Cisco SAFE: Security Blueprint for Enterprise Network Security" der Firma CISCO Systems Inc.outgoing from various security aspects, these components should be on Basis of a separate, so-called out-of-band management network operate. A possible Reference architecture can be found in the publication "Cisco SAFE: Security Blueprint for Enterprise Network Security "from CISCO Systems Inc.
Darüber hinaus ist vorgesehen, das Userinterface für das Management der erfindungsgemäßen Netzwerkarchitektur im wesentlichen als Frontend einer für die erfindungsgemäße Netzwerkarchitektur spezifischen Management-Datenbank zu betreiben. Protokoll- und Konfigurationsdaten werden ausschließlich über die Datenbank ausgetauscht. Für die Übertragung der Konfigurationsdaten auf die entsprechenden Geräte bzw. Server, werden geräte- bzw. betriebssystemspezifische Backends eingesetzt.Furthermore is provided, the user interface for the management of the network architecture according to the invention essentially as a front end of a network architecture specific to the invention Management database to operate. Protocol and configuration data are only available via the Database exchanged. For the transfer the configuration data to the corresponding devices or Server, become device or operating system specific Used backends.
Mit diesem Ansatz soll durch das Frontend die Möglichkeit von Administrationsfehlern minimiert und durch das Backend die Geräte- bzw. Betriebssystemunabhängigkeit maximiert werden. Zudem würde eine derartige Zwischenschicht die Ankopplung des Management-Netzwerks an das ERP-System des Application Service Infrastructure Providers (ASIP) erleichtern.With This approach is intended by the frontend the possibility of administration errors minimizes and through the backend the device or operating system independence be maximized. In addition, would such an intermediate layer the coupling of the management network to the ERP system of the Application Service Infrastructure Provider (ASIP) facilitate.
Zur Restrukturierung der kundenlokalen Installation ist es ergänzend sinnvoll, den Kunden, also einen Application Service Customer (ASC) oder einen Application Service Provider (ASP), bei der Umstellung auf entsprechende Endgeräte zu unterstützen. Mittels ,Thin Client' Technologie können hier durch Senkung der ,Total Cost of Ownership' (TCO) die Kosten der lokalen Installation des Kunden zusätzlich gesenkt werden. Als Zusatznutzen erhöht sich durch die verbesserte Virenresistenz dieser Technologie die Sicherheit der lokalen Installation.to Restructuring the customer-local installation makes sense the customer, ie an Application Service Customer (ASC) or a Application Service Provider (ASP), when switching to appropriate terminals to support. Using 'thin client' technology can here by lowering the, Total Cost of Ownership '(TCO) the cost of the local installation the customer in addition be lowered. As an added benefit increases through the improved Virus resistance of this technology the security of the local installation.
Weitere bevorzugte Ausgestaltungen der Erfindung ergeben sich aus den Unteransprüchen bzw. der nachstehenden Beschreibung bevorzugter Ausführungsbeispiele, welche auf die beigefügten Zeichnungen Bezug nimmt. Es zeigen:Further preferred embodiments of the invention will become apparent from the dependent claims or the below description of preferred embodiments, which the attached Drawings reference. Show it:
Die
Knotenpunkte
Die
Datenverarbeitungsinfrastruktur
Die
Application Service Infrastructure (ASI)
In
diesen voneinander getrennten Network Safes
Ein
Network Safe
Ein
Network Safe
Die Application Service Infrastructure (ASI)
The Application Service Infrastructure (ASI)
Der
Application Service Infrastructure Access Router (ASI-AR)
Das
Zugriffsschema der Knotenpunkte
- – Die
horizontalen Linien
10 symbolisieren die Verbindungen zu den Network Safes5 , in denen die Server zusammengefasst werden, die im Rahmen der Bereitstellung eines Services eine Vertrauensstellung unterhalten. Server eines Network Safes5 können uneingeschränkt miteinander kommunizieren. Unter der Voraussetzung, dass der jeweilige Service ausschließlich durch genau einen Server erbracht wird, befindet sich auch nur genau dieser Server innerhalb des entsprechenden Network Safes5 . - – Die
vertikalen Linien
11 symbolisieren die Zugriffswege ausgehend von den lokalen Infrastrukturen der Application Service Customer (ASC), also von den Knotenpunkten4 .
- - The horizontal lines
10 symbolize the connections to the network safes5 that summarizes the servers that use a Ver chat. Server of a network safe5 can communicate freely with each other. Provided that the respective service is provided exclusively by exactly one server, only this server is located within the corresponding network safe5 , - - The vertical lines
11 symbolize the access paths based on the local infrastructures of the Application Service Customer (ASC), ie the nodes4 ,
Sofern
ein Nutzungsvertrag zwischen einem Application Servicer Provider
(ASP) und einem Application Service Customer (ASC) zur Nutzung eines bestimmten
Services existiert, wird der entsprechende Zugriffsweg mit dem jeweiligen
Network Safe
Zugriffe
von einem Knotenpunkt
Der
Application Service Infrastructure Access Router (ASI-AR)
Um
dies zu bewerkstelligen, wird an jeden dedizierten Zugriffsweg in
Form einer Standleitung
Bei
dieser Network Address Translation (NAT) wird eingehenden Datenpaketen
eine Kennzeichnung in Form einer Quelladresse beigefügt, die der
jeweiligen Standleitung
- – Der
Betreiber jedes Knotenpunktes
4 erhält eine eindeutig ihm zugeordnete und nicht durch Software manipulierbare Quelladresse, die als Ausgangspunkt weiterer Zugriffsentscheidungen verwendet wird. - – Der
Adressraum des Network Operation Center (NOC) kann vollständig unabhängig vom
Adressraum des angeschlossenen Knotenpunktes
4 verwaltet werden. - – Der
Zugriffsweg des Knotenpunktes
4 auf das Network Operation Center (NOC) wird damit zu einer gerichteten, nicht transitiven Nutzungsbezie hung, d. h. weder Server aus einem Network Safe5 noch Knotenpunkte4 aus unterschiedlichen LAN-Umgebungen können wechselseitig auf private Infrastrukturen zugreifen.
- - The operator of each node
4 receives a clearly assigned to him and not manipulated by software source address, which is used as a starting point for further access decisions. - - The address space of the Network Operation Center (NOC) can be completely independent of the address space of the connected node
4 to get managed. - - The access path of the node
4 the Network Operation Center (NOC) thus becomes a non-transitive, non-transitive user relationship, ie not servers from a Network Safe5 still nodes4 from different LAN environments can mutually access private infrastructures.
Das in den Figuren verwendete Adressierungsschema wurde aus didaktischen Gründen auf IP V4 basiert und zudem stark vereinfacht: Die zur Unterteilung bestimmter Netzwerkbereiche verwendeten Netzmasken enden immer auf 8-Bit-Grenzen; Implikationen redundanter Strukturen bleiben unberücksichtigt.The The addressing scheme used in the figures was didactic establish based on IP V4 and also greatly simplified: the subdivision network masks used in certain network areas always end 8-bit boundaries; Implications of redundant structures are ignored.
Da die erfindungsgemäße Netzwerkarchitektur in den gezeigten keine direkte Verbindung zum klassischen Internet unterhält, werden private Adressen entsprechend RFC 1918 verwendet. Die Beispiele beschränken sich auf die Verwendung des Netzes 10.*.*.*, wobei jeder Stern immer einen variablen 8-Bit-Teil beginnend an einer 8-Bit-Grenze markiert. Die klassische Notation 10.0.0.0/255.0.0.0 wird, weil zu lang, im folgenden nicht verwendet. Die neuere Notation 10.0.0.0/24 wird nicht verwendet, da damit Netzmasken, in denen der gesetzte Teil nicht durchgehend zusammenhängt, wie z. B. 10.*.5.* nicht darstellbar sind.There the network architecture according to the invention in the shown no direct connection to the classical Internet entertains, Private addresses are used according to RFC 1918. The examples restrict itself on the use of the net 10. *. *. *, whereby each star always an 8-bit variable part starting at an 8-bit boundary marked. The classical notation 10.0.0.0/255.0.0.0 is not used because too long in the following. The newer notation 10.0.0.0/24 is not used because it allows you to create netmasks, in which the set part is not continuous, such as z. B. 10. *. 5. * are not displayed.
Langfristig
ist, wie bereits oben erwähnt,
zu berücksichtigen,
dass ein Network Safe
Der in den Beispielen verwendete Adressraum ist wie folgt in einzelne Netzbereiche unterteilt:
- – 10.n.*.* ist der Adressraum
des gesamten Network Operation Center (NOC) Nr. n; In den Figuren
mit nur einem Network Operation Center (NOC) wird von einem Network
Operation Center (NOC) mit der Nr.
1 ausgegangen. - – 10.*.0.*
ist der Adressraum aller Zugriffsnetzbereiche, d. h. der Knotenpunkte
4 ; - – 10.*.s.*
mit s ≥ 1
ist der Adressraum des Network Safes s; Alle an den Network Safe
Nr. 3 im Network Operation Center (NOC) Nr.
1 angeschlossenen Server erhalten also eine Adresse aus dem Bereich 10.1.3.* (dies sind in1 alle an den Network Safe5.3 angeschlossenen Server); - – Die Adressräume der angeschlossenen Application Service Customer (ASC) sind willkürlich. Hier können sowohl offizielle IP Adressen des klassischen Internet wie auch private Adressen zum Einsatz kommen.
- - 10.n. *. * Is the address space of the entire Network Operation Center (NOC) # n; In the figures with only one Network Operation Center (NOC) is operated by a Network Operation Center (NOC) with the no.
1 went out. - - 10. *. 0. * is the address space of all access network areas, ie the nodes
4 ; - - 10. *. S. * With s ≥ 1 is the address space of the Network Safe s; All to Network Safe No. 3 in Network Operation Center (NOC) No.
1 connected servers receive an address from the range 10.1.3. * (these are in1 all to the Network Safe5.3 connected server); - - The address spaces of the connected Application Service Customer (ASC) are arbitrary. Both official IP addresses of the classic Internet and private addresses can be used here.
Die
Verbindungspunkte
In
Network
Safe S2 und S3 haben analoge Bedeutung: Die daran angeschlossenen
Server
Ergänzend stellt
der Application Service Provider ASP1 dem Application Service Customer
ASC1 und dem Application Service Customer ASC2 auf zweiten Infrastrukturbereichen
in Form von separaten Servern
Es wird vorausgesetzt, dass die Applikation unter Umständen in Kombination mit dem Betriebssystem dazu in der Lage ist, die Administrationsservices nur auf dem mit Network Safe S6 verbundenen Netzwerkinterface bereitzustellen.It It is assumed that the application may be in Combination with the operating system is capable of doing the administration services only on the network interface connected to Network Safe S6.
Die
anhand der
Ein Network Safe
A network safe
Die
einen Network Safe
Es
gibt grundsätzlich
keine direkten Verbindungen zwischen verschiedenen Network Safes.
Im Hinblick auf kooperativ durch verschiedene Application Service
Provider (ASP) erbrachte Services, z. B. im Business-to-Business
(B2B) Umfeld, besteht die Möglichkeit,
dass ein Server durch separate Netzwerkinterfaces mit mehreren Network
Safes verbunden ist. Der Missbrauch des Servers als genereller Router
zwischen den Network Safes
Es
können
grundsätzlich
nur Knotenpunkte
Auf Netzwerkebene resultieren die Sicherheitsprobleme im klassischen Internet fast ausschließlich daraus, dass die Sicherheitsmechanismen auf dem Inhalt eines oder mehrerer Datenpakete basierten. Datenpakete können jedoch durch entsprechende Software nahezu beliebig erzeugt und manipuliert werden.At the network level, the security results problems in the classical Internet almost exclusively from the fact that the security mechanisms were based on the content of one or more data packets. However, data packages can be generated and manipulated almost arbitrarily by appropriate software.
Im Gegensatz zum klassischen Internet, bei dem die Sicherheitsmechanismen auf dem Inhalt eines oder mehrerer durch entsprechende Software nahezu beliebig erzeug- und manipulierbarer Datenpakete basieren, basieren die Sicherheitsmechanismen der beschriebenen Netzwerkarchitektur auf einfachen Ketten, deren erstes Glied immer an dem physikalischen Zugangsweg eines Pakets verankert wird.in the Unlike the classic Internet, where the security mechanisms on the content of one or more through appropriate software almost based on arbitrarily generable and manipulatable data packets the security mechanisms of the described network architecture on simple chains whose first link is always at the physical Access route of a package is anchored.
Die
Filterketten der Network Safes
Angriffe auf derart verankerte Sicherheitsmechanismen erfordern den direkten persönlichen Zugriff des Angreifers auf die physikalische Infrastruktur vor Ort. Der Personenkreis potentieller Angreifer wird damit im Vergleich zum klassischen Internet um mehrere Größenordnungen reduziert.attacks on such anchored security mechanisms require the direct personal access of the attacker on the physical infrastructure site. Of the Personenkreis potential attacker is thus compared to classic Internet reduced by several orders of magnitude.
Bei
dem ersten Anwendungsszenario aus
Hervorzuheben ist, das analog zu diesem Anwendungsszenario alle klassischen Applikationen im Application Service Providing betrieben werden können, die von sich aus überhaupt nicht auf einen solchen Einsatz ausgelegt sind, also weder partitionierbar noch mandantenfähig sein müssen. Trotzdem bleiben wechselseitige Sicherheitsbelange der Application Service Customer (ASC) hinsichtlich des Schutzes Ihres Datenbestandes gewahrt.highlight is, analogous to this application scenario all classic applications in the Application Service Providing can be operated by itself at all are not designed for such use, so neither partitionable still multi-client capable have to be. Nevertheless, two-way security concerns remain with the application Service Customer (ASC) regarding the protection of your data maintained.
In
Bezug auf die Administration des Servers
Ist diese Privilegienfreigabe in Abhängigkeit von der Quelladresse möglich, ist diese Lösung bzgl. der Administration genauso sicher, wie die Verwendung eines separaten Network Safes für das Management, da die Quelladresse durch einen Servicenutzer an dieser Stelle nicht manipuliert werden kann.is this privilege share depending on the source address possible, is this solution regarding the administration as safe as the use of a separate network safes for the management, since the source address by a service user This site can not be manipulated.
In
einem bevorzugten Anwendungsszenario wird der Server
Bei
dem zweiten Anwendungsszenario aus
Das Verbergen der Datenbankservices vor dem direkten Zugriff durch die Servicenutzer ist ein gängiges Konzept in modernen Mehrschichtarchitekturen. Die erfindungsgemäße Netzwerkarchitektur bietet hier die Möglichkeit, dieses Konzept in einer zentralisierten Infrastruktur flexibel und skalierbar umzusetzen. In analoger Weise können natürlich auch Terminalserver in die Infrastruktur integriert werden.Hiding database services from direct access by service users is a common concept in modern multi-layer architectures. The network architecture according to the invention offers the possibility of implementing this concept flexibly and scalably in a centralized infrastructure. In a similar way, of course terminal servers can also be integrated into the infrastructure.
Bei
diesem Anwendungsszenario stellt der Application Service Provider
ASP1 für
die Application Service Customer ASC1 bis ASC5 einen Service auf einem
Server
In
diesem Anwendungsszenario wird der Server
In
Es wird auch hier vorausgesetzt, dass die Applikation unter Umständen in Kombination mit dem Betriebssystem dazu in der Lage ist, die Administrationsservices nur auf dem mit Network Safe S11 verbundenen Netzwerkinterface bereitzustellen.It is also assumed here that the application may be in Combination with the operating system is capable of doing the administration services only on the network interface connected to Network Safe S11.
Im Vorstehenden wurden einzelne Varianten der erfindungsgemäßen Netzwerkarchitektur beschrieben. Es versteht sich, dass diese oben beschriebenen Varianten auch in beliebigen Kombinationen bzw. Mischformen Anwendung finden können.in the The above have been individual variants of the network architecture according to the invention described. It is understood that these variants described above also find application in any combination or mixed forms can.
Die
Inhalte der Network Safes
Die
Application Service Customer ASC1 bzw. ASC2 greifen von verschiedenen
zugangsberechtigten Knotenpunkten
Die
Erweiterung des Grundmodells auf mehrere Network Operation Center
erfolgt über
dedizierte, entsprechend manipulationssichere Kommunikationsverbindungen
der beteiligten Network Operation Center (NOC)
Wie bereits zuvor dargestellt, sollte der Betrieb jedes Network Operation Center (NOC) entsprechend den genannten Kommunikationsbeschränkungen extern zertifiziert und revisionssicher nach entsprechenden organisatorischen Regeln betrieben werden. Auf diese Weise kann ausgeschlossen werden, das Datenpakete durch Angriffssoftware innerhalb der Infrastruktur manipuliert werden, was an dieser Stelle den Einsatz konventioneller Layer 3 Technik ermöglicht.As previously described, the operation should be any network operation Center (NOC) according to the mentioned communication restrictions externally certified and auditable according to appropriate organizational Rules are operated. In this way it can be ruled out the data packets through attack software within the infrastructure be manipulated, which at this point the use of conventional Layer 3 technology allows.
Anhand
der
Betreibt ein Application Service Customer (ASC) beispielsweise nur einen Knotenpunkt, so kann ihm ein einziges Network Operation Center (NOC), auf das er zugreifen kann, genügen. Ebenso kann es genügen, dass ein Application Service Provider (ASP) nur über einen einzigen Knotenpunkt auf das zugehörige Network Operation Center (NOC) und damit Services administriert, die allerdings dann trotzdem auf mehrere Network Operation Center (NOC) verteilt sein können.operates an Application Service Customer (ASC), for example, only one Node, it can have a single Network Operation Center (NOC), which he can access are sufficient. It may also be enough that an Application Service Provider (ASP) only has a single node on the associated Network Operation Center (NOC) to administer services, which, however, still on several Network Operation Center (NOC) can be distributed.
Im
Hinblick auf mittlere Skalierbarkeit, wird als erste Kernkomponente
Der
Dial-In Bereich, über
den sich ein mobiler User
Als
weitere Komponenten stehen noch ein Internetdienste-Server
Die vorstehend genannten Kommunikationsbeschränkungen werden im wesentlichen aus einer Kombination VLAN- und IOS-basierter Access Lists realisiert.The The above-mentioned communication restrictions become substantially realized from a combination of VLAN- and IOS-based Access Lists.
Die
Network Safes
Die ursprüngliche Idee bestand darin, auch standortübergreifend zur Realisierung der Network Safes derartige virtuelle LAN's (VLAN's) einzusetzen. Eine derartige Realisierung hätte jedoch folgende Nachteile gehabt: Bei Network Safes, die mit zwei Servern an unterschiedlichen Standorten bestückt worden wären, wäre der Router trotz so genanntem Auto-State-Feature nicht in der Lage gewesen, auf eine Verbindungsstörung zwischen beiden Standorten zu reagieren. Im Juli 2000 wurden zudem durch das SANS Institute Sicherheitsmängel bei der Implementierung Switch-(bzw. Router)-übergreifender VLAN's festgestellt (siehe hierzu "http://www.sans.org/newlook/resources/IDFAQ/vlan.htm").The original The idea was to implement it across all locations Network Safes use such virtual LANs (VLANs). Such a realization but would have the following disadvantages: In Network Safes, with two servers would have been stocked at different locations, would be the router not been able to do so despite the so-called auto-state feature on a connection failure to react between both locations. In addition, in July 2000 by the SANS Institute security flaws in the implementation Switch (or router) cross-VLANs detected (see "http://www.sans.org/newlook/resources/IDFAQ/vlan.htm").
Der Einsatz von VLAN's bleibt daher auf die Realisierung von Network Safes innerhalb eines Network Operation Center (NOC) beschränkt. Die standortübergreifende Realisierung von Network Safes erfolgt, wie oben bereits dargestellt, mit konventionellen Routing-Techniken.Of the Use of VLANs therefore, remains on the realization of Network Safes within one Network Operation Center (NOC) limited. The multi-site Realization of Network Safes takes place, as shown above, with conventional routing techniques.
Die
Nutzung der durch das Secure Internet Gateway
Claims (9)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10234562A DE10234562B4 (en) | 2001-07-31 | 2002-07-25 | Secure network architecture |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10137573.5 | 2001-07-31 | ||
DE10137573 | 2001-07-31 | ||
DE10234562A DE10234562B4 (en) | 2001-07-31 | 2002-07-25 | Secure network architecture |
Publications (2)
Publication Number | Publication Date |
---|---|
DE10234562A1 DE10234562A1 (en) | 2003-02-20 |
DE10234562B4 true DE10234562B4 (en) | 2008-07-24 |
Family
ID=7693914
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10234562A Expired - Fee Related DE10234562B4 (en) | 2001-07-31 | 2002-07-25 | Secure network architecture |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP1470685A1 (en) |
DE (1) | DE10234562B4 (en) |
WO (1) | WO2003015372A1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1996005549A1 (en) * | 1994-08-09 | 1996-02-22 | Shiva Corporation | Apparatus and method for restricting access to a local computer network |
WO2001031874A2 (en) * | 1999-10-28 | 2001-05-03 | Jpmorgan Chase Bank | Secured session sequencing proxy system supporting multiple applications and method therefor |
DE19962937A1 (en) * | 1999-12-24 | 2001-06-28 | Raven Pack Ag | Method of presenting data that is stored in a data storage device of data server to user has at least one data path used over which control data associated with selection of data is sent |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5922074A (en) * | 1997-02-28 | 1999-07-13 | Xcert Software, Inc. | Method of and apparatus for providing secure distributed directory services and public key infrastructure |
US6055236A (en) * | 1998-03-05 | 2000-04-25 | 3Com Corporation | Method and system for locating network services with distributed network address translation |
-
2002
- 2002-07-25 EP EP02754937A patent/EP1470685A1/en not_active Withdrawn
- 2002-07-25 WO PCT/EP2002/008293 patent/WO2003015372A1/en not_active Application Discontinuation
- 2002-07-25 DE DE10234562A patent/DE10234562B4/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1996005549A1 (en) * | 1994-08-09 | 1996-02-22 | Shiva Corporation | Apparatus and method for restricting access to a local computer network |
WO2001031874A2 (en) * | 1999-10-28 | 2001-05-03 | Jpmorgan Chase Bank | Secured session sequencing proxy system supporting multiple applications and method therefor |
DE19962937A1 (en) * | 1999-12-24 | 2001-06-28 | Raven Pack Ag | Method of presenting data that is stored in a data storage device of data server to user has at least one data path used over which control data associated with selection of data is sent |
Non-Patent Citations (2)
Title |
---|
WEBER,W.: Firewall Basics, 4th Int. Conf. on Tele- communications in Modern Satellite, Cable and Broadcasting Services, 1999, Vol.1, S.300-305 |
WEBER,W.: Firewall Basics, 4th Int. Conf. on Telecommunications in Modern Satellite, Cable and Broadcasting Services, 1999, Vol.1, S.300-305 * |
Also Published As
Publication number | Publication date |
---|---|
WO2003015372A1 (en) | 2003-02-20 |
EP1470685A1 (en) | 2004-10-27 |
DE10234562A1 (en) | 2003-02-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69928504T2 (en) | Providing secure access to network services | |
DE10393628B4 (en) | System and method for integrating mobile networking with security-based virtual private network systems (VPNS) | |
DE102016124383B4 (en) | Computer system architecture and computer network infrastructure comprising a plurality of such computer system architectures | |
DE69836271T2 (en) | MULTI-STAGE FIREWALL SYSTEM | |
DE60315521T2 (en) | Intersections of virtual private networks based on certificates | |
DE19740547B4 (en) | Apparatus and method for ensuring secure communication between a requesting entity and a serving entity | |
DE60212289T2 (en) | Management of Private Virtual Networks (VPN) | |
DE60203433T2 (en) | External access to a secured device in a private network | |
DE60213391T2 (en) | Personal firewall with position detection | |
DE60019997T2 (en) | Secure communication with mobile computers | |
DE69929268T2 (en) | Method and system for monitoring and controlling network access | |
DE10052312B4 (en) | Automatic lock against unauthorized access on the Internet (Snoop Avoider) for virtual private networks | |
DE60130042T2 (en) | DISTRIBUTED SERVER FUNCTIONALITY FOR AN EMULATED LAN | |
DE69827351T2 (en) | Multiple virtual pathfinder | |
DE19741239C2 (en) | Generalized security policy management system and procedures | |
DE60121755T2 (en) | IPSEC PROCESSING | |
EP1417820B1 (en) | Method and computer system for securing communication in networks | |
DE112004000125T5 (en) | Secure client-server communication system | |
DE60302833T2 (en) | User password-based packet switching in virtual networks | |
DE69734179T2 (en) | Method and device for limiting access to private information in domain name systems by means of information filtering | |
DE10234562B4 (en) | Secure network architecture | |
DE60127187T2 (en) | SYSTEM AND METHOD FOR PROVIDING SERVICES IN VIRTUAL PRIVATE NETWORKS | |
EP1699181A1 (en) | Method and System for automatic configuration of a subnet inside a network | |
DE102019120112B4 (en) | Electrical network switching | |
EP1496666A1 (en) | Tunnel proxy for protecting data access |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8364 | No opposition during term of opposition | ||
8339 | Ceased/non-payment of the annual fee | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |
Effective date: 20110201 |
|
8327 | Change in the person/name/address of the patent owner |
Owner name: HOEHRE, MICHAEL, 12167 BERLIN, DE Owner name: AGHA, ABOLHASSAN, 81735 MUENCHEN, DE |
|
R081 | Change of applicant/patentee |
Owner name: AGHA, ABOLHASSAN, DE Free format text: FORMER OWNERS: AGHA, ABOLHASSAN, 12047 BERLIN, DE; HOEHRE, MICHAEL, 12167 BERLIN, DE Effective date: 20110330 Owner name: HOEHRE, MICHAEL, DE Free format text: FORMER OWNERS: AGHA, ABOLHASSAN, 12047 BERLIN, DE; HOEHRE, MICHAEL, 12167 BERLIN, DE Effective date: 20110330 Owner name: AGHA, ABOLHASSAN, DE Free format text: FORMER OWNER: ABOLHASSAN AGHA,MICHAEL HOEHRE, , DE Effective date: 20110330 Owner name: HOEHRE, MICHAEL, DE Free format text: FORMER OWNER: ABOLHASSAN AGHA,MICHAEL HOEHRE, , DE Effective date: 20110330 |