DE19845055A1 - Method and arrangement for updating a password - Google Patents
Method and arrangement for updating a passwordInfo
- Publication number
- DE19845055A1 DE19845055A1 DE1998145055 DE19845055A DE19845055A1 DE 19845055 A1 DE19845055 A1 DE 19845055A1 DE 1998145055 DE1998145055 DE 1998145055 DE 19845055 A DE19845055 A DE 19845055A DE 19845055 A1 DE19845055 A1 DE 19845055A1
- Authority
- DE
- Germany
- Prior art keywords
- computer
- password
- service request
- message
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2131—Lost password, e.g. recovery of lost or forgotten passwords
Abstract
Description
Die Erfindung betrifft ein Verfahren und eine Anordnung zur Aktualisierung eines Paßwortes.The invention relates to a method and an arrangement for Update a password.
Aus [1] sind ein solches Verfahren und eine solche Anordnung bekannt.Such a method and such an arrangement are from [1] known.
Bei einer solchen Anordnung ist für den Fall, daß ein Benut zer diese Anordnung benutzen will, vorgesehen, daß von dem Benutzer eine Eingabe eines Paßwortes in die Anordnung gefor dert wird. Nach Eingabe des Paßwortes durch den Benutzer wird von der Anordnung anhand einer Datenbank überprüft, ob eine eingegebene Paßwortangabe für den Benutzer ein gültiges Paß wort ist oder nicht.With such an arrangement, in the event that a user zer wants to use this arrangement, provided that of that User is required to enter a password in the arrangement is changed. After entering the password by the user checked by the arrangement against a database whether a Entered password for the user a valid passport word is or not.
In der Datenbank der Anordnung ist eine Liste mit zulässigen Benutzern der Anordnung gespeichert. Jedem Benutzer ist je weils ein Paßwort zugeordnet, welches gespeichert ist und mit dem das eingegebene Paßwort verglichen wird. Jedem Paßwort ist ferner eine Zeitangabe zugeordnet. Mit der Zeitangabe wird angegeben, für welchen Zeitraum das Paßwort gültig sein soll. Ist der Zeitraum abgelaufen, so wird das gespeicherte Paßwort ungültig und der Benutzer wird zu einer Aktualisie rung des Paßwortes aufgefordert, wenn er die Benutzung der Anordnung aufnehmen will.In the database of the arrangement is a list of permitted ones Saved users of the arrangement. Every user is different because a password is assigned, which is saved and with to which the entered password is compared. Every password a time is also assigned. With the time the period for which the password is valid is specified should. If the period has expired, the saved one is saved Password invalid and the user becomes an update password when prompted to use the Wants to take up the order.
Auf diese Weise wird eine gewisse, von dem jeweiligen Zeit raum abhängige Aktualität des jeweiligen Paßwortes erreicht, wodurch ein höherer Sicherheitsgrad für die Anordnung hin sichtlich eines Mißbrauchs bzw. eines unbefugten Ermittelns eines Paßworts gewährleistet wird. Ferner ist aus [1] be kannt, daß die Paßwortangabe in der Datenbank in kryptierter Form (verschlüsselt oder gebildet unter Verwendung einer Ein weg-Hashfunktion) abgelegt werden kann. Aus [1] ist weiterhin bekannt, daß die Paßwortangabe kryptiert über eine Kommunika tionsverbindung transportiert werden kann. Ein Beispiel dafür ist das Domain Logon bei Windows NT. Der Zeitpunkt des Paß wortwechsels ist jedoch auf den Zeitpunkt der Login-Prozedur beschränkt.This way, a certain amount of time space-dependent timeliness of the respective password reached, resulting in a higher level of security for the arrangement evidently an abuse or an unauthorized investigation a password is guaranteed. Furthermore, from [1] knows that the password information in the database in crypted Form (encrypted or formed using an on away hash function) can be stored. From [1] is still announced that the password information is encrypted via a communica tion connection can be transported. An example for is the domain logon for Windows NT. The time of the passport word change is, however, on the time of the login procedure limited.
Aus [2] ist ein Kommunikationsstandard, der H.235-Standard, bekannt, in dem Rahmenbedingungen, insbesondere Formate von Nachrichten, die zwischen miteinander verbundenen Rechnern im Rahmen einer multimedialen Kommunikation ausgetauscht werden können.From [2] is a communication standard, the H.235 standard, known in the framework, in particular formats of Messages between connected computers in the Be exchanged as part of a multimedia communication can.
Die Rechner können logisch oder fest miteinander verbunden sein.The computers can be linked logically or permanently his.
Ein Nachteil der aus [2] bekannten Verfahren ist insbesondere darin zu sehen, daß lediglich statische Paßworte für einen Benutzer eingesetzt werden können, wodurch die Wahrschein lichkeit relativ hoch ist, daß in den Rechnern gespeicherte Paßworte irgendwann von einem unbefugten Dritten, einem An greifer, ermittelt und mißbraucht werden können, wodurch die Sicherheit der einzelnen Rechner nicht mehr gewährleistet ist.A disadvantage of the methods known from [2] is in particular to see that only static passwords for one Users can be used, making the probability is relatively high that stored in the computers Passwords from an unauthorized third party, someone to whom gripper, can be identified and misused, which the Security of the individual computers is no longer guaranteed is.
Aus [3] ist ein weiterer Kommunikationsstandard, der H.225- Standard, bekannt.From [3] is another communication standard, the H.225- Standard, known.
Aus [4] ist die sogenannte Abstract Syntax Notation 1 (ASN.1) beschrieben, die zur Definition des Formats einer Nachricht verwendet wird, die zur Definition des Formats einer Nach richt im Sinne der aus [2] und [3] bekannten Standards ver wendet wird.From [4] is the so-called Abstract Syntax Notation 1 (ASN.1) described to define the format of a message is used to define the format of a post performs in the sense of the standards known from [2] and [3] is applied.
Eine Übersicht über Protokolle zur Aktualisierung kryptogra phischer Schlüssel ist in [5] zu finden. An overview of protocols for updating cryptogra The physical key can be found in [5].
Insbesondere bei einem großen Kommunikationsnetz mit einer Vielzahl miteinander verbundenen Rechnern, beispielsweise dem Internet, stellt die oben beschriebene Situation ein hohes Risiko dar.Especially with a large communication network with one Many interconnected computers, such as the Internet, the situation described above presents a high Risk.
Somit liegt der Erfindung das Problem zugrunde, ein Verfahren und eine Anordnung zur Aktualisierung eines Paßwortes zwi schen zwei miteinander verbundenen Rechnern anzugeben.The invention is therefore based on the problem of a method and an arrangement for updating a password between to specify two interconnected computers.
Das Problem wird durch die Anordnung sowie das Verfahren mit den Merkmalen gemäß den unabhängigen Ansprüchen gelöst.The problem is caused by the arrangement as well as the procedure solved the features according to the independent claims.
Ein Verfahren zur Aktualisierung eines Paßwortes zwischen ei
nem ersten Rechner und einem zweiten Rechner, weist folgende
Schritte auf:
A method for updating a password between a first computer and a second computer has the following steps:
- a) der zweite Rechner empfängt im Rahmen einer zwischen dem ersten Rechner und dem zweiten Rechner bestehenden Kommu nikationsverbindung eine von dem ersten Rechner gesendete Dienstanforderungsnachricht, wobei die Dienstanforderungs nachricht das Paßwort aufweist,a) the second computer receives in the context of a between the first computer and the second computer existing commu Communication connection sent by the first computer Service request message, the service request message has the password,
- b) mit der Dienstanforderungsnachricht wird von dem ersten Rechner die Erbringung eines Dienstes angefordert,b) with the service request message from the first Computer requested the provision of a service,
- c) der zweite Rechner überprüft, ob das in der Dienstanforde rungsnachricht enthaltene Paßwort für den ersten Rechner gültig ist,c) the second computer checks whether this is in the service request password contained for the first computer is valid,
- d) für den Fall, daß das Paßwort gültig ist, wird der Dienst erbracht,d) in the event that the password is valid, the service rendered,
- e) für den Fall, daß das Paßwort ungültig ist, wird von dem zweiten Rechner eine Aktualisierungsnachricht an den er sten Rechner gesendet, mit der eine Aktualisierung des Paßworts gefordert wird, unde) in the event that the password is invalid, the second computer an update message to which he Most computer sent with an update of the Password is requested, and
- f) von dem ersten Rechner und/oder dem zweiten Rechner wird ein aktualisiertes Paßwort gebildet wird, welches im wei teren im Rahmen der Kommunikationsverbindung als Paßwort verwendet wird.f) from the first computer and / or the second computer an updated password is formed, which is in the white teren in the context of the communication connection as a password is used.
Eine Anordnung weist mindestens einen ersten Rechner und min
destens einen zweiten Rechner auf zur Aktualisierung eines
Paßwortes zwischen den Rechnern,
wobei der erste Rechner und der zweite Rechner jeweils einen
Prozessor aufweisen, die derart eingerichtet sind, daß fol
gende Schritte durchführbar sind:
An arrangement has at least one first computer and at least one second computer for updating a password between the computers,
the first computer and the second computer each having a processor which are set up in such a way that the following steps can be carried out:
- a) der zweite Rechner empfängt im Rahmen einer zwischen dem ersten Rechner und dem zweiten Rechner bestehenden Kommu nikationsverbindung eine von dem ersten Rechner gesendete Dienstanforderungsnachricht, wobei die Dienstanforderungs nachricht das Paßwort aufweist,a) the second computer receives in the context of a between the first computer and the second computer existing commu Communication connection sent by the first computer Service request message, the service request message has the password,
- b) mit der Dienstanforderungsnachricht wird von dem ersten Rechner die Erbringung eines Dienstes angefordert,b) with the service request message from the first Computer requested the provision of a service,
- c) der zweite Rechner überprüft, ob das in der Dienstanforde rungsnachricht enthaltene Paßwort für den ersten Rechner gültig ist,c) the second computer checks whether this is in the service request password contained for the first computer is valid,
- d) für den Fall, daß das Paßwort gültig ist, wird der Dienst erbracht,d) in the event that the password is valid, the service rendered,
- e) für den Fall, daß das Paßwort ungültig ist, wird von dem zweiten Rechner eine Aktualisierungsnachricht an den er sten Rechner gesendet, mit der eine Aktualisierung des Paßworts gefordert wird, unde) in the event that the password is invalid, the second computer an update message to which he Most computer sent with an update of the Password is requested, and
- f) von dem ersten Rechner und/oder dem zweiten Rechner wird ein aktualisiertes Paßwort gebildet, welches im weiteren im Rahmen der Kommunikationsverbindung als Paßwort verwen det wird.f) from the first computer and / or the second computer an updated password formed, which in the further use as a password in the context of the communication connection det.
Durch die Erfindung wird eine Aktualisierung eines Paßwortes zwischen zwei Rechnern während einer zwischen den beiden Rechnern bestehenden Kommunikationsverbindung möglich. Der zweite Rechner kann den ersten Rechner anschaulich dazu zwin gen, daß der erste Rechner das Paßwort zu aktualisieren hat, wenn der erste Rechner einen Dienst von dem zweiten Rechner anfordert. Damit gewährleistet der zweite Rechner die Aktua lität der Paßworte, wodurch die Sicherheit der Kommunikation zwischen den Rechnern erhöht wird. The invention provides an update of a password between two computers while one between the two Computer existing communication connection possible. The second computer can clearly do this to the first computer that the first computer has to update the password, if the first computer is a service from the second computer requests. The second computer thus ensures the Aktua lity of passwords, thereby increasing the security of communication between the computers is increased.
Bevorzugte Weiterbildungen der Erfindung ergeben sich aus den abhängigen Ansprüchen.Preferred developments of the invention result from the dependent claims.
Die im weiteren beschriebenen Weiterbildungen gelten sowohl für das Verfahren als auch die Anordnung, wobei bei der Wei terbildung der Anordnung jeweils die Prozessoren der Rechner derart eingerichtet sind, daß die Weiterbildung realisierbar ist.The further developments described below apply both for the method as well as the arrangement, with Wei Terbildung the arrangement of the processors of the computers are set up in such a way that the training can be implemented is.
Die Bildung des aktualisierten Paßwortes erfolgt in einer
Weiterbildung auf folgende Weise:
The updated password is created in a further training in the following way:
- a) der erste Rechner sendet eine Paßwortnachricht zu dem zweiten Rechner, in der das aktualisierte Paßwort enthal ten ist in einer Weise, daß das aktualisierte Paßwort nur unter Verwendung des Paßwortes ermittelt werden kann,a) the first computer sends a password message to the second computer, which contains the updated password ten is in a way that the updated password only can be determined using the password,
- b) der zweite Rechner ermittelt unter Verwendung des Paßwor tes das aktualisierte Paßwort aus der Paßwortnachricht,b) the second computer determines using the password tes the updated password from the password message,
- c) der zweite Rechner speichert das aktualisierte Paßwort.c) the second computer stores the updated password.
Der zweite Rechner kann eine Bestätigungsnachricht senden, mit der der Einsatz des aktualisierten Paßwortes im Rahmen der Kommunikationsverbindung bestätigt wird.The second computer can send a confirmation message with the use of the updated password in the frame the communication link is confirmed.
Zu Beginn des Verfahrens wird vorzugsweise der erste Rechner durch den zweiten Rechner authentifiziert unter Verwendung einer in der Dienstanforderungsnachricht enthaltenen Authen tifikationsangabe des ersten Rechners. Damit wird das Sicher heitsniveau der jeweiligen Kommunikationsverbindung erhöht.The first computer is preferably used at the beginning of the method authenticated using the second computer an authen contained in the service request message tification of the first computer. This will make it safe security level of the respective communication link increased.
Die Überprüfung, ob das in der Dienstanforderungsnachricht enthaltene Paßwort für den ersten Rechner gültig ist, erfolgt in einer weiteren Ausgestaltung anhand einer Kontrolldaten bank, in der für den ersten Rechner angegeben ist, ob zuvor schon von dem zweiten Rechner eine Aktualisierungsnachricht an den ersten Rechner gesendet worden ist. Durch diese Ver einfachung wird das Verfahren schneller durchführbar, da eine erhebliche Rechenzeiteinsparung im Rahmen der Überprüfung er reicht wird.Checking whether that is in the service request message contained password is valid for the first computer, takes place in a further embodiment using control data bank in which is specified for the first computer, whether before an update message from the second computer has been sent to the first computer. Through this ver The procedure can be carried out more quickly because there is a simplification considerable computing time savings as part of the review is enough.
In der Dienstanforderungsnachricht ist bevorzugt eine Angabe enthalten zur Integritätssicherung der Dienstanforderungs nachricht, mit welcher Angabe von dem zweiten Rechner die empfangene Dienstanforderungsnachricht auf ihre Integrität hin überprüft wird. Nur für den Fall, daß die Integrität der Dienstanforderungsnachricht gewährleistet ist, wird das Ver fahren durchgeführt; sonst wird der angeforderte Dienst zu rückgewiesen. Damit wird das Sicherheitsniveau der jeweiligen Kommunikationsverbindung weiter erhöht.An indication is preferably given in the service request message included to ensure the integrity of the service request message, with what information from the second computer the received service request message for integrity is checked. Just in case the integrity of the Service request message is guaranteed, the Ver driving done; otherwise the requested service becomes rejected. This increases the security level of the respective Communication link further increased.
In der Paßwortnachricht ist das aktualisierte Paßwort bevor zugt verschlüsselt enthalten, wobei der Schlüssel zur Ver schlüsselung des aktualisierten Paßwortes abhängig von dem Paßwort gebildet wird. Durch diese Weiterbildung wird ein Zu sammenhang zwischen dem "alten" Paßwort und dem aktualisier ten Paßwort geschaffen, womit nur der Besitzer des Paßwortes das aktualisierte Paßwort überhaupt ermitteln kann. Damit wird der Schutz des aktualisierten Paßwortes bei dessen Über tragung verbessert.The updated password is in the password message trains contain encrypted, the key to Ver encryption of the updated password depending on the Password is formed. This further training becomes a Zu connection between the "old" password and the update password created, with which only the owner of the password can determine the updated password at all. In order to will protect the updated password when it is over wearing improved.
Der Schlüssel wird bevorzugt durch mehrfache Aneinanderrei hung des Paßwortes gebildet.The key is preferred by multiple rows password.
Es sind vorzugsweise mehrere erste Rechner vorgesehen, die jeweils ein Paßwort gemeinsam mit dem zweiten Rechner besit zen, wobei das Paßwort jeweils eindeutig ist für die Kommuni kationsverbindung zwischen dem jeweiligen ersten Rechner und dem zweiten Rechner. Damit ist die Erfindung sehr gut ein setzbar in einem großen Kommunikationsnetz, in dem ein Ser ver, der zweite Rechner, mehreren Clients, den ersten Rech nern, Dienste über das Kommunikationsnetz anbietet.There are preferably a plurality of first computers which each have a password together with the second computer zen, whereby the password is unique for the communication cation connection between the respective first computer and the second computer. The invention is therefore very good can be set in a large communication network in which a ser ver, the second computer, several clients, the first computer nern, offers services over the communication network.
Ferner können mehrere zweite Rechnern vorgesehen sein, die jeweils ein Paßwort gemeinsam mit jedem ersten Rechner besit zen, wobei das Paßwort jeweils eindeutig ist für die Kommuni kationsverbindung zwischen dem jeweiligen zweiten Rechner und dem jeweiligen zweiten Rechner.Furthermore, several second computers can be provided each have a password together with every first computer zen, whereby the password is unique for the communication cation connection between the respective second computer and the respective second computer.
Ein Ausführungsbeispiel der Erfindung ist in den Figuren dar gestellt und wird im weiteren näher erläutert:An embodiment of the invention is shown in the figures and is explained in more detail below:
Es zeigenShow it
Fig. 1 ein Ablaufdiagramm, in dem die Verfahrensschritte des Ausführungsbeispiels dargestellt sind; Fig. 1 is a flow diagram showing the process steps of the embodiment are shown;
Fig. 2 eine Skizze, in der Rechner dargestellt sind, die über ein Kommunikationsnetz miteinander verbunden sind. Fig. 2 is a sketch showing computers that are connected to each other via a communication network.
Fig. 2 zeigt einen ersten Rechner 200 mit einem Speicher 202 und einem Prozessor 203, die jeweils über einen Bus 204 mit einander und mit einer Eingangs-/Ausgangsschnittstelle 201 verbunden sind. FIG. 2 shows a first computer 200 with a memory 202 and a processor 203 , which are each connected to one another and to an input / output interface 201 via a bus 204 .
Über die Eingangs-/Ausgangsschnittstelle 201 ist der erste Rechner 200 mit einem Bildschirm 205, einer Tastatur 206 so wie einer Computermaus 207 verbunden.Via the input / output interface 201 , the first computer 200 is connected to a screen 205 , a keyboard 206 and a computer mouse 207 .
Ferner ist der erste Rechner 200 über ein Kommunikationsnetz 260, in dem Beispiel ein ISDN-Netz (Integrated Services Digi tal Network) mit weiteren Rechnern 210, 220, 230, 240 und 250 verbunden.Furthermore, the first computer 200 is connected to further computers 210 , 220 , 230 , 240 and 250 via a communication network 260 , in the example an ISDN network (Integrated Services Digital Network).
In dem ersten Rechner 200 ist eine Datenbank 208 gespeichert.A database 208 is stored in the first computer 200 .
Die weiteren Rechner 210, 220, 230, 240 und 250 weisen je weils ebenfalls einen Prozessor 213, 223, 233, 243 und 253 sowie jeweils einen Speicher 212, 222, 232, 242 und 252 auf. Jeweils der Prozessor 213, 223, 233, 243 und 253 und der Speicher 212, 222, 232, 242 und 252 sind über jeweils einen Bus 214, 224, 234, 244 und 254 über eine Eingangs-/Aus gangsschnittstelle 211, 221, 231, 241 und 251 mit dem Kommunikationsnetz 260 verbunden. Ferner sind die weiteren Rechner 210, 220, 230, 240 und 250 jeweils mit einem Bild schirm 215, 225, 235, 245 und 255 sowie einer Tastatur 216, 226, 236, 246 und 256 sowie einer Computermaus 217, 227, 237, 247 und 257 verbunden.The other computers 210 , 220 , 230 , 240 and 250 each also have a processor 213 , 223 , 233 , 243 and 253 and a memory 212 , 222 , 232 , 242 and 252 each. The processor 213 , 223 , 233 , 243 and 253 and the memory 212 , 222 , 232 , 242 and 252 are each via a bus 214 , 224 , 234 , 244 and 254 via an input / output interface 211 , 221 , 231 , 241 and 251 connected to the communication network 260 . Furthermore, the other computers 210 , 220 , 230 , 240 and 250 are each with a screen 215 , 225 , 235 , 245 and 255 and a keyboard 216 , 226 , 236 , 246 and 256 and a computer mouse 217 , 227 , 237 , 247 and 257 connected.
Zwischen den Rechnern 200, 210, 220, 230, 240 und 250 erfolgt die Kommunikation, d. h. ein gesicherter Austausch multimedia ler Daten, gemäß dem H.235-Standard, wie in [2] beschrieben.Communication, ie a secure exchange of multimedia data, takes place between computers 200 , 210 , 220 , 230 , 240 and 250 in accordance with the H.235 standard, as described in [2].
Der erste Rechner 200 ist als ein Server ausgestaltet und stellt den weiteren Rechnern 210, 220, 230, 240 und 250 ver schiedene Dienste zur Verfügung.The first computer 200 is designed as a server and provides the other computers 210 , 220 , 230 , 240 and 250 with various services.
Im weiteren wird angenommen, daß ein zweiter Rechner 210 ei nen Dienst von dem ersten Rechner 200 in Anspruch nehmen will.Furthermore, it is assumed that a second computer 210 wants to use a service from the first computer 200 .
Zu Beginn des Verfahrens wird eine Kommunikationsverbindung zwischen dem zweiten Rechner 210 und dem ersten Rechner 200 gemäß den in [2] und [3] beschriebenen Verfahren aufgebaut. Nach erfolgter Initialisierung der Kommunikationsverbindung besteht zwischen dem zweiten Rechner 210 und dem ersten Rech ner 200 eine logische Verbindung, d. h. der Kommunikationsver bindung ist ein logischer Kanal zugeordnet, der eindeutig identifizierbar ist. Über den logischen Kanal werden zwischen den Rechnern 200, 210,220, 230, 240, 250 Nachrichten 270, 280 ausgetauscht.At the beginning of the method, a communication link is established between the second computer 210 and the first computer 200 in accordance with the methods described in [2] and [3]. After initialization of the communication connection, there is a logical connection between the second computer 210 and the first computer 200 , ie a logical channel is assigned to the communication connection and is clearly identifiable. Messages 270 , 280 are exchanged between the computers 200 , 210 , 220 , 230 , 240 , 250 via the logical channel.
Ist die Kommunikationsverbindung aufgebaut, kann durch den zweiten Rechner 210 von dem ersten Rechner 200 ein Dienst in Anspruch genommen, in diesem Fall eine Datenbankabfrage von einer in dem ersten Rechner 200 gespeicherten Datenbank 208. If the communication connection is established, the second computer 210 can use the first computer 200 to provide a service, in this case a database query from a database 208 stored in the first computer 200 .
Im weiteren wird das Verfahren beschrieben, das durchgeführt wird, wenn der zweite Rechner 210 von dem ersten Rechner 200 Daten aus dessen Datenbank 208 ermitteln möchte.The method which is carried out when the second computer 210 wants to determine data from the first computer 200 from its database 208 is described below.
Die gewünschten Kriterien für die Datenbankabfrage werden von einem Benutzer des zweiten Rechners 210 in den zweiten Rech ner 210 eingegeben. Von dem zweiten Rechner 210 wird eine Dienstanforderungsnachricht 101 gebildet (Schritt 100), in der die Kriterien für die Datenbankabfrage enthalten sind (vgl. Fig. 1).The criteria for the database query entered by a user of the second computer 210 in the second computing ner 210th A service request message 101 is formed by the second computer 210 (step 100 ), which contains the criteria for the database query (cf. FIG. 1).
Ferner sind in der Dienstanforderungsnachricht 101 folgende
Größen enthalten:
The following sizes are also contained in the service request message 101 :
- - eine Authentifikationsangabe (Authentication Token), mit der eine Authentifikation des zweiten Rechners 210 durch den ersten Rechner 200 möglich ist; die Authentifikationsangabe erlaubt die Darstellung des Paßwortes in verschiedener Form (beispielsweise verschlüsselt oder gebildet unter Verwendung einer Einweg-Hashfunktion als Einweg-Hashwert);an authentication information (authentication token) with which an authentication of the second computer 210 by the first computer 200 is possible; the authentication information allows the password to be displayed in various forms (for example, encrypted or formed using a one-way hash function as a one-way hash value);
- - eine H.235-Adresse, mit der der erste Rechner 200 eindeutig identifiziert wird;an H.235 address with which the first computer 200 is uniquely identified;
- - eine Paßwortangabe PW des Benutzers des zweiten Rechners 210.a password specification PW of the user of the second computer 210 .
In den ersten Rechner 200 ist für jeden weiteren Rechner 210, 220, 230, 240 und 250 ein dem jeweiligen Rechner 210, 220, 230, 240 und 250 zugeordnetes Paßwort gespeichert. Ist in ei ner Dienstanforderungsnachtricht 101, die von einem weiteren Rechner 210, 220, 230, 240 und 250 gebildet wird, eine Paß wortangabe enthalten, die gleich dem gespeicherten Paßwort für den weiteren Rechner 210, 220, 230, 240 und 250 ist, so wird der angeforderte Dienst dem Benutzer gewährt, d. h. von dem ersten Rechner 200 ausgeführt.A password assigned to the respective computer 210 , 220 , 230 , 240 and 250 is stored in the first computer 200 for each additional computer 210 , 220 , 230 , 240 and 250 . If a service request message 101 , which is formed by a further computer 210 , 220 , 230 , 240 and 250 , contains a password which is equal to the stored password for the further computer 210 , 220 , 230 , 240 and 250 , so the requested service is granted to the user, ie executed by the first computer 200 .
Dem Paßwort ist jeweils eine erste Zeitangabe t1 zugeordnet, mit der angegeben wird, zu welchem Zeitpunkt das Paßwort ge bildet worden ist. Ferner ist dem Paßwort jeweils eine zweite Zeitangabe t2 zugeordnet, mit der angegeben wird, für welchen Zeitraum das Paßwort gültig ist.A first time specification t1 is assigned to the password, which specifies the time at which the password ge has been formed. The password is also a second one Assigned time t2, with which it is specified for which Time period the password is valid.
Die Dienstanforderungsnachricht 101 wird von dem zweiten Rechner 210 an den ersten Rechner 200 übertragen (Schritt 102).The service request message 101 is transmitted from the second computer 210 to the first computer 200 (step 102 ).
Nach Empfang der Dienstanforderungsnachricht 101 in dem er sten Rechner 200 (Schritt 103) wird der zweite Rechner 210 unter Verwendung der Authentifikationsangabe in der Dienstan forderungsnachricht 101 authentifiziert (Schritt 104).After receiving the service request message 101 in the first computer 200 (step 103 ), the second computer 210 is authenticated using the authentication information in the service request message 101 (step 104 ).
Nach positiver Authentifikation des zweiten Rechners 210 wird in einem weiteren Schritt (Schritt 105) die Paßwortangabe PW aus der Authentifikationsangabe der Dienstanforderungsnach richt 101 ermittelt und die Paßwortangabe wird mit dem in dem ersten Rechner 200 gespeicherten Paßwort, welches dem zweiten Rechner 200 zugeordnet ist, verglichen (Schritt 106).After positive authentication of the second computer 210 (step 105), the Paßwortangabe PW from the authentication indicating the Dienstanforderungsnach directing in a further step determined 101 and the Paßwortangabe is compared with the value stored in the first computer 200 password which is assigned 200 the second computer (Step 106 ).
Bei negativer Authentifikation wird die Dienstanforderungs nachricht 101 verworfen (Schritt 110) und der angeforderte Dienst wird nicht ausgeführt.If the authentication is negative, the service request message 101 is discarded (step 110 ) and the requested service is not carried out.
Stimmen die Paßwortangabe PW und das dem zweiten Rechner 200 zugeordnete Paßwort überein, so wird überprüft, ob das Paß wort gültig ist (Schritt 107). Dies erfolgt in der Weise, daß eine aktuelle Zeit t3, zu der die Dienstanforderungsnachricht 101 von dem ersten Rechner 200 empfangen worden ist, ermit telt wird.If the password specification PW and the password assigned to the second computer 200 match, it is checked whether the password is valid (step 107 ). This is done in such a way that a current time t3 at which the service request message 101 has been received by the first computer 200 is determined.
Stimmen die Paßwortangabe PW und das dem zweiten Rechner 200 zugeordnete Paßwort überein, so wird die Dienstanforderungs nachricht 101 verworfen (Schritt 115) und der angeforderte Dienst wird nicht ausgeführt. If the password specification PW and the password assigned to the second computer 200 match, the service request message 101 is discarded (step 115 ) and the requested service is not carried out.
Es wird überprüft, ob die aktuelle Zeit t3 kleiner oder
gleich ist der Summe aus der ersten Zeitangabe t1 und der
zweiten Zeitangabe t2, also ob gilt:
It is checked whether the current time t3 is less than or equal to the sum of the first time t1 and the second time t2, that is, whether:
t3 ≦ t1 + t2. (1)
t3 ≦ t1 + t2. (1)
Ist Vorschrift (1) erfüllt, so bedeutet dies, daß die Paß wortangabe dem Paßwort entspricht und das Paßwort noch gültig ist.If regulation (1) is fulfilled, this means that the passport word specification corresponds to the password and the password is still valid is.
In diesem Fall wird der mit der Dienstanforderung 101 ange forderte Dienst, also die Datenbankabfrage von dem ersten Rechner 200 durchgeführt (Schritt 108) und das Ergebnis der Datenbankabfrage wird in einer gebildeten Ergebnisnachricht 116 (Schritt 109) an den zweiten Rechner 210 übertragen (Schritt 110), in dem das Ergebnis der Datenbankabfrage wei terverarbeitet wird (Schritt 111).In this case, the service requested with the service request 101 , that is to say the database query, is carried out by the first computer 200 (step 108 ) and the result of the database query is transmitted to the second computer 210 in a formed result message 116 (step 109 ) (step 110 ), in which the result of the database query is further processed (step 111 ).
Ist Vorschrift (1) nicht erfüllt, so bedeutet dies, daß zwar der zweite Rechner 210 aufgrund der erfolgten Authentifikati on grundsätzlich zur Anforderung des Dienstes berechtigt ist, das dem zweiten Rechner 210 zugeordnete Paßwort nicht mehr gültig ist.If regulation (1) is not met, this means that the second computer 210 is basically authorized to request the service due to the authentication that has taken place, and the password assigned to the second computer 210 is no longer valid.
In einem weiteren Schritt (Schritt 120) wird bei ungültigem Paßwort von dem ersten Rechner 200 eine Aktualisierungsnach richt 121 gebildet und an den zweiten Rechner 210 gesendet (Schritt 122), mit der eine Aktualisierung des Paßworts ge fordert wird. Ferner wird von dem ersten Rechner 200 in einer Kontrolldatenbank ein Bit (Kontrollwert) auf einen ersten Wert gesetzt, mit dem angegeben wird, daß das jeweilige Paß wort ungültig ist und die entsprechende Aktualisierungsnach richt 121 an den zweiten Rechner 210 gesendet worden ist.In a further step (step 120 ), if the password is invalid, an update message 121 is formed by the first computer 200 and sent to the second computer 210 (step 122 ), with which an update of the password is requested. Furthermore, a bit (control value) is set by the first computer 200 in a control database to a first value, with which it is indicated that the respective password is invalid and the corresponding update message 121 has been sent to the second computer 210 .
Nach Empfang der Aktualisierungsnachricht 121 (Schritt 123) wird von dem zweiten Rechner ein aktualisiertes Paßwort aPW gebildet (Schritt 124). After receiving the update message 121 (step 123 ), an updated password aPW is formed by the second computer (step 124 ).
Hält sich der zweite Rechner 210 nicht an die vorgeschriebene Prozedur und generiert erneut eine Dienstanforderung, ohne das Paßwort zu ändern, so kann der erste Rechner 200 dies nach der Authentifikation des zweiten Rechners 210 und dem Überprüfen des Kontrollwertes feststellen. Ist der Kontroll wert auf den ersten Wert gesetzt, so kann das Verfahren been det werden (Schritt 131).If the second computer 210 does not follow the prescribed procedure and generates a service request again without changing the password, the first computer 200 can determine this after the authentication of the second computer 210 and the checking of the control value. If the control value is set to the first value, the method can be ended (step 131 ).
Das aktualisierte Paßwort aPW wird symmetrisch gemäß dem Data Encryption Standard (DES) verschlüsselt. Als Schlüssel wird das Paßwort PW, welches auch in dem zweiten Rechner 210 be kannt und gespeichert ist, zur Verschlüsselung des aktuali sierten Paßworts aPW verwendet.The updated password aPW is encrypted symmetrically according to the Data Encryption Standard (DES). As a key, the password PW, which is also known and stored in the second computer 210 , is used to encrypt the updated password aPW.
Das verschlüsselte aktualisierte Paßwort aPW wird in einer von dem zweiten Rechner 210 gebildeten Paßwortnachricht 125 (Schritt 126) an den ersten Rechner übertragen (Schritt 127).The encrypted updated password APW is transmitted in a recess formed by the second calculator 210 Paßwortnachricht 125 (step 126) to the first computer (step 127).
In der Paßwortnachricht 125 ist eine Integritätsangabe ent halten, mit der die Integrität der Paßwortnachricht 125 über prüft werden kann.In the password message 125 , an integrity statement is included with which the integrity of the password message 125 can be checked.
Nach Empfang der Paßwortnachricht 125 (Schritt 128) wird die Integrität der Paßwortnachricht 125 überprüft (Schritt 129).Upon receipt of the password message 125 (step 128 ), the integrity of the password message 125 is checked (step 129 ).
Bei negativer Integritätsprüfung wird die Paßwortnachricht 125 verworfen (Schritt 130) und das Verfahren beendet (Schritt 131).If the integrity check is negative, the password message 125 is discarded (step 130 ) and the method is ended (step 131 ).
Bei positiver Integritätsprüfung wird von dem ersten Rechner 200 das verschlüsselte aktualisierte Paßwort aPW ermittelt (Schritt 132) und das aktualisierte Paßwort aPW wird ent schlüsselt (Schritt 133).If the integrity check is positive, the encrypted updated password aPW is determined by the first computer 200 (step 132 ) and the updated password aPW is decrypted (step 133 ).
Das ermittelte aktualisierte Paßwort aPW wird in einem weite ren Schritt als neues Paßwort für den zweiten Rechner 210 ge speichert (Schritt 134). Ferner wird von dem ersten Rechner 200 in der Kontrolldatenbank der entsprechende Kontrollwert auf einen zweiten Wert gesetzt, mit dem angegeben wird, daß das jeweilige Paßwort gültig ist.The determined updated password aPW is stored in a further step as a new password for the second computer 210 (step 134 ). Furthermore, the first computer 200 in the control database sets the corresponding control value to a second value, which indicates that the respective password is valid.
Anschließend wird von dem ersten Rechner 200 eine Bestäti gungsnachricht 135 gebildet (Schritt 136) und an den zweiten Rechner 210 übertragen (Schritt 137) und von dem zweiten Rechner 210 empfangen (Schritt 138). Mit der Bestätigungs nachricht 135 wird dem zweiten Rechner 210 der weitere Ein satz des aktualisierten Paßwortes aPW im Rahmen der Kommuni kationsverbindung bestätigt.A confirmation message 135 is then formed by the first computer 200 (step 136 ) and transmitted to the second computer 210 (step 137 ) and received by the second computer 210 (step 138 ). With the confirmation message 135 , the second computer 210 confirms the further use of the updated password aPW as part of the communication link.
Weiterhin wird von dem ersten Rechner 200 der Dienst erbracht (Schritt 108), die Ergebnisnachricht 116 gebildet (Schritt 109) und die Ergebnisnachricht 116 an den zweiten Rechner 210 übertragen (Schritt 110). In dem zweiten Rechner 210 wird die Ergebnisnachricht 116 weiterverarbeitet (Schritt 111).Furthermore, the service is provided by the first computer 200 (step 108 ), the result message 116 is formed (step 109 ) and the result message 116 is transmitted to the second computer 210 (step 110 ). The result message 116 is processed further in the second computer 210 (step 111 ).
Ferner wird von dem ersten Rechner 200 in der Kontrolldaten bank das entsprechende Bit auf einen zweiten Wert gesetzt, mit dem angegeben wird, daß das jeweilige Paßwort gültig ist.Furthermore, the first bit 200 in the control database sets the corresponding bit to a second value, which indicates that the respective password is valid.
Bei einer weiteren empfangenen Dienstanforderungsnachricht wird jeweils nach deren Empfang von dem ersten Rechner 200 anhand der Kontrolldatenbank überprüft, ob das jeweilige Paß wort gültig ist oder nicht. Auf diese Weise wird eine sehr schnelle Prüfung des Paßwortes erreicht.In the case of a further received service request message, it is checked by the first computer 200 on receipt of the control database whether the respective password is valid or not. In this way, the password can be checked very quickly.
Die im Rahmen dieses Verfahrens verwendeten Nachrichten sind gemäß dem H.225.0-Standard, wie er in [3] beschrieben ist, codiert.The messages used in this procedure are according to the H.225.0 standard as described in [3], coded.
Zur Definition des im weiteren beschriebenen Formats der ein zelnen Nachrichten wird die in [4] beschriebene Abstract Syn tax Notation 1 (ASN.1) verwendet. To define the format described below the one individual messages, the Abstract Syn tax notation 1 (ASN.1) is used.
Die Nachrichten werden als eine in [3] vorgesehene NonStan
dardMessage codiert, wie im folgenden beschrieben:
The messages are encoded as a non-standard message provided in [3], as described below:
Im weiteren sind einige Alternativen zu dem oben beschriebenen
Ausführungsbeispiel dargestellt:
Die Art der Integritätssicherung ist grundsätzlich beliebig,
ebenso wie der Verschlüsselungsalgorithmus zur Verschlüsse
lung des aktualisierten Paßwortes.Some alternatives to the exemplary embodiment described above are shown below:
The type of integrity assurance is basically arbitrary, as is the encryption algorithm for encrypting the updated password.
Die Realisierung der Nachrichten als Non Standard Messages bzw. Non Standard Data Field ist nicht zwingend notwendig. Die Darstellung der Nachrichten läßt sich auch über neu zu definierende Nachrichten oder Protokollfelder in den aus [2] und [3] bekannten Standards realisieren.Realization of the messages as non-standard messages or Non Standard Data Field is not absolutely necessary. The display of the news can also be done via new defining messages or protocol fields in the from [2] and [3] implement known standards.
Auch sind das Verfahren und die Anordnung nicht auf die aus [2] und [3] bekannten Standards beschränkt.Also, the process and arrangement are not based on that [2] and [3] known standards limited.
Die Bildung der Dienstanforderungsnachricht und/oder der Ak tualisierungsnachricht und/oder der Paßwortnachricht und/oder der Bestätigungsnachricht können separat als eigenständige Nachrichten erfolgen und zwischen den beteiligten Rechnern separat übertragen werden. Es ist ferner in einer Variante möglich, die jeweilige Nachricht gemäß dem Prinzip des soge nannten "Piggybacks" gemeinsam mit anderen Nachrichten zwi schen den beteiligten Rechnern zu übertragen.The formation of the service request message and / or the Ak Update message and / or the password message and / or The confirmation message can be sent separately as a standalone Messages are made and between the computers involved be transferred separately. It is also in a variant possible, the respective message according to the principle of the so-called called "Piggybacks" along with other news between transferred to the computers involved.
Auch kann der zweite Rechner durch Senden einer Aktualisie rungsanforderung an den zweiten Rechner die Bildung eines neuen Paßwortes beim zweiten Rechner anfordern. Analog zu den obigen Ausführungen kann der zweite Rechner mit Hilfe einer bei ihm gespeicherten Kontrolldatenbank und dem entsprechen den Kontrollwert überprüfen, ob der erste Rechner seiner Auf forderung zum Paßwortwechsel nachgekommen ist. Im negativen Fall kann der zweite Rechner die Kommunikation abbrechen und das Verfahren beenden. The second computer can also send an update request to the second computer to form a Request a new password from the second computer. Analog to the Above explanations, the second computer with the help of a control database stored with him and the corresponding check the control value to see if the first computer is up the request to change the password has been met. In the negative In this case, the second computer can break off communication and finish the procedure.
In diesem Dokument sind folgende Veröffentlichungen zitiert:
The following publications are cited in this document:
[1] Microsoft Developper Network Library, Questions 151082
S7D6D, S7590, S759E, S5970, Microsoft Press, Juli 1998,
erhältlich am 29. September 1998 im Internet unter der
folgenden Adresse:
http://msdn.microsoft.com/developer/
[2] International Telecommunication Union, Draft ITU-T Recom
mendation H.235, Line Transmission of Non-Telephone Si
gnals, Security and Encryption for H Series (H.323 and
Other H.245 Based) Multimedia Terminals), Version 1, Ka
pitel 10.3.2, September 1997
[3] International Telecommunication Union, Draft ITU-T Recom
mendation H.225.0, Line Transmission of Non-Telephone Sig
nals, Call Signaling Protocols and Media Stream Packe
tization for Packet Based Multimedia Communiacations Sy
stems, Version 2, Kapitel 7.6 und 7.16, March 1997
[4] International Telecommunication Union, X.680 - X.683: OSI
NETWORKING AND SYSTEM ASPECTS - ABSTRACT SYNTAX NOTATION
ONE (ASN.1), July 1994
[5] A. J. Menezes et al. Handbook of Applied Cryptography,
CRC Press, New York, S. 497-504, 1997, ISBN 0-8493-
8523-7[1] Microsoft Developper Network Library, Questions 151082 S7D6D, S7590, S759E, S5970, Microsoft Press, July 1998, available on September 29, 1998 on the Internet at the following address:
http://msdn.microsoft.com/developer/
[2] International Telecommunication Union, Draft ITU-T Communication H.235, Line Transmission of Non-Telephone Si gnals, Security and Encryption for H Series (H.323 and Other H.245 Based) Multimedia Terminals), Version 1, Chapter 10.3.2, September 1997
[3] International Telecommunication Union, Draft ITU-T Recom mendation H.225.0, Line Transmission of Non-Telephone Sig nals, Call Signaling Protocols and Media Stream Packe tization for Packet Based Multimedia Communiacations Sy stems, Version 2, Chapter 7.6 and 7.16, March 1997
[4] International Telecommunication Union, X.680 - X.683: OSI NETWORKING AND SYSTEM ASPECTS - ABSTRACT SYNTAX NOTATION ONE (ASN.1), July 1994
[5] AJ Menezes et al. Handbook of Applied Cryptography, CRC Press, New York, pp. 497-504, 1997, ISBN 0-8493- 8523-7
Claims (12)
- a) bei dem der zweite Rechner im Rahmen einer zwischen dem ersten Rechner und dem zweiten Rechner bestehenden Kommu nikationsverbindung eine von dem ersten Rechner gesendete Dienstanforderungsnachricht empfängt, wobei die Dienstan forderungsnachricht das Paßwort aufweist,
- b) bei dem mit der Dienstanforderungsnachricht von dem ersten Rechner die Erbringung eines Dienstes angefordert wird,
- c) bei dem der zweite Rechner überprüft, ob das in der Dienstanforderungsnachricht enthaltene Paßwort für den er sten Rechner gültig ist,
- d) bei dem für den Fall, daß das Paßwort gültig ist, der Dienst erbracht wird,
- e) bei dem für den Fall, daß das Paßwort ungültig ist, von dem zweiten Rechner eine Aktualisierungsnachricht an den ersten Rechner gesendet wird, mit der eine Aktualisierung des Paßworts gefordert wird, und
- f) bei dem von dem ersten Rechner und/oder dem zweiten Rech ner ein aktualisiertes Paßwort gebildet wird, welches im weiteren im Rahmen der Kommunikationsverbindung als Paß wort verwendet wird.
- a) in which the second computer receives a service request message sent by the first computer as part of a communication link between the first computer and the second computer, the service request message having the password,
- b) in which the provision of a service is requested from the first computer with the service request message,
- c) in which the second computer checks whether the password contained in the service request message is valid for the first computer,
- d) where the service is provided if the password is valid,
- e) in which, in the event that the password is invalid, an update message is sent from the second computer to the first computer, with which an update of the password is requested, and
- f) in which an updated password is formed by the first computer and / or the second computer, which is subsequently used as a password in the context of the communication connection.
- a) der erste Rechner sendet eine Paßwortnachricht zu dem zweiten Rechner, in der das aktualisierte Paßwort enthal ten ist in einer Weise, daß das aktualisierte Paßwort nur unter Verwendung des Paßwortes ermittelt werden kann,
- b) der zweite Rechner ermittelt unter Verwendung des Paßwor tes das aktualisierte Paßwort aus der Paßwortnachricht,
- c) der zweite Rechner speichert das aktualisierte Paßwort.
- a) the first computer sends a password message to the second computer in which the updated password is contained in such a way that the updated password can only be determined using the password,
- b) the second computer determines the updated password from the password message using the password,
- c) the second computer stores the updated password.
- a) bei dem in der Dienstanforderungsnachricht eine Angabe enthalten zur Integritätssicherung der Dienstanforderungs nachricht,
- b) bei dem von dem zweiten Rechner die empfangene Dienstan forderungsnachricht auf ihre Integrität überprüft wird,
- c) bei dem nur für den Fall, daß die Integrität der Dienstan forderungsnachricht gewährleistet ist, das Verfahren durchgeführt wird, und
- d) sonst der angeforderte Dienst zurückgewiesen wird.
- a) in which the service request message contains information to ensure the integrity of the service request message,
- b) the integrity of the received service request message from the second computer is checked,
- (c) where the procedure is carried out only in the event that the integrity of the service request message is guaranteed, and
- d) otherwise the requested service is rejected.
wobei der erste Rechner und der zweite Rechner jeweils einen Prozessor aufweisen, die derart eingerichtet sind, daß fol gende Schritte durchführbar sind:
- a) der zweite Rechner empfängt im Rahmen einer zwischen dem ersten Rechner und dem zweiten Rechner bestehenden Kommu nikationsverbindung eine von dem ersten Rechner gesendete Dienstanforderungsnachricht, wobei die Dienstanforderungs nachricht das Paßwort aufweist,
- b) mit der Dienstanforderungsnachricht wird von dem ersten Rechner die Erbringung eines Dienstes angefordert,
- c) der zweite Rechner überprüft, ob das in der Dienstanforde rungsnachricht enthaltene Paßwort für den ersten Rechner gültig ist,
- d) für den Fall, daß das Paßwort gültig ist, wird der Dienst erbracht,
- e) für den Fall, daß das Paßwort ungültig ist, wird von dem zweiten Rechner eine Aktualisierungsnachricht an den er sten Rechner gesendet, mit der eine Aktualisierung des Paßworts gefordert wird, und
- f) von dem ersten Rechner und/oder dem zweiten Rechner wird ein aktualisiertes Paßwort gebildet, welches im weiteren im Rahmen der Kommunikationsverbindung als Paßwort verwen det wird.
the first computer and the second computer each having a processor which are set up in such a way that the following steps can be carried out:
- a) the second computer receives a service request message sent by the first computer within the framework of a communication link existing between the first computer and the second computer, the service request message having the password,
- b) the service computer uses the service request message to request the provision of a service,
- c) the second computer checks whether the password contained in the service request message is valid for the first computer,
- d) if the password is valid, the service is provided,
- e) in the event that the password is invalid, an update message is sent from the second computer to the first computer with which an update of the password is requested, and
- f) an updated password is formed by the first computer and / or the second computer, which password is subsequently used as a password in the context of the communication connection.
- a) der erste Rechner sendet eine Paßwortnachricht zu dem zweiten Rechner, in der das aktualisierte Paßwort enthal ten ist in einer Weise, daß das aktualisierte Paßwort nur unter Verwendung des Paßwortes ermittelt werden kann,
- b) der zweite Rechner ermittelt unter Verwendung des Paßwor tes das aktualisierte Paßwort aus der Paßwortnachricht,
- c) der zweite Rechner speichert das aktualisierte Paßwort.
- a) the first computer sends a password message to the second computer in which the updated password is contained in such a way that the updated password can only be determined using the password,
- b) the second computer determines the updated password from the password message using the password,
- c) the second computer stores the updated password.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE1998145055 DE19845055A1 (en) | 1998-09-30 | 1998-09-30 | Method and arrangement for updating a password |
PCT/DE1999/002844 WO2000019297A1 (en) | 1998-09-30 | 1999-09-08 | Method and array for updating a password |
EP99955678A EP1116085A1 (en) | 1998-09-30 | 1999-09-08 | Method and array for updating a password |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE1998145055 DE19845055A1 (en) | 1998-09-30 | 1998-09-30 | Method and arrangement for updating a password |
Publications (1)
Publication Number | Publication Date |
---|---|
DE19845055A1 true DE19845055A1 (en) | 2000-04-06 |
Family
ID=7882939
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE1998145055 Withdrawn DE19845055A1 (en) | 1998-09-30 | 1998-09-30 | Method and arrangement for updating a password |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP1116085A1 (en) |
DE (1) | DE19845055A1 (en) |
WO (1) | WO2000019297A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2012460A1 (en) * | 2004-11-30 | 2009-01-07 | Novell, Inc. | Key distribution with unknown format detection |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7921290B2 (en) | 2001-04-18 | 2011-04-05 | Ipass Inc. | Method and system for securely authenticating network access credentials for users |
US7961884B2 (en) | 2002-08-13 | 2011-06-14 | Ipass Inc. | Method and system for changing security information in a computer network |
US9705878B2 (en) | 2008-04-04 | 2017-07-11 | International Business Machines Corporation | Handling expired passwords |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5611048A (en) * | 1992-10-30 | 1997-03-11 | International Business Machines Corporation | Remote password administration for a computer network among a plurality of nodes sending a password update message to all nodes and updating on authorized nodes |
US5734718A (en) * | 1995-07-05 | 1998-03-31 | Sun Microsystems, Inc. | NIS+ password update protocol |
-
1998
- 1998-09-30 DE DE1998145055 patent/DE19845055A1/en not_active Withdrawn
-
1999
- 1999-09-08 EP EP99955678A patent/EP1116085A1/en not_active Withdrawn
- 1999-09-08 WO PCT/DE1999/002844 patent/WO2000019297A1/en not_active Application Discontinuation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2012460A1 (en) * | 2004-11-30 | 2009-01-07 | Novell, Inc. | Key distribution with unknown format detection |
Also Published As
Publication number | Publication date |
---|---|
WO2000019297A1 (en) | 2000-04-06 |
EP1116085A1 (en) | 2001-07-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE19722424C1 (en) | Secure access method | |
DE60114986T2 (en) | METHOD FOR OUTPUTTING ELECTRONIC IDENTITY | |
DE60203711T2 (en) | METHOD FOR AUTHENTICATING MULTIPLE FILES ASSOCIATED WITH A TEXT DOCUMENT | |
WO1997047109A1 (en) | Process for cryptographic code management between a first computer unit and a second computer unit | |
EP1105998B1 (en) | Method and device for creating a secret communication key for a predetermined asymmetric and cryptographic key-pair | |
WO2007053864A1 (en) | Method for generating an advanced electronic signature for an electronic document | |
EP1368929A2 (en) | Authentication method | |
DE69736283T2 (en) | ACCESS CONTROL SYSTEM TO A FUNCTION IN WHICH THE CHIFFRATION CONTAINS MULTIPLE DYNAMIC VARIABLE | |
WO1997047108A1 (en) | Process for group-based cryptographic code management between a first computer unit and group computer units | |
DE102020003739A1 (en) | Procedure for the distribution and negotiation of key material | |
EP0768773A1 (en) | Method of establishing a common key for authorised users by means of a threshold scheme | |
DE3036804A1 (en) | SECURITY SYSTEM TO PREVENT UNAUTHORIZED MANIPULATIONS IN ELECTRONIC TEXT TRANSFER IN NEWS NETWORKS | |
EP0884869B1 (en) | Process for secure displaying during transmission of data or files between users | |
DE19845055A1 (en) | Method and arrangement for updating a password | |
EP1468520B1 (en) | Method for securing data traffic in a mobile network environment | |
WO1998002991A1 (en) | Key distribution process between two units in an isdn/internet connection | |
DE60310872T2 (en) | A method of managing a gateway setting by a user of the gateway | |
DE19801241C2 (en) | Process for generating asymmetric crypto keys at the user | |
EP1322062B1 (en) | Method for computer assisted encryption and decryption of data | |
DE102006009725A1 (en) | Public code authenticating method, involves producing signature from combination of public code and generated authentication characteristic, and publishing public code, authentication characteristic and produced signature | |
EP0670646B1 (en) | Mutual authentication method | |
DE10061102B4 (en) | System for status inquiry of digital certificates | |
EP1168750A1 (en) | Method to anonymously secure user personal data in a computer network | |
DE4443339A1 (en) | Computer protection method against unauthorised access | |
EP3840321A1 (en) | Method and system for authenticating a mobile id using hash values |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8130 | Withdrawal |