DE60018094T2 - Verfahren und system zum schutz vor dem eindringen in einer kommunikationsvorrichtung - Google Patents

Verfahren und system zum schutz vor dem eindringen in einer kommunikationsvorrichtung Download PDF

Info

Publication number
DE60018094T2
DE60018094T2 DE60018094T DE60018094T DE60018094T2 DE 60018094 T2 DE60018094 T2 DE 60018094T2 DE 60018094 T DE60018094 T DE 60018094T DE 60018094 T DE60018094 T DE 60018094T DE 60018094 T2 DE60018094 T2 DE 60018094T2
Authority
DE
Germany
Prior art keywords
host computer
identifier
computer
authorized
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60018094T
Other languages
English (en)
Other versions
DE60018094D1 (de
Inventor
I. Victor SHEYMOV
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Invicta Networks Inc
Original Assignee
Invicta Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Invicta Networks Inc filed Critical Invicta Networks Inc
Publication of DE60018094D1 publication Critical patent/DE60018094D1/de
Application granted granted Critical
Publication of DE60018094T2 publication Critical patent/DE60018094T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/35Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Schützen einer mit einem Kommunikationssystem verbundenen Kommunikationsvorrichtung gegen ein unberechtigtes Eindringen und ein entsprechendes Kommunikationssystem mit einer verbundenen Kommunikationsvorrichtung.
  • Stand der Technik
  • Historisch beginnt jede Technik mit ihrer Entwicklung, indem sie hauptsächlich auf Leistungsparameter fokussiert ist, und befaßt sich mit den Sicherheitsaspekten ihrer Anwendungen nur in einem gewissen Entwicklungsstadium. Dieses Muster wird auf klassische Weise von Computer- und Kommunikationsnetzen befolgt. Beispielsweise waren die ersten Prioritäten bei der Entwicklung des Internets Zuverlässigkeit, Überlebensfähigkeit, Optimierung der Verwendung von Kommunikationskanälen und Maximierung ihrer Geschwindigkeit und Kapazität. Mit bemerkenswerter Ausnahme einiger Regierungseinrichtungen wurde der Kommunikationssicherheit keine frühe hohe Priorität erteilt, wenn überhaupt. In der Tat wäre es bei der relativ geringen Anzahl von Benutzern in den Anfangsstadien der Internetentwicklung wie auch ihrer Exklusivität beinahe unnatürlich gewesen, sich mit Problemen möglicher digitaler Angriffe zu befassen, wenn man die Größe anderer technischer und organisationsmäßiger Probleme in Betracht zieht, die zu der Zeit zu überwinden waren. Weiterhin war eine der Ideen des Internets die „Demokratisierung" von Kommunikationskanälen und des Zugangs zu Informationen, was dem Sicherheitsbegriff beinahe vollständig entgegenläuft. Nun stehen wir einer Situation gegenüber, die ausreichende Sicherheitsgrade bei der Kommunikation erfordert und dabei die bereits erreichte „Demokratisierung" von Kommunikationskanälen und Zugang zu Informationen bewahrt.
  • Alle Anfangsziele der ursprünglichen Entwickler des Internets wurden mit Ergebnissen erreicht, die so spektakulär sind, daß sie beinahe gewiß ihre Erwartungen überschreiten. Eines der bemerkenswertesten Ergebnisse der Internetentwicklung bis heute ist die erwähnte „Demokratisierung". Auf ihre ungeschützte Weise ist jedoch die „Demokratisierung" offenbar für einen gewissen Prozentsatz von Internet-Benutzern ihrer Zeit voraus oder widerspricht dem menschlichen Wesen, oder beides. Es bleibt Tatsache, daß genau dieser Prozentsatz von Benutzern eine ernst zu nehmende Bedrohung für die Integrität der nationalen kritischen Infrastruktur, die Geheimhaltung von Informationen und den weiteren Fortschritt des Handels durch Nutzung der Internet-Fähigkeiten darstellt. In diesem Stadium scheint es von wesentlicher Bedeutung zu sein, sich mit Sicherheitsfragen zu befassen, aber wie gewöhnlich ist es wünschenswert, daß dies innerhalb bereits bestehender Strukturen und technologischer Konventionen stattfindet.
  • Bestehenden Kommunikationsprotokollen mangelt es immer noch an ausreichender grundlegender Entropie für Sicherheitszwecke, obwohl sie Kommunikationen rationalisieren. Eine Weise zum Steigern der Entropie ist natürlich die Verschlüsselung, so wie sie durch das Finley erteilte US-Patent Nr. 5,742,666 dargestellt ist. Hier wird durch jeden Knoten im Internet die Zieladresse mit einem Code verschlüsselt, der nur vom nächsten Knoten entschlüsselt werden kann.
  • Verschlüsselung alleine hat sich für viele Kommunikationsanwendungen nicht als funktionsfähige Sicherheitslösung erwiesen. Selbst innerhalb ihres Kernzwecks ist die Verschlüsselung immer noch mit gewissen Sicherheitsproblemen behaftet, einschließlich der Verteilung und Sicherung der Schlüssel. Daneben stellt die Verschlüsselung einen „Ballast" dar, der die Informationsverarbeitungsgeschwindigkeit und Übertragungszeit bedeutend verringert. Durch diese Faktoren wird ihre Verwendung in vielen Grenzfällen als unratsam erachtet.
  • Ein weiterer Weg ist die Verwendung der Paßworte. Dieses Verfahren reichte gegen Menschen aus, funktioniert aber eindeutig nicht gegen Computer. Jeder Sicherheitserfolg der auf Paßwort basierenden Sicherheit ist bestenfalls zeitweilig. Durch schnelle Fortschritte in der Rechenleistung wird selbst die ausgeklügelste Paßwortanordnung zur Kurzzeitlösung.
  • Durch neuliche Untersuchungen ist deutlich festgestellt worden, daß die Firewall-Technology, so wie sie durch das Wesinger et al. erteilte US-Patent Nr. 5,898,830 dargestellt ist, ebenfalls keine ausreichende Langzeitlösung für das Sicherheitsproblem bietet. Während sie einigermaßen nützlich ist, kann sie allein nicht den modernen Höhen an digitalen Aufschalte-Angriffen widerstehen.
  • In US 5,805,801 ist ein System und Verfahren zur Bereitstellung von Sicherheit gegen Eindringen in einem Campus-LAN-Netz offenbart, wobei (1) ein verwaltetes Hub jede Anschaltevorrichtung im Netz entdeckt, die das Sicherheitmerkmal unterstützt, und unterhält eine Anschaltevorrichtungsliste dieser Vorrichtungen, die Token-Ring-Vermittlungen, Ethernet-Vermittlungen, Brücken und Router umfassen kann, (2) ein Eindringen durch eine unberechtigte Adresse an einem seiner Anschlüsse entdeckt und die Anschaltevorrichtungen durch Übertragen eines Rahmens Sicherheitseinbruch erkannt über das Eindringen benachrichtigt, so daß die Anschaltevorrichtungen ein Filter gegen die eindringende unberechtigte Adresse an ihren jeweiligen Anschlüssen einstellen können, (3) die Anschaltevorrichtungen einen Rahmen Filter gesetzt zum verwalteten Hub senden, das den Anschluß wieder aktiviert, wo der Sicherheitseinbruch auftrat, und (4) nachdem alle Rahmen Filter gesetzt empfangen sind und eine Netzverwaltungsstation einen Rahmen Sicherheit Klarzustand sendet, um die Filter zu entfernen. Durch das Verfahren werden keine veränderlichen Adressen oder Filter bereitgestellt, die periodisch geändert werden.
  • Neben allem anderen bieten keine der bestehenden Sicherheitsverfahren einschließlich der Verschlüsselung Schutz gegen Denial-of-Service-Angriffe. Schutz gegen Denial-of-Service-Angriffe ist zu einem kritischen Aspekt der Kommunikationssystemsicherheit geworden. Alle bestehenden Anmelde-Sicherheitssysteme einschließlich solcher, die Verschlüsselung benutzen, sind praktisch wehrlos gegen solche Angriffe. Bei einem möglichen Angreifer mit böswilligen Absichten kann man durchaus annehmen, daß der Angreifer, selbst wenn ein Einbruchsversuch fehlgeschlagen ist, immer noch in der Lage ist, durch Deaktivieren des Systems mit einem Denial-of-Service-Angriff Schaden anzurichten. Da definitionsgemäß bestehende Systeme jeden Anmeldeversuch bearbeiten müssen, ob legitim oder nicht, ist gewiß, daß sich diese Systeme nicht gegen einen Denial-of-Service-Angriff verteidigen können. Die Mängel bestehender Sicherheitsverfahren zum Schützen von Kommunikationssystemen führen zu der Schlußfolgerung, daß eine neue Generation von digitaler Schutztechnik benötigt wird, um annehmbare Sicherheitsgrade in Netzkommunikationen zu erreichen.
  • Kurze Beschreibung der Erfindung
  • Es ist eine Aufgabe der vorliegenden Erfindung, ein neuartiges und verbessertes Verfahren zum Schützen einer mit einem Kommunikationssystem verbundenen Kommunikationsvorrichtung und ein entsprechendes Kommunikationssystem mit einer Kommunikationsvorrichtung zur Verwendung mit einer großen Vielzahl von Kommunikationsnetzen einschließlich von auf Internet basierenden Computern, Firmen- und Organisations-Rechnernetzen (LAN), Systemen für elektronischen Geschäftsverkehr, drahtlosen Computerkommunikationsnetzen, Fernsprechwählsystemen, drahtlosen Wählsystemen, drahtlosen Telefon- und Computerkommunikationssystemen, zellularen und Satelliten-Telefonsystemen, Mobiltelefon- und Mobilkommunikationssystemen, Kabel-basierten Systemen und Computerdatenbanken wie auch zum Schutz von Netzknoten wie beispielsweise Routern, Vermittlungen, Verbindungsknoten, Brücken und Rahmenweiterleitungseinheiten, bereitzustellen.
  • Die obige Aufgabe wird durch ein Verfahren nach Anspruch 1 oder ein Kommunikationssystem nach Anspruch 18 gelöst. Bevorzugte Ausführungsformen entsprechen den Unteransprüchen.
  • Ein Aspekt der vorliegenden Erfindung besteht in der Bereitstellung eines neuartigen und verbesserten Kommunikationsnetz-Aufschalteschutzverfahrens und -systems, das Adressenagilität in Kombination mit einer begrenzten zulässigen Anzahl von Anmeldungsversuchen bereitstellt.
  • Eine weitere Aufgabe der vorliegenden Erfindung besteht in der Bereitstellung eines neuartigen und verbesserten Aufschalteschutzverfahrens für eine große Vielzahl von Kommunikations- und anderen Vorrichtungen, auf die mit einer Nummer, einem Adresscode und/oder Zugangscode zugegriffen werden kann. Diese Nummer, dieser Adresscode und/oder dieser Zugangscode wird periodisch geändert und die neue Nummer, der neue Adreßcode oder Zugangscode wird nur berechtigten Benutzern zur Verfügung gestellt. Die neue Nummer, der neue Adreßcode oder Zugangscode können für einen Computer oder eine Vorrichtung für den berechtigten Benutzer bereitgestellt und nicht anderen zugänglich sein. Mit dieser Kennung wird der Computer des Benutzers veranlaßt, die Nummer, den Adreßcode und/oder Zugangscode, die sonst unbekannt und unzugänglich sind, zu übertragen.
  • Ein weiterer Aspekt der vorliegenden Erfindung besteht in der Bereitstellung eines neuartigen und verbesserten Kommunikationsnetz-Aufschalteschutzverfahrens und -systems, wobei eine Mehrzahl unterschiedlicher Cyber-Koordinaten richtig bereitgestellt werden muß, ehe einer geschützten Kommunikationseinheit oder einer bestimmten Information Zugang gewährt wird. Wenn nicht alle oder einige Cyber-Koordinaten richtig bereitgestellt werden, wird Zugang verweigert, eine Alarmsituation eingeleitet und die betroffenen Cyber-Koordinaten können sofort geändert werden.
  • Für die Zwecke der vorliegenden Erfindung sind Cyber-Koordinaten als eine Menge von Anweisungen definiert, die den Ort eines Objekts (wie eines Computers) oder einer Information (wie einer Computerdatei) im Cyberraum bestimmen. Cyber-Koordinaten umfassen private oder öffentliche Protokollnetzadressen wie beispielsweise eine IP-Adresse im Internet, eine Computeranschlußnummer oder -bezeichnung, ein Computer- oder Datenbankverzeichnis, einen Dateinamen oder Bezeichner, eine Telefonnummer, eine Zugangsnummer und/oder einen Zugangscode, usw., sind aber nicht darauf begrenzt.
  • Vorzugsweise bietet die vorliegende Erfindung ein Kommunikationsnetz-Aufschalteschutzverfahren und -system, wo ein möglicher Eindringling zuerst raten muß, wo sich ein Zielcomputer wie beispielsweise ein Host-Arbeitsplatz im Cyberraum gerade befindet, und vorhersagen muß, wo sich der Zielcomputer wie beispielsweise ein Arbeitsplatz im Cyberraum als nächstes befindet. Dies wird durch Ändern einer Cyberkoordinate (der Adresse) oder einer Mehrzahl von Cyberkoordinaten für die Rechner wie beispielsweise Arbeitsplätze nach einem bestimmten oder zufallsmäßigen Zeitplan und Durchführung einer ungeplanten Cyberkoordinatenänderung bei Erkennung durch das System eines Aufschalteversuchs erreicht. Es kann eine begrenzte Anzahl von Anmeldungsversuchen erlaubt sein, ehe ein Aufschalteversuch bestätigt wird und die Cyberkoordinaten geändert werden. Eine Verwaltungseinheit ist vorgesehen, um eine Zufallsfolge von Cyberkoordinaten zu erzeugen, und die eine Reihe von Tabellen mit gegenwärtigen und der nächsten Menge von Adressen unterhält. Diese Adressen werden an berechtigte Teilnehmer gewöhnlich unter Verwendung eines Verschlüsselungsvorgangs verteilt.
  • Weiterhin bietet die vorliegende Erfindung ein Aufschalteschutzverfahren und -system für eine Information, einen Computer oder eine Datenbank, wo ein möglicher Eindringling zuerst raten muß, wo sich eine Zielinformation wie beispielsweise eine Computerdatei oder ein Verzeichnis im Cyberraum befindet und vorhersagen muß, wo sich die Zielinformation als nächstes im Cyberraum befindet. Dies wird durch Ändern einer Cyberkoordinate oder einer Mehrzahl von Cyberkoordinaten für die Information nach einem bestimmten oder zufallsmäßigen Zeitplan und Durchführen einer ungeplanten Cyberkoordinatenänderung bei Erkennung durch das System eines Aufschalteversuchs erreicht. Es kann eine begrenzte Anzahl von Anmeldeversuchen erlaubt sein, ehe ein Aufschalteversuch bestätigt wird und die Koordinaten geändert werden. Eine Verwaltungseinheit ist vorgesehen zum Erzeugen einer Zufallsfolge von Cyberkoordinaten, und die eine Reihe von Tabellen mit gegenwärtigen und der nächsten Menge von Cyberkoordinaten unterhält. Diese Koordinaten werden an berechtigte Teilnehmer verteilt, gewöhnlich mittels eines Verschlüsselungsvorgangs.
  • Die Aufschalteversuchserkennungsverfahren und -systeme werden für die geschützten Vorrichtungen und Informationen wie oben beschrieben mittels eines Verschlüsselungsvorgangs bereitgestellt.
  • Die Aufschalteversuchserkennungsverfahren und -systeme werden für die geschützten Vorrichtungen und Informationen wie oben beschrieben dadurch bereitgestellt, daß ein Anmeldeversuch bei Nichtvorhandensein aller oder einiger der richtigen Cyberkoordinaten als Aufschalteversuch kategorisiert und eine Alarmsituation eingeleitet wird.
  • Kurze Beschreibung der Zeichnungen
  • 1 ist ein Blockschaltbild des Kommunikationsnetzschutzsystems der vorliegenden Erfindung;
  • 2 ist ein Flußdiagramm der Funktionsweise des Systems der 1;
  • 3 ist ein Blockschaltbild einer zweiten Ausführungsform des Kommunikationsnetzschutzsystems der vorliegenden Erfindung;
  • 4 ist ein Flußdiagramm der Funktionsweise des Systems der 3;
  • 5 ist ein Blockschaltbild einer dritten Ausführungsform des Kommunikationsnetzschutzsystems der vorliegenden Erfindung;
  • 6 ist ein Flußdiagramm der Funktionsweise des Systems der 5; und
  • 7 ist ein Blockschaltbild einer vierten Ausführungsform des Kommunikationsnetzschutzsystems der vorliegenden Erfindung.
  • Beschreibung der bevorzugten Ausführungsformen
  • Bestehende Kommunikationssysteme benutzen feste Koordinaten im Cyberraum für die Kommunikationsquelle und den Kommunikationsempfänger. In gewöhnlich akzeptierter Terminologie für das Internet werden diese Cyberkoordinaten als Ursprungs- und Ziel-IP-Adressen bezeichnet. Für die Zwecke eines unberechtigten Eindringens in diese Kommunikationssysteme könnte die Situation einer Cyberattacke militärisch als Schießen auf ein an bekannten Koordinaten im Cyberraum positioniertes stationäres Ziel beschrieben werden. Es ist klar, daß ein sich bewegendes Ziel sicherer als das stationäre ist und ein sich bewegendes Ziel mit dem Eindringling unbekannten Koordinaten ist noch sicherer. Das Verfahren der vorliegenden Erfindung nutzt die Cyberraum-Umgebung und die Tatsache, daß die Korrelation zwischen den physikalischen Koordinaten von Rechnern oder anderen Kommunikationsvorrichtungen und ihren Cyberkoordinaten belanglos ist.
  • Während es schwierig ist, die physikalischen Koordinaten von Rechnern oder sonstigen Kommunikationsvorrichtungen zu ändern, können ihre Cyberkoordinaten (Cyberadressen) viel leichter geändert werden und können gemäß der vorliegenden Erfindung variabel und zeitlich veränderlich sein. Zusätzlich zur zeitlichen Veränderung der Cyberkoordinaten können die Cyberkoordinaten sofort geändert werden, wenn ein Versuch des Eindringens erfaßt wird. Weiterhin wird dadurch, daß gegenwärtige Cyberkoordinaten nur berechtigten Teilnehmern zur Verfügung gestellt werden, ein Computer oder eine sonstige Kommunikationsvorrichtung zu einem sich bewegenden Ziel mit möglichen Angreifern unbekannten Cyberkoordinaten. Im Effekt wird durch dieses Verfahren eine Vorrichtung erzeugt, die sich fortlaufend im Cyberraum bewegt.
  • Wenn man zuerst das Verfahren der vorliegenden Erfindung in seiner Anwendung auf Computer und Computernetze betrachtet, kann die gegenwärtige Cyberadresse des Computers auch als sein anfängliches Anmelde-Paßwort dienen, mit dem Unterschied, daß dieses anfängliche Anmelde-Paßwort variabel ist. Ein Benutzer muß sich jedoch nur mit der permanenten Kennung eines Computers befassen, die im Effekt ein zugewiesener „Name" in einem entsprechenden Netz ist. Es kann jedes permanente Kennungssystem benutzt werden und ein alphabetisches „Namen-"System scheint einigermaßen benutzerfreundlich zu sein. Eine dieser Anordnungen würde die Benutzung des alphabetischen Domännamensystems eines Computers als permanente Cyberadressenkennung erfordern und dabei seine numerische oder sonstige Cyberadresse einer periodischen Änderung mit regelmäßigen oder unregelmäßigen Zeitabständen unterwerfen. Durch diese Trennung wird das Sicherheitssystem für den Benutzer transparent, der sich nur mit den alphabetischen Adressen befassen muß. Im Effekt würde der Computer des Benutzers ein „Adreßbuch" enthalten, wo die alphabetischen Adressen permanent sind, und die entsprechenden variablen Adressen sind komplizierter und werden periodisch durch eine Netzverwaltung aktualisiert. Während ein Benutzer mit anderen Teilnehmern des Netzes auf der Basis des Namens oder der alphabetischen Adresse arbeitet, führt der Computer Kommunikationen auf der Basis der für diese bestimmte Zeit zugewiesenen entsprechenden variablen numerischen oder sonstigen Adressen durch.
  • Es ist relativ leicht, zu bewirken, daß ein variables Adressensystem praktisch jeden beliebigen Grad an Entropie enthält und gewiß genug Entropie, um die meisten ausgeklügelten Angriffe abzuwehren. Es ist klar, daß der Grad an Schutz direkt mit dem im variablen Adressensystem enthaltenen Grad an Entropie und mit der Häufigkeit der Cyberadressenänderung in Beziehung steht.
  • Durch dieses Szenario wird ein möglicher Angreifer in eine sehr schwierige Situation versetzt, wenn er das Ziel finden muß, ehe er einen Angriff unternimmt. Wenn eine Beschränkung der Anzahl zulässiger Anmeldeversuche implementiert wird, wird es für einen Angreifer noch schwieriger werden, das Ziel zu finden, als es wirklich anzugreifen. Diese Aufgabe des Lokalisierens des Zieles kann erschwert werden, wenn das Cyberadressensystem eines Netzes genügend Entropie enthält. Diese Schwierigkeit wird sehr gesteigert, wenn das Sicherheitssystem auch die Anzahl zulässiger Anmeldeversuche begrenzt, wodurch die Entropiedichte bedeutend angehoben wird.
  • Für die Zwecke der vorliegenden Erfindung wird Entropiedichte als Entropie pro ein Versuch, einen Wert einer zufallsvariablen zu raten, definiert.
  • 1 zeigt ein einfaches Computer-Aufschalteschutzsystem 10, das gemäß dem Verfahren der vorliegenden Erfindung funktioniert. Hier ist der Computer 12 eines entfernten Benutzers über einen Gateway-Router oder eine Brücke 16 mit einem geschützten Computer 14 verbunden. Durch eine Verwaltungssystem 18 wird die Adresse des Computers 14 periodisch durch Bereitstellen einer neuen Adresse aus einem Cyberadreßbuch 20 geändert, das eine Mehrzahl von Cyberadressen speichert. Jede neue Cyberadresse wird vom Verwaltungssystem 18 für den Router 16 und ein Computeradreßbuch 22 des Benutzers bereitgestellt. Das Adreßbuch 22 enthält sowohl die alphabetische Zieladresse für den Computer 14, die dem Benutzer zur Verfügung steht, und die variable numerische Cyberadresse, die dem Benutzer nicht zur Verfügung steht. Wenn der Benutzer ein Informationspaket mit der alphabetischen Adresse für den Computer 14 zu übertragen wünscht, wird diese alphabetische Adresse automatisch gegen die gegenwärtige numerische Cyberadresse ausgetauscht und im Paket benutzt.
  • Bezugnehmend auf 1 und 2 wird, wenn vom Gateway-Router oder der Brücke 16, wie bei 24 angezeigt, ein Paket empfangen wird, die Cyberadresse vom Gateway-Router oder der Brücke bei 26 überprüft und wenn die Zieladresse richtig ist, wird das Paket bei 28 zum Computer 14 weitergegeben. Wenn die Zieladresse nicht richtig ist, wird das Paket zu einem Sicherheitsanalyseteil 30 geleitet, der bei 32 bestimmt, ob das Paket innerhalb einer begrenzten Anzahl von Anmeldeversuchen mit einer richtigen Adresse wiederholt wird. Wenn dies eintritt, überträgt der Sicherheitsanalyseteil das Paket zum Computer 14 bei 28. Wenn jedoch innerhalb der zulässigen begrenzten Anzahl von Anmeldeversuchen keine richtige Adresse empfangen wird, wird das Paket nicht zum Computer 14 übertragen und der Sicherheitsanalyseteil aktiviert einen Alarmteil 34 bei 36, der wiederum veranlaßt, daß der Verwaltungsteil sofort bei 38 die Änderung der Cyberadresse bewirkt.
  • Ausgeklügelte Cyberangriffe umfassen oft das Eindringen durch andere Computeranschlüsse als den für eine Klientenanmeldung bestimmten Anschluß. Wenn ein hauptsächlich in Verbindung mit 1 und 2 beschriebenes System implementiert ist, stellt die Anschlußverletzbarkeit noch eine Öffnung für eine Attacke aus dem Netz heraus dar, d.h. wenn ein Angreifer nur einen niedrigen berechtigten Zugang zu einem bestimmten Computer hat und daher seine gegenwärtige variable Adresse kennt.
  • Computeranschlüsse können auf ähnliche Weise wie beim Schutz des Computers selbst geschützt werden. In diesem Fall wird die Anschlußzuweisung für den Computer variabel und wird periodisch auf ähnliche Weise wie die in Verbindung mit 1 und 2 beschriebene geändert. Dann wird eine gegenwärtige Zuweisung eines bestimmten Anschlusses nur zutreffenden Teilnehmern übermittelt und ist anderen nicht bekannt. Zur gleichen Zeit würde sich ein Computerbenutzer ähnlich den beschriebenen Verfahren mit permanenten Anschlußzuweisungen befassen, die als die permanenten „Namen" der Anschlüsse dienen würden.
  • Diese Anordnung für sich reicht jedoch möglicherweise aufgrund einer möglichen unzureichenden Entropiedichte nicht aus, um zuverlässig gegen eine Anschlußattacke mit bedeutender Rechenleistung zu schützen. Ein solcher Schutz kann durch Implementieren eines internen Computer-„Anschlußrouters" erreicht werden, der im wesentlichen dieselbe Rolle für Anschlußkennungen wie der gewöhnliche Gateway-Router oder die Brücke 16 für Computerzieladressen dienen würde.
  • Bezugnehmend auf 3 und 4, in denen gleiche Bezugsziffern für Komponenten und Operationen benutzt werden, die die gleichen wie die schon in Verbindung mit 1 und 2 beschriebenen sind, ist vor dem geschützten Computer 14 ein Anschlußrouter 40 vorgesehen und diesem Anschlußrouter wird von der Verwaltungseinheit 18 eine Anschlußnummer oder -bezeichnung bereitgestellt. Diese Anschlußnummer oder -bezeichnung wird auch dem Benutzeradreßbuch 22 zugeführt und wird bei Änderung der Cyberadresse oder getrennt geändert. Bezugnehmend auf 4 wird daher die Anschlußnummer oder -bezeichnung bei 42 untersucht, sobald die Cyberadresse bei 26 freigegeben worden ist. Wenn die Anschlußnummer ebenfalls korrekt ist, wird das Datenpaket bei 28 zum Computer 14 weitergegeben. Wenn die Anschlußnummer anfänglich unrichtig, wird das Paket zum Sicherheitsanalyseteil 30 geleitet, der bei 32 bestimmt, ob das Paket innerhalb der begrenzten Anzahl von Anmeldeversuchen mit der richtigen Anschlußnummer neu übertragen worden ist.
  • Das Anschlußschutzmerkmal kann unabhängig von anderen Merkmalen des Systems benutzt werden. Es kann effektiv Knoten der Infrastruktur wie beispielsweise Router, Gateways, Brücken und Rahmenweiterleitungseinheiten gegen unberechtigten Zugang schützen. Dadurch können Systeme gegen einen Angreifer geschützt werden, der eine Cyberattacke von solchen Knoten aus unternimmt.
  • Das Verfahren und System der vorliegenden Erfindung kann zur Bereitstellung von Sicherung für sowohl auf Internet basierende Computernetze als auch private Computernetze wie beispielsweise LAN angepaßt werden.
  • Die Internet-Struktur erlaubt die Erzeugung eines auf dem Internet basierenden privaten Cybernetzes (PCN – Private Cyber Network) zwischen einer Anzahl von über das Internet verbundenen Computern. Das Hauptinteresse an der Benutzung des Internets für diesen Zweck als Alternative für die eigentlichen Privatnetze mit fest zugeordneten Kommunikationskanälen liegt in der Sicherheit von auf dem Internet basierenden Netzen.
  • Die vorliegende Erfindung erleichtert die Herstellung eines zureichenden und steuerbaren Grades an Sicherheit für die PCN. Weiterhin bietet diese neue Technik Mittel für eine flexible Struktur eines PCN, indem sie leichte und praktisch sofortige Änderungen in seiner Mitgliedschaft erlaubt. Weiterhin erlaubt sie die Bewahrung ausreichender Sicherheit in einer Umgebung, wo ein Computer ein Mitglied mehrerer PCN mit unterschiedlichen Sicherheitserfordernissen sein könnte. Bei Verwendung des beschriebenen Konzepts wird ein geschützter Rechner zu einem „beweglichen Ziel" für die möglichen Eindringlinge, wobei seine Cyberkoordinaten periodisch geändert und die neuen Koordinaten nur nach „Wissensbedarf" den anderen Mitgliedern des PCN übermittelt werden, die für den Zugriff auf diesen Computer zusammen mit zutreffenden Routern und Gateways berechtigt sind. Diese Änderung von Cyberkoordinaten kann entweder nach vorheriger Verabredung oder durch Übermitteln zukünftiger Adressen an die berechtigten Mitglieder vor der Änderung durchgeführt werden. Eine akzeptable Häufigkeit einer derartigen Änderung kann von einem niedrigen Extremwert, wenn ein stationäres System Cyberkoordinaten nur bei Erkennung einer Cyberattacke ändert, zu einer äußerst hohen Häufigkeit wie Änderung bei jedem Paket reichen. Die zukünftigen Koordinaten können entweder verschlüsselt oder unverschlüsselt übertragen werden. Weiterhin kann jede Positionsänderung jedes PCN-Mitglieds hinsichtlich sowohl ihrer gegenwärtigen Cyberkoordinaten als auch der Zeit der Koordinatenänderung zufallsmäßig gemacht werden. Diese Parameter der Cyberbewegungen eines geschützten PCN-Mitglieds sind nur der PCN-Verwaltung, anderen PCN-Mitgliedern mit Berechtigung zur Kommunikation mit diesem bestimmten Mitglied und entsprechenden Gateways und Routern bekannt. von der PCN-Verwaltung würden periodische Cyberkoordinatenänderungen für alle Mitglieder des PCN implementiert und koordiniert werden. Während die PCN-Verwaltung der logische Partner für die Durchführung aller Benachrichtigungen der Cyberkoordinatenänderungen ist, könnte es unter gewissen Umständen vorteilhaft sein, einen Teil dieser Aufgabe einem PCN-Mitgliedcomputer selbst zu übergeben. Mit gewissen Begrenzungen befinden sich die Router und Gateways mit dem „Wissensbedarf" der gegenwärtigen Adresse des geschützten Computers in der allgemeinen Nähe des geschützten Computers im Cyberraum. In solchen Fällen wäre der geschützte Computer besser in der Lage, die erwähnten Benachrichtigungen von Routern und Gateways in der Nähe durchzuführen.
  • Die Adressenänderungen könnten gleichzeitig für alle Mitglieder des PCN oder getrennt durchgeführt werden, besonders wenn sich die Sicherheitserfordernisse für die Mitglieder bedeutend unterscheiden. Das letztere Verfahren ist vorteilhaft, wenn beispielsweise einige der Computer im PCN ein wahrscheinlicheres Ziel für mögliche Eindringlinge als andere sind. Ein Einzelhandels-Bank-PCN könnte ein Beispiel einer solchen Anordnung sein, wo der Computer der Bank viel wahrscheinlicher als der Computer eines Kundens angegriffen wird. Es ist zu beachten, daß, während in gewissen Fällen einige Mitglieder des PCN möglicherweise überhaupt keinen Schutz erfordern, es trotzdem klug ist, Schutz zu bieten, solange wie der Computer zu einem geschützten PCN gehört. Die richtige „Signatur" der gegenwärtigen „Rückadresse" würde als zusätzliche Berechtigungsbestätigung dienen. In dem obigen Beispiel des Einzelhandels-Bankdiensts würde, während die Computer vieler Kunden möglicherweise keinen Schutz erfordern, die Zuweisung veränderlicher Adressen zu diesen als zusätzliche Versicherung für die Bank dienen, daß jede Anmeldung berechtigt ist. In der Tat bietet dieses System automatisch eine zweistufige Sicherheit. Um einen geschützten Computer zu erreichen, muß der Klientencomputer die gegenwärtige Cyberadresse des Servercomputers an erster Stelle wissen. Selbst wenn dann ein möglicher Eindringling wider Erwarten die richtige gegenwärtige Adresse „trifft", wird das Informationspaket auf die richtige „Signatur" oder Rückadresse überprüft. Wenn diese Signatur nicht zu der Liste der gegenwärtigen Adressen des PCN gehört, wird das Paket zurückgewiesen. In Fällen hoher Sicherheit sollte dies eine ungeplante Adreßänderung des geschützten Computers auslösen.
  • Bezugnehmend auf 5 und 6, die dieses zweischichtige Sicherheitssystem darstellen, stellt eine Netzverwaltungseinheit 44 unterschiedliche einmalige Cyberkoordinaten für die Adreßbücher für jeden Computer im System bereit (wobei zwei Computer 12 und 14 mit Adreßbüchern 22 bzw. 46 dargestellt sind). Wenn nun der Computer 12 ein Datenpaket zum Computer 14 sendet, überprüft der Gateway-Router oder die Brücke 16 zuerst die richtige gegenwärtige Zieladresse für den Computer 14 bei 26 auf die oben beschriebene Weise. Wenn die Zieladresse richtig ist, überprüft ein Ursprungsadressensensor 48 bei 50, ob die richtige Ursprungsadresse (d.h. Rückadresse) für den Computer 12 ebenfalls vorhanden ist. Wenn beide richtigen Adressen vorhanden sind, wird das Datenpaket zum Computer 14 bei 28 weitergegeben, aber wenn die richtige Ursprungsadresse nicht vorhanden ist, wird das Datenpaket zum Sicherheitsanalyseteil 30 weitergegeben, wo bei 32 bestimmt wird, ob eine richtige Ursprungsadresse innerhalb der annehmbaren Anzahl von Anmeldeversuchen empfangen worden ist. Wenn die richtige Rückadresse nicht empfangen wird, wird bei 36 eine Alarmsituation aktiviert und das Netzverwaltungssystem veranlaßt bei 38 die Änderung der Cyberadresse des Computers 14.
  • Zusätzlich zur Erkennung von Eindringen (Eingriff) und Schutz dagegen bietet das obige System eine Echtzeiterkennung einer Cyberattacke und Schutz gegen „überflutende" Denial-of-Service-Attacken (Diensteverweigerungsattacken). Durch einen Gateway-Router oder eine Brücke 16 werden alle falsch adressierten Pakete ausgefiltert, wodurch gegen „Überflutung" geschützt wird. Da das „Adreßbuch" des geschützten Netzes weiterhin nur verläßliche Ziele enthält, schützt dieses System auch gegen Anweisungsviruse oder -würmer, wenn solche vorhanden sind oder in das Netz eingeführt werden. Für die Zwecke der vorliegenden Erfindung wird ein Anweisungsvirus oder -wurm als eine in ein Computersystem eingeführte Software-Fremdeinheit definiert, so daß sie gewisse Computerdaten zu sonst unberechtigten Parteien außerhalb des Systems sendet.
  • Elemente des oben beschriebenen Systems sind ein Gateway-Router oder eine Brücke 16, eine Computerschutzeinheit und eine Verwaltungseinheit. Ein Gateway-Router oder eine Brücke stellt ein Element der Gesamtverteidigung für das Netz dar, während das Ursprungs adreßfilter und der „Port-Router" und das Filter eine Einheit einzelner Verteidigung für einen Mitgliedscomputer darstellt. Diese Einzelverteidigungseinheit (Servereinheit) kann entweder als freistehender Computer, als eine Karte im geschützten Computer, als Software im geschützten Computer oder eingebettet in das Betriebssystem des geschützten Computers implementiert sein. Zur weiteren Verbesserung der Gesamtsicherheit können Anschlußzuweisungen selbstständig von der Verwaltungseinheit aus erzeugt werden, wodurch in einem kryptographischen Sinn ein System mit „zwei Schlüsseln" erstellt wird. Dadurch könnte die Sicherheit noch vorhanden sein, selbst wenn auf Sicherheitsverwaltungsebene eine Sicherheitsverletzung stattfand.
  • Durch das Verfahren und System der vorliegenden Erfindung wird die menschliche Beteiligung am System minimiert. Das System kann so konfiguriert werden, daß Computerbenutzer sich nur mit einfachen Kennungen oder Namen befasen, die permanent jedem Computer im Netz zugewiesen sind. Alle echten (gegenwärtigen) Cyberkoordinaten können getrennt gespeichert und für den Benutzer unzugänglich sein und könnten nur den zutreffenden Computern zur Verfügung stehen. Durch diesen Ansatz wird sowohl Sicherheit verbessert als auch dieses Sicherheitssystem für den Benutzer transparent gemacht. Der Benutzer befaßt sich nur mit der einfachen alphabetischen Seite des „Adreßbuchs" und kümmert sich nicht um die interne Arbeitsweise des Sicherheitssystems. Ein Telefonäquivalent dieses Aufbaus sind elektronische weiße Seiten, die in einem Rechner gestützten Telefonapparat resident sind, die automatisch von der Fernsprechgesellschaft aktualisiert werden. Der Benutzer muß nur einen Namen finden und den Knopf „Anschalten" drücken, während der Telefonapparat die übrige Arbeit vollbringt.
  • Für die besprochenen Sicherheitszwecke könnte relativ leicht ein numerisches Cyberadreßsystem auf Grundlage der Internet-Hostnummer benutzt werden, jedoch besteht für dieses Adreßsystem in seiner gegenwärtigen, durch das Protokoll IPv.4 dargestellten Form eine Begrenzung. Diese Begrenzung beruht auf der Tatsache, daß die Adresse durch eine 32 Bit-Nummer dargestellt ist. Das 32-Bit-Format enthält nicht genügend Entropie im Adreßsystem, um die Herstellung ausreichender Sicherheit zu ermöglichen. Dies ist eine besonders ernsthafte Begrenzung hinsichtlich des Sicherns eines gesamten Netzes. Die Verfügbarkeit der Netznummern ist dahingehend begrenzt, daß es bei der schnellen Erweiterung des Internets immer schwieriger wird, nicht nur Entropie sondern auch eine einfache permanent zugewiesene Nummer zu erhalten.
  • Wenn dieses Adreßsystem für Sicherheitszwecke benutzt werden soll, dann müßte das Format der Hostnummer ausreichend erweitert werden, um eine genügende Größe des Adreßnummernfelds im System zu erstellen. Wenn dies geschieht, dann könnte die entsprechende Adresse im DNS-System (Domain Name System) zweckdienlich als permanente Kennung für einen bestimmten Computer benutzt werden und die Internet-Hostnummer wäre variabel, wodurch ein beweglicher Betriebszustand eines geschützten Computers erstellt würde. Mit dem gegenwärtig implementierten Protokoll IPv.6 (IPNG) wird dieses Problem gelöst, indem genügend Entropie bereitgestellt wird.
  • Ein weiterer Weg, dasselbe Ziel zu erreichen, besteht in der Verwendung der DNS-Adresse als eine Variable für Sicherheitszwecke. Auf diese Weise würde das herkömmliche Internet-DNS-Adreßsystem nicht beeinflußt werden und es wäre keine Formatänderung erforderlich. Der entsprechende Teil der DNS-Adresse des geschützten Computers würde zu einer Variablen werden, die mehr Zeichen als das Alphabet benutzt, mit einer sehr großen Anzahl von Variationen, wodurch ebenfalls eine genügende Entropiehöhe erzeugt würde.
  • Ein weiterer Weg zum Implementieren des gleichen Verfahrens besteht in der Nutzung des auf der geographischen Zone basierenden Systems. Während dessen Nutzung etwas dem DNS-System ähnelt, bietet es einige praktische Vorteile für Sicherheitsverwendung. Wenn ein Computer durch ein Sicherheitssystem geschützt ist, ist es natürlich immer von wesentlicher Bedeutung, die Kommunikationsredundanz der Internet-Kommunikation zu bewahren. Die Redundanz kann jedoch leiden, wenn nur eine begrenzte Anzahl der Router und Gateways über die gegenwärtige Cyberadresse des geschützten Computers informiert werden. Dieser Effekt könnte bei Mitgliedern eines bestimmten geschützten Netzes, das geographisch enorme Distanzen aufweist, von besonderer Bedeutung sein. Die notwendige Benachrichtigung einer großen Anzahl der Router und Gateways kann auch problematisch werden, nicht nur technisch, sondern auch da dadurch die Sicherheitshöhe verringert werden kann. In diesem Sinn bietet ein auf einer geographischen Zone basierendes System Vorteile, da bewirkt werden könnte, daß der variable Teil der Cyberadresse des Computers nur gewisse geographische Umgebungen umfaßt, während die anfängliche Wegeleitung des Informationspakets auf traditionelle Weise durchgeführt werden könnte. Nachdem das Paket in die allgemeine Nähe des adressierten Computers verlegt worden ist, würde es in den Bereich der „informierten" Router und Gateways gelangen. Durch dieses Schema würde der Benachrichtigungsvorgang der Router vereinfacht werden und die Sicherheit verbessert werden, indem die Anzahl der Teilnehmer mit „Wissensbedarf" begrenzt wird. Es ist wichtig, zu erkennen, daß, nachdem das Informationspaket durch den „allgemeinen" Teil der Cyberadresse in einer Cyber-Nähe des Adressaten angekommen ist, praktisch jedes beliebige, sogar private Adreßsystem für den Rest der Abgabe benutzt werden kann. Dadurch würde die Höhe der Grundentropie im System weiter gesteigert.
  • Während gewisse spezifische Adreßsysteme besprochen worden sind, besteht eine wichtige Qualität der vorliegenden Erfindung darin, daß sie mit praktisch jedem beliebigen Adreßsystem implementiert werden kann.
  • Firmen- und Organisations-Computernetze wie beispielsweise LAN, oder zumindest diejenigen in geschlossenen Konfigurationen, besitzen nicht soviel Anfälligkeit für Cyberattacken wie auf dem Internet basierende Netze. Selbst in diesen Fällen ist jedoch ihre Sicherheit gegen entfernten Zugriff von Belang. Dies ist besonders sichtbar, wenn ein Privatnetz (PN) Informationen von unterschiedlichen Graden von Vertraulichkeit enthält, wobei Zugriff auf die entsprechenden Parteien beschränkt ist. Anders gesagt kann ein Organisations-PN zusammen mit anderen allgemein zugänglichen Organisationsinformationen Informationen enthalten, die auf gewisse begrenzte Gruppen beschränkt sind. Durchsetzung dieser Beschränkungen erfordert ein Fernanschluß-Sicherheitssystem. Diese Sicherheitssysteme benutzen gewöhnlich ein auf einem Paßwort basierendes Schema einer Art oder einer anderen und möglicherweise eine Firewall. Sich auf Paßwörter zu verlassen kann jedoch möglicherweise nicht vollständig gerechtfertigt sein, da die Paßwörter verloren oder gestohlen werden können, wodurch einem böswilligen Insider mit niedriger Zugangsstufe eine ziemliche Chance von Zugriff auf Informationen gewährt wird, die nur für höhere Zugriffsstufen bestimmt sind. Weiterhin ist in einigen Fällen die Verwendung von Knackverfahren aus einer solchen Position nicht vollständig unsinnig. Mit einem solchen Vorkommnis können sowohl das Paßwort als auch die Firewall relativ leicht überwältigt werden. Dadurch würde ein LAN an einer von innerhalb des Netzes ausgelösten Cyberattacke gehindert werden.
  • Durch die vorliegende Erfindung wird solchen PCN ohne Verlaß auf die Paßworte ausreichende Sicherheit geboten und Zugang nur auf zutreffende Computer begrenzt werden. Dann würde die Aufgabe der gesamten Informationszugriffssicherheit praktisch auf die Steuerung des physikalischen Zugangs zu einem bestimmten Computer konzentriert sein, was gewöhnlich nicht so kompliziert ist.
  • Ähnlich den für auf dem Internet basierende Netze beschriebenen Systemen kann ein „geschlossenes" LAN wie auch ein auf dem Internet basierendes LAN durch Implementierung von periodischen Änderungen der Netzadressen der Mitglieder und Übermitteln dieser Änderungen zu den entsprechenden Teilnehmern geschützt werden. Auf diese Weise würden Computer mit der niedrigsten Zugangsstufe die geringste Adreßänderungsrate aufweisen. Die Adreßänderungsrate würde mit der Zugangsstufe ansteigen. Durch dieses System würde sichergestellt werden, daß alle PCN-Computer mit legitimem Zugang zu einem bestimmten Computer im PCN über seinen Standort informiert sein würden. Weiterhin wird dadurch sichergestellt, daß der gegenwärtige Standort eines Computers mit beschränkten Informationen den Teilnehmern ohne die legitime Zugangsgenehmigung unbekannt sein würde. Beispielsweise würde ein Computer eines Vorgesetzten in der Lage sein, auf den Computer seines Untergebenen zuzugreifen, aber nicht umgekehrt.
  • Ebenfalls ähnlich den für die PCN beschriebenen Systemen würde ein PCN-Computer ein „Adreßbuch" enthalten, wo der Benutzer nur die permanente Seite davon sehen und benutzen kann, wobei die Kennungen aller Computer für ihn zugänglich sind, während die eigentlichen Kommunikationsfunktionen vom Computer unter Verwendung der variablen Seite des „Adreßbuchs" durchgeführt werden, die periodisch von der PCN-Verwaltung aktualisiert wird. Um die Sicherheit weiter zu verbessern, kann zusätzlich zu der Computeradreßsystemverwaltung der PCN-Verwalter ein automatisches Sicherheitsüberwachungssystem implementieren, wo alle falsch adressierten Anmeldedeversuche registriert und für Sicherheitszwecke analysiert werden würden.
  • So würde das Verfahren und System der vorliegenden Erfindung einen zuverlässigen Schutz gegen unberechtigten Fernzugriff auf Informationen von innerhalb eines PN ermöglichen und dabei ein großes Maß an Flexibilität bereitstellen, wo der gewährte Zugang leicht und schnell revidiert werden kann.
  • Ein sehr verbessertes Aufschalteschutzsystem und -verfahren kann durch Kombinieren der Betriebssysteme der 16 erreicht werden. Nun würde ein ankommendes Datenpaket zuerst durch einen Gateway-Router oder ähnliche Vorrichtung auf eine richtige Zieladresse überprüft werden. Wenn die Zieladresse richtig ist, wird das Paket zur Weiterverarbeitung weitergeleitet. Wenn die Zieladresse falsch ist, wird der Alarm ausgelöst und das Paket zur Sicherheitsanalyse zur Netzsicherheitsverwaltungseinheit weitergegeben.
  • Das Paket mit der richtigen Zieladresse wird dann auf eine richtige Ursprungsadresse überprüft. Wenn die Ursprungsadresse richtig ist, wird das Paket zum Empfangscomputer weitergegeben. Wenn die Ursprungsadresse falsch ist, wird der Alarm ausgelöst und das Paket wird zur Sicherheitsanalyse zur Netzsicherheitsverwaltungseinheit weitergegeben.
  • Dann wird das Paket mit einer richtigen Zieladresse und einer richtigen Ursprungsadresse auf eine richtige zulässige Anschlußkoordinate wie beispielsweise Anschlußnummer überprüft. Wenn die Anschlußkoordinate richtig ist, wird das Paket zur Weiterverarbeitung weitergegeben. Wenn die Anschlußkoordinate falsch ist, wird der Alarm ausgelöst und das Paket zur Sicherheitsanalyse zur Netzsicherheitsverwaltungseinheit weitergegeben.
  • Abschließend wird das Paket mit einer richtigen Ziel- und Ursprungsadresse und einem richtigen Anschlußbezeichner durch Anwendung von Authentifizierungsprüfung wie beispielsweise einer Prüfsumme auf Datenintegrität überprüft. Wenn die Authentifizierungsprüfung bestanden ist, wird das Paket zum adressierten Computer weitergegeben. Wenn die Authentifizierungsprüfung nicht bestanden ist, wird der Alarm ausgelöst und das Paket wird zur Sicherheitsanalyse zur Netzsicherheitsverwaltungseinheit weitergegeben.
  • Von der Sicherheitsverwaltungseinheit werden alle Alarme analysiert und Entscheidungen über notwendige ungeplante Adressenänderungen für entsprechende Netzserver getroffen. Auch kann sie Vollzugsbehörden benachrichtigen und die entsprechenden Daten an sie weitergeben.
  • 7 zeigt ein allgemein bei 52 angezeigtes verbessertes Computer-Aufschalteschutzsystem für einen oder mehrere Netzcomputer 54. Ein Gateway-Router oder eine Brücke 58 enthält ein Zieladressenfilter 60, das Datenpakete empfängt, die über einen an einen parallelen Router 72 angekoppelten Lastverteilungsschalter 62 eingehen. In einem nicht abfragbaren Netzadreßbuch 64 sind gegenwärtige Netzserveradressen für das Zieladressenfilter 60 gespeichert und das Zieladressenfilter überprüft jedes Datenpaket auf Vorhandensein einer legitimen Zieladresse.
  • Pakete mit legitimen Zieladressen werden an ein Ursprungsadressenfilter 66 weitergeleitet, während Pakete mit illegitimen Zieladressen an einen Sicherheitsanalyseteil 68 in einer Verwaltungseinheit 70 gesendet werden.
  • Wenn eine voreingestellte Verkehrsbelastungshöhe erreicht wird, was anzeigt, daß ein Überflutungsversuch durchgeführt wird, veranlaßt das Zieladressenfilter, daß der Lastverteilungsschalter 62 den Verkehr auf einen oder mehrere parallele Gateway-Router oder Brücken verteilt, die zusammen legitimen Verkehr weiterleiten und den Überflutungsverkehr abwerfen. Bei einer alternativen Anordnung würde die Lastverteilungsfunktion ungeachtet der Last unter Verwendung aller parallelen Gateways die gesamte Zeit durchgeführt werden. In einer Ursprungsadressentabelle 74 sind Bezeichner des zugänglichen Servers und entsprechende gegenwärtige Adressen für alle Systemserver gespeichert, die legitimen Zugang zu dem oder den Computern 54 haben können. Auf diese Adressen wird durch das Ursprungsadressenfilter zugegriffen, das bestimmt, ob ein ankommendes Datenpaket mit der richtigen Zieladresse von einer Quelle mit einer legitimen, in der Ursprungsadressentabelle 74 eingetragenen Ursprungsadresse stammt. Wenn bestimmt wird, daß die Ursprungsadresse legitim ist, wird das Datenpaket an ein Anschlußadressenfilter 76 weitergegeben. Datenpakte mit illegitimer Ursprungsadresse werden zum Sicherheitsanalyseteil 68 geleitet. Als Alternative kann Ursprungsadressenüberprüfung zuerst am Gateway-Router oder der Brücke 58 vor dem Anschlußfilter 76 durchgeführt werden.
  • Eine Anschlußschutztabelle 78 enthält die gegenwärtigen Anschlußzuweisungen für den oder die Computer 54 und auf diese Anschlußzuweisungen wird durch das Anschlußbezeichnerfilter 76 zugegriffen, was dann bestimmt, ob ein ankommendes Datenpaket eine legitime Anschhußbezeichnung enthält. Wenn ja, dann wird es an einen Umsetzer der eigentlichen Adresse 80 weitergegeben, der das Datenpaket zu dem oder den bestimmten Computer oder Computern 54 weiterleitet, die das Paket empfangen sollen. Wenn vom Anschlußadressenfilter 76 eine illegitime Anschlußadresse vorgefunden wird, wird das Datenpaket zum Sicherheitsanalyseteil 68 übertragen.
  • Die Verwaltungseinheit 70 unterliegt der Steuerung eines Sicherheitsverwalters 82. In einer Netzmitgliedschaftshauptdatei 84 ist eine Hauptliste von Bezeichnern legitimer Server zusammen mit jeweiligen berechtigten Zugangslisten und entsprechenden gegenwärtigen Cyberkoordinaten gespeichert. Der Sicherheitsverwalter kann die Hauptliste durch Zufügen oder Entfernen von berechtigtem Zugriff für jeden geschützen Computer aktualisieren. Eine Zugangsberechtigungseinheit 86 verteilt die aktualisierten entsprechenden Teile der Hauptlisten an die Adreßbücher der jeweiligen berechtigten Server.
  • Von einem Zufallszeichengenerator 88 werden Zufallszeichen zur Verwendung beim Bilden von gegenwärtigen Anschlußbezeichnern erzeugt und diese Zeichen für einen Anschlußbezeichnerbildungsblock 90 bereitgestellt. von diesem Anschlußbezeichnerbildungsblock wird die nächste Menge von gegenwärtigen Anschlußbezeichnern des Netzes in Verbindung mit der Hauptliste gebildet und diese werden zur Übertragung durch einen Anschlußtabellenblock 92 aufgenommen. Als Alternative können Anschlußbezeichner statt in der Verwaltungseinheit in der Computereinheit gebildet werden.
  • Auf ähnliche Weise erzeugt ein Zufallszeichengenerator 94 Zufallszeichen zur Verwendung beim Bilden gegenwärtiger Serveradressen und stellt diese Zeichen für einen Serveradreßbildungsblock 96 bereit. Dieser Serveradreßbildungsblock bildet die nächste Menge gegenwärtiger Netzserveradressen und von einer Adreßtabelle 98 werden auf der Hauptliste bezeichneten Servern Adressen zugewiesen.
  • Von einem Koordinator/Dispatcher-Block 100 wird die geplante Verlegung von Netzservern zu ihren nächsten gegenwärtigen Adressen koordiniert, die nächste Menge von Netzadressen für entsprechende Server und Router bereitgestellt und ungeplante Änderungen von Adressen auf Befehl von der Sicherheitsanalyseeinheit 68 koordiniert. Der Koordinator/Dispatcher-Block 100 kann mit Codier-/Decodierblock 102 verbunden sein, der empfangene Adreßbuchaktualisierungen vom Eingang 104 decodiert und neue, an berechtigte Server im System über den Ausgang 106 zu sendende Anschluß- und Serverzieladressen codiert. Wenn Codierung neuer Cyberkoordinaten benutzt wird, weist jeder berechtigte Computer im Netz eine ähnliche Codier-/Decodiereinheit auf.
  • Von der Sicherheitsanalyseeinheit 68 werden empfangene illegitime Datenpakete analysiert und Angriffsversuche erkannt. Wenn nötig, weist die Sicherheitsanalyseeinheit den Koordinator/Dispatcher-Block 100 an, eine ungeplante Adreßänderung bereitzustellen und leitet die Angriffsdatenpakete an eine Untersuchungseinheit 108 um. Diese Untersuchungseinheit simuliert den Zielserver, indem sie einen Dialog mit dem Angreifer unterhält, damit Sicherheitspersonal eingreifen und den Fortschritt des Angreifers verfolgen kann, während es den Ursprung der Attacke zurückverfolgt.
  • Bereitstellung von Sicherheit gegen Eindringen für elektronische Geschäftsverkehrssysteme bietet ein einmaliges Problem, da eine wichtige Eigenschaft eines elektronischen Geschäftsverkehrssystems darin besteht, daß seine Adresse öffentlich bekannt sein muß. Dieser Aspekt widerspricht dem Erfordernis, daß die Adresse nur berechtigten Teilnehmern bekannt sein soll. Die einzigen für die allgemeine Öffentlichkeit bestimmten Informationen beziehen sich jedoch gewöhnlich auf einen Firmenkatalog und ähnliches Material. Die übrigen Informationen auf einem Händlernetz werden gewöhnlich als privat erachtet und sollten daher geschützt werden. Bei Verwendung dieser Unterscheidung sollte der Standort des elektronischen Geschäftsverkehrs eines Händlers in zwei Teile: den öffentlichen und den privaten aufgespalten sein. Der öffentliche Teil wird auf einem öffentlichen „Katalog-„ Server mit fester IP-Adresse aufgesetzt und sollte nur für die allgemeine Öffentlichkeit bestimmte Informationen enthalten. Die übrigen Firmeninformationen sollten in ein getrenntes Netz plaziert und wie in bezug auf 17 beschrieben geschützt werden.
  • Wenn ein Kunde seinen Einkauf abgeschlossen und Kaufentscheidungen betreffs der Bedingungen und des Preises des Verkaufs bezüglich der Transaktion getroffen hat, werden Informationen in ein getrenntes Register gelegt. Dieses Register wird periodisch von einem Server abgesucht, der Finanztransaktionen behandelt („Finanz-„ Server), der zum geschützten Firmennetz gehört. In der Tat kennt der „Katalog-„ Server nicht die gegenwärtige Adresse des Finanztransaktionsservers. Selbst wenn ein Eindringling in den „Katalog-„ Server eindringt, ist daher der Schaden auf den Inhalt des Katalogs begrenzt und der Eindringling kann keinen Eintritt in das geschützte Firmennetz erlangen.
  • Nachdem der Finanz-Server anhängige Transkationsdaten empfangen hat, tritt er mit dem Kunden in Verbindung und bietet einen zeitweiligen Kurzzeitzugang zum Abschließen der Transaktion an. Anders gesagt wird dem Kunden Zugang nur lange genug gewährt, um entsprechende Finanzdaten wie beispielsweise eine Kreditkartennummer zu übermitteln und eine Transaktionsbestätigung zu empfangen, zu welchem Zeitpunkt die Sitzung abgeschlossen und der Kunde zum Katalog-Server zurückgeleitet und der Finanz-Server zu einer neuen Cyberadresse verlegt wird, wodurch erlangte Kenntnis seines Standorts während der Transkation nicht mehr aktuell ist.
  • Kommunikationswählsysteme können hinsichtlich der Anfälligkeit ihrer Infraktrukturkanäle für Übertragungsabfang durch unverwandte Parteien in zwei breite Kategorien getrennt werden: leicht abhörbar, wie beispielsweise Mobilfunk- und Satellitenfunksysteme, und relativ geschützt, wie beispielsweise herkömmliche, auf Festleitung basierende Telefonsysteme. Relativ geschützte Systeme wie beispielsweise herkömmliche auf Festleitung basierende Telefonsysteme können auf folgende Weise geschützt werden. Von einer Fernsprechgesellschaft einem auf Telefon basierenden privaten Wählnetz zugewiesene Telefonnummern dienen als Computeradressen für die Mitglieder. Wie schon beschrieben kann ein solches Privatnetz durch Implementieren von periodischen Änderungen der Adressen, d.h. den Mitgliedern zugewiesenen Telefonnummern zur Übertragung durch das Netz zusammen mit anderen Bezeichnern wie beispielsweise Zugangscodes, und Übermitteln der geänderten Nummern zu den entsprechenden Teilnehmern, gegen unberechtigten Fernzugang geschützt werden.
  • Während der Anschluß der „letzten Meile" für die herkömmlichen Festleitungs-Telefonwählsysteme konstant bleibt, wird die zugewiesene Telefonnummer periodisch geändert, wodurch der entsprechende Computer für einen möglichen Angreifer zu einem Bewegziel wird. In diesem Fall dient die Fernsprechgesellschaft als Sicherheitssystemverwalter. Sie weist die gegenwärtigen variablen Telefonnummern den Mitgliedern eines geschützten Privatnetzes zu, benachrichtigt alle zutreffenden Teilnehmer und ändert die gegenwärtigen Nummern der Mitglieder in eine neue Menge zu einer entsprechenden Zeit. Die Vermittlungen der Fernsprechgesellschaft dienen auf natürliche Weise in der Rolle von Routern und können daher programmiert werden, um die System überwachung durchzuführen, mögliche Aufschalteangriffe zu erkennen und entsprechende Alarme auszugeben.
  • Durch periodisches Ändern der gegenwärtig zugewiesenen Nummern wird Systementropie für einen möglichen Eindringling geschaffen, wodurch unberechtigter Zugang schwierig wird. Es ist klar, daß die Implementierung dieses Sicherheitssystems von der Verfügbarkeit genügender freier Nummern an einer bestimmten Einrichtung der Fernsprechgesellschaft abhängig ist. Weiterhin ist es aus verschiedenen praktischen Gründen ratsam, eine eben freigegebene Nummer für eine gewisse Zeitdauer unzugewiesen zu halten. All dies kann zusätzliche Nummernkapazität an der Einrichtung der Fernsprechgesellschaft erfordern, damit sie für eine größere Anzahl von persönlichen Netzen Fernzugangssicherheit bieten und dabei eine komfortable Höhe an Systementropie bewahren kann.
  • Wenn die erwähnte zusätzliche Kapazität nicht zur Verfügung steht oder ein noch höherer Entropiegrad gewünscht wird, könnte sie künstlich durch Zufügen eines Zugangscodes zu der zugewiesenen Nummer erhöht werden. Das würde die Zufügung einer virtuellen Kapazität zum System bedeuten und eine Kombination der Telefonnummer und des Zugangscodes zu einem Äquivalent der Telefonadresse eines Computers machen. Im Effekt würde dadurch eine gewählte Nummer größer als das herkömmliche Format werden. Durch dieses Verfahren wird eine virtuelle Nummernkapazität praktisch unbegrenzt und da das Verfahren von Computern ohne menschliche Beteiligung gehandhabt wird, sollte es keinen zusätzlichen Aufwand für einen Benutzer bedeuten. Mit oder ohne virtuelle Nummernkapazität erlaubt die Nutzung dieses Verfahrens eine leichte Identifizierung der Aufschalteversuche durch ihre falsche Nummer und/oder ihren falschen Code. Zur gleichen Zeit könnte die Implementierung dieses Systems einige Änderungen der Wählprotokolle wie auch zusätzliche Fähigkeiten der Telefonvermittlungseinrichtung erfordern.
  • Die Entropiedichte kann durch Begrenzen der Anzahl zulässiger Verbindungsversuche erhöht werden. Ähnlich wie bei dem schon beschriebenen Verfahren kann bewirkt werden, daß die Vermittlungseinrichtung der Fernsprechgesellschaft eine Rolle einer äußeren Sicherheitsbarriere für das Privatnetz durchführt. In diesem Fall sollten falsch adressierte Verbindungsversuche analysiert werden, um mögliches „Sweeping" zu erkennen. Wenn ein solcher Versuch erkannt wird, sollte die Rückverfolgung des Versuchs und Benachrichtigung der zutreffenden Fernsprechgesellschaft selbst mit der bestehenden Technik kein Problem darstellen.
  • Die einfachste Form von Privatnetzschutz unter dem vorgeschlagenen Verfahren und System ist, wenn zu einer vorbestimmten Zeit alle Mitglieder eines bestimmten Netzes auf das neue „Telefonbuch" des Netzes umgeschaltet werden. In manchen Fällen könnte jedoch die erforderliche Sicherheitshöhe für einige Mitglieder des gleichen Privatnetzes bedeutend unterschiedlich sein oder sie können unterschiedlichen Höhen von Sicherheitsrisiko ausgesetzt sein. In diesen Fällen könnte die Häufigkeit der Telefonnummernänderung einzeln eingestellt werden, mit entsprechender Benachrichtigung der anderen Mitglieder des Netzes. Durch diese Differenzierung kann die Fernsprechgesellschaft differenzierte Stufen an Sicherheitsschutz für ihre Kunden selbst innerhalb des gleichen Privatnetzes bieten.
  • Auch kann eine Fernsprechgesellschaft ihren Kunden geschützte Sprachprivatnetze bieten, die eine höhere Stufe an Geheimhaltungsschutz als die gegenwärtig benutzten „Geheimnummern" bieten würden. Bei dieser Konfiguration werden die Telefonapparate der Kunden mit einer rechnergesteuerten Wählvorrichtung mit fern aktualisierbarem Speicher ausgerüstet, die jedem Mitglied eines geschützten Sprachnetzes erlauben würden, das „Telefonbuch" des Netzes zu enthalten und dieses Buch wird periodisch von der Fernsprechgesellschaft aktualisiert.
  • Die Fernsprechgesellschaft würde die zugewiesenen Telefonnummern eines geschützten Netzes periodisch auf eine neue Menge gegenwärtiger Nummern ändern. Diese neuen Nummern würden den Mitgliedern eines geschützten Sprachnetzes durch Aktualisieren ihrer rechnergesteuerten Wählvorrichtungen übermittelt werden.
  • Als Derivat des beschriebenen Systems kann auch ein aktualisierbares elektronisches Telefonverzeichnissystem implementiert werden. In diesem Fall würde der Telefonapparat eines Kundes eine rechnergesteuerte Wählvorrichtung mit elektronischem Speicher enthalten, der ein herkömmliches Telefonverzeichnis und auch ein persönliches Verzeichnis enthält. Dieses Telefonverzeichnis kann periodisch von der Fernsprechgesellschaft on-line aktualisiert werden.
  • Leicht abhörbare Systeme wie beispielsweise Mobilfunk- und Satellitenfunksysteme können zusätzlich zu dem oben beschriebenen Schutz gegen „Cloning" geschützt werden, wenn ihre Signale abgefangen und die „Identität" des Telefons geclont werden kann, um unberechtigten Zugang und Benutzung des Systems durch unberechtigte Teilnehmer zu erlangen.
  • Mobiltelefon- und Mobilkommunikationssysteme werden auf ähnliche Weise wie Netze oder auf Festleitung basierende Telefonsysteme geschützt. In diesem Fall ist das neuartige und verbesserte verfahren des Änderns von Cyberkoordinaten zum zuverlässigen Schützen von Mobiltelefonsystemen gegen unberechtigte Verwendung ausgelegt, die gewöhnlich als Cloning bekannt ist, und auch um das Abhören von drahtlosen Kommunikationen schwieriger als gegenwärtig zu machen. Bei diesem System wird die statische Mobiltelefonnumer oder andere ähnliche Kennung nicht für die Identifikation und Authorisierung benutzt. Statt dessen wird eine Menge privater Kennungen erzeugt, die nur der Fernsprechgesellschaft und den Mobiltelefonverbindungen steuernden Basisstationen bekannt sind und dazu benutzt werden, die Mobiltelefon- und Basistationsverzeichnisse fortlaufend mit gegenwärtigen gültigen Kennungen zu aktualisieren. Durch diesen Ansatz wird ein enorm besserer Schutz gegenüber gegenwärtigen Verfahren geboten, indem erforderlich ist, daß jede Verbindung abgefangen wird, um sich ändernde Kennungen zu verfolgen und sich über diese auf dem Laufenden zu halten. Sofortige Erkennung unberechtigter Versuche zur Verwendung eines geclonten Telefons wird realisiert und die Vollzugsbehörde kann echtzeitnahe für entsprechende Handlung benachrichtigt werden.
  • Durch die oben beschriebenen Verfahren und Systeme können andere elektronische Vorrichtungen geschützt werden, die drahtlose Kommunikation benutzen.
  • Abschließend enthalten Computer häufig Datenbänke mit verschiedenen Informationen. Diese Informationen in einer Datenbank weisen häufig weitreichende Empfindlichkeitsstufen oder Handelswerte auf. Dadurch entsteht eine Situation, wo große Computer mehreren Benutzern mit enorm unterschiedlichen Zugangsstufen dienen. Weiterhin erfordern selbst innerhalb derselben Zugangsstufe Sicherheitsbetrachtungen die Aufteilung von Informationen, wo jeder Benutzer Zugang zu nur einem kleinen Teil der Datenbank haben muß.
  • Mit den bestehenden Systemen wird versucht, diese Situation durch Verwenden von Paßworten und internen Firewalls zu lösen. Wie schon erwähnt, reichen auf Paßwort basierende Systeme und Firewalls nicht gegen rechnergestützte Attacken aus. Das bedeutet praktisch, daß ein legitimer Benutzer mit niedriger Zugangsstufe, der Hackermethoden von seiner Station aus benutzt, möglicherweise selbst in die geheimsten Bereiche der Datenbank einbrechen kann.
  • Dieses Problem kann durch Verwenden des Verfahrens der vorliegenden Erfindung gelöst werden. Eine Information wie beispielsweise eine Datei oder ein Verzeichnis in einem Computer besteht im Cyberraum. Dementsprechend hat sie ihre gewöhnlich als ein Verzeichnis- und/oder Dateiname ausgedrückte Cyberadresse, die ihre Position in einem bestimmten Computerdateisystem definiert. Dadurch werden im Effekt die Cyberkoordinaten dieser Information in einem Computer dargestellt.
  • Wie schon beschrieben kann Informationssicherheit bereitgestellt werden, wenn ein Systemverwalter die Verzeichnisse und/oder Dateinamen im System, d.h. Cyberadressen der Information, periodisch ändert und nur zutreffende Teilnehmer über die gegenwärtigen Dateinamen informiert. Durch dieses Verfahren würde sichergestellt werden, daß jeder Benutzercomputer nur die Orte von Dateien kennt, auf die er legitimen Zugriff besitzt. Weiterhin wird ein Benutzer nicht einmal über die Existenz der Dateien Bescheid wissen, auf die er keinen Zugriff hat.
  • Um das System weiter zu verstärken und benutzerfreundlich zu machen, würde der Benutzer ein persönliches Verzeichnis ähnlich einem Adreßbuch besitzen, wo nur permanente Verzeichnis- und/oder Dateinamen für ihn zugänglich sind, während die variable Seite des „Adreßbuchs" nur dem Systemmanager zugänglich sein und periodisch aktualisiert werden würde. Bei dieser Anordnung können veränderliche Verzeichnis- und/oder Dateinamen jede erforderliche Höhe an Entropie enthalten, wodurch die Widerstandsfähigkeit gegen Attacken von innerhalb des Systems weiter gesteigert wird. Zusätzlich kann ein interner „Router" oder „Filter" auch Informationssicherheitsüberwachungsfunktionen durchführen, Aufschalteversuche erkennen und entsprechende Alarme in Echtzeit ausgeben.
  • Es ist klar, daß, um Informationssicherheit in einer solchen Anordnung sicherzustellen, jede computerweite Suche nach Schlüsselworten oder Subjekt deaktiviert und durch eine Suche in „Adreßbüchern" bestimmter Klienten ersetzt werden sollte.
  • Die oben beschriebenen Systeme und Verfahren erlauben die Schaffung eines durchführbaren Infrastrukturschutzsystems wie beispielsweise eines nationalen oder internationalen Infrastrukturschutzsystems. Wenn sie an bestimmten Punkten erkannt werden, werden Cyberattacken zu einem derartigen System zur weiteren Analyse und eine mögliche Handlung durch Vollzugsbehörden verwiesen.

Claims (18)

  1. Verfahren zum Schützen einer mit einem Kommunikationssystem (10) verbundenen Kommunikationsvorrichtung (14) gegen ein unberechtigtes Eindringen, mit folgenden Schritten: Bereitstellen von mindestens einer variablen Kennung für die Kommunikationsvorrichtung (14), Bereitstellen der mindestens einen variablen Kennung zur Verwendung beim Zugreifen auf die Kommunikationsvorrichtung (14) für Instanzen, die zum Zugreifen auf die Kommunikationsvorrichtung (14) berechtigt sind, wobei die variable Kennung für ein Benutzeradreßbuch (22) bereitgestellt und mit einer permanenten Kennung ausgestattet ist, wobei einem Benutzer die permanente Kennung aber nicht die variable Kennung zur Verfügung steht, Erfassen der Gegenwart oder Abwesenheit der variablen Kennung vor Gewähren von Zugang zu der Kommunikationsvorrichtung (14), Bereitstellen von Zugang zur Kommunikationsvorrichtung (14), wenn die Verwendung der mindestens einen richtigen variablen Kennung erfaßt wird, und Verweigern von Zugang zu der Kommunikationsvorrichtung (14), wenn die Abwesenheit der richtigen mindestens einen variablen Kennung während eines Versuchs zum Zugreifen auf die Kommunikationsvorrichtung (14) erfaßt wird, periodisches Bereitstellen von mindestens einer neuen variablen Kennung für die Kommunikationsvorrichtung (14) und Bereitstellen von mindestens einer neuen variablen Kennung für zum Zugreifen auf die Kommunikationsvorrichtung (14) berechtigte Instanzen, wobei diese neue variable Kennung für das Benutzeradreßbuch (22) bereitgestellt und mit der permanenten Kennung ausgestattet wird, wobei dem Benutzer die permanente Kennung aber nicht die neue variable Kennung zur Verfügung gestellt wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß das Verfahren folgende Schritte umfaßt: Bereitstellen von einer Mehrzahl getrennter variabler Kennungen für die Kommunikationsvorrichtung (14), Erfassen der Gegenwart oder der Abwesenheit aller der Mehrzahl von variablen Kennungen vor Gewähren von Zugang zu der Kommunikationsvorrichtung (14), Bereitstellen von Zugang zu der Kommunikationsvorrichtung (14), wenn die Verwendung aller dieser Kennungen erfaßt wird, und Verweigern von Zugang zu der Kommunikationsvorrichtung (14) und Bereitstellen einer neuen Mehrzahl von variablen Kennungen zum Ersetzen der vorhergehenden Mehrzahl von variablen Kennungen für die Kommunikationsvorrichtung (14), wenn die Abwesenheit einer beliebigen der richtigen Kennungen erfaßt wird.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, daß das Verfahren das periodische Ändern der Mehrzahl getrennter variabler Kennungen und das Bereitstellen der geänderten variablen Kennungen für die für den Zugang zur Kommunikationsvorrichtung (14) berechtigten Instanzen umfaßt.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß das Verfahren folgendes umfaßt: Bereitstellen von mindestens einer neuen variablen Kennung für die Kommunikationsvorrichtung (14) und Bereitstellen der mindestens einen neuen variablen Kennung für für den Zugang zu der Kommunikationsvorrichtung (14) berechtigte Instanzen, wenn die Abwesenheit der richtigen mindestens einen variablen Kennung während eines Versuchs zum Zugreifen auf die Kommunikationsvorrichtung (14) erfaßt wird.
  5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß das Verfahren folgendes umfaßt: Zulassen einer vorbestimmten Anzahl von Versuchen zum Zugreifen auf die Kommunikationsvorrichtung (14) mit einer richtigen mindestens einen variablen Kennung nach Erfassung der Abwesenheit der richtigen mindestens einen variablen Kennung vor der Bereitstellung von mindestens einer neuen variablen Kennung für die Kommunikationsvorrichtung (14), und Bereitstellen von Zugang zu der Kommunikationsvorrichtung (14), wenn die richtige mindestens eine variable Kennung während der vorbestimmten Anzahl von Versuchen zum Zugreifen erfaßt wird.
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß das Kommunikationssystem (10) ein Telefonsystem und die Kommunikationsvorrichtung (14) ein Telefon ist.
  7. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß das Kommunikationssystem (10) ein Computernetz ist, wobei die zum Zugreifen auf die Kommunikationsvorrichtung (14) berechtigten Instanzen berechtigte Computer (12) mit Zugang zu dem Computernetz sind, wobei die Kommunikationsvorrichtung (14) mindestens einen Hostcomputer mit Zugang zum Computernetz umfaßt.
  8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, daß das Verfahren das Bereitstellen für die berechtigten Computer (12) einer unveränderlichen zugänglichen Adresse für den Hostcomputer als permanente Kennung umfaßt, die von dem berechtigten Computer (12) zum Aktivieren und Übertragen der mindestens einen variablen Kennung für den Hostcomputer benutzt wird, wenn der berechtigte Computer (12) Zugriff auf den Hostcomputer einleitet.
  9. Verfahren nach Anspruch 7 oder 8, dadurch gekennzeichnet, daß das Verfahren folgende Schritte umfaßt: Bereitstellen einer berechtigten Computerkennung für jeden berechtigten Computer (12), Bereitstellen einer Zielkennung für den Hostcomputer, Veranlassen, daß jeder berechtigte Computer (12) auf den Hostcomputer mit mindestens einer Hostcomputerzielkennung und der berechtigten Computerkennung zugreift, Erfassen der Gegenwart oder Abwesenheit von sowohl der Hostcomputerzielkennung als auch einer berechtigten Computerkennung, vor Gewähren von Zugang zu dem Hostcomputer, Bereitstellen von Zugang zu dem Hostcomputer, wenn die Verwendung von sowohl einer richtigen Hostcomputerzielkennung als auch einer berechtigten Computerkennung erfaßt wird, und Verweigern von Zugang zu dem Hostcomputer und Bereitstellen einer neuen Hostcomputerzielkennung für den Hostcomputer, wenn die Abwesenheit von entweder einer richtigen Hostcomputerzielkennung oder einer richtigen berechtigten Computerkennung erfaßt wird.
  10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, daß das Verfahren folgende Schritte umfaßt: Zulassen einer vorbestimmten Anzahl von Versuchen zum Zugreifen auf den Hostcomputer mit sowohl einer richtigen Hostcomputerzielkennung als auch einer berechtigten Computerkennung nach Erfassung der Abwesenheit einer richtigen Hostcomputerzielkennung oder einer berechtigten Computerkennung vor Bereitstellung einer neuen Hostcomputerzielkennung für den Hostcomputer, und Bereitstellen von Zugang zu dem Hostcomputer, wenn das richtige Hostcomputerziel und die berechtigte Computerkennung während der vorbestimmten Anzahl von Versuchen zum Zugreifen auf den Hostcomputer erfaßt werden, wobei das verfahren vorzugsweise weiterhin das Speichern der Hostcomputerzielkennung als unzugängliche Kennung in den berechtigten Computern und das Bereitstellen einer unveränderlichen zugänglichen Hostcomputeradresse für die berechtigten Computer umfaßt, die die Hostcomputerzielkennung aktiviert und überträgt, wenn ein berechtigter Computer (12) Zugriff auf den Hostcomputer einleitet.
  11. Verfahren nach einem der Ansprüche 7 bis 10, dadurch gekennzeichnet, daß das Verfahren folgende Schritte umfaßt: Bereitstellen einer Hostcomputerzielkennung und einer Hostcomputeranschlußkennung für den Hostcomputer, Veranlassen, daß jeder berechtigte Computer (12) auf den Hostcomputer mit mindestens der Hostcomputerzielkennung und der Hostcomputeranschlußkennung zugreift, Erfassen der Gegenwart oder Abwesenheit sowohl der Hostcomputerzielkennung als auch der Hostcomputeranschlußkennung vor Gewähren von Zugang zu dem Hostcomputer, Bereitstellen von Zugang zum Hostcomputer, wenn die Verwendung von sowohl einer richtigen Hostcomputerzielkennung als auch einer richtigen Hostcomputeranschlußkennung erfaßt werden, und Verweigern von Zugang zu dem Hostcomputer und Bereitstellen einer neuen Zielkennung und Anschlußkennung für den Hostcomputer, wenn die Abwesenheit von einem oder beiden einer richtigen Hostcomputerziel- oder -anschlußkennung erfaßt wird.
  12. Verfahren nach Anspruch 11, dadurch gekennzeichnet, daß das Verfahren folgendes umfaßt: Zulassen einer vorbestimmten Anzahl von Versuchen zum Zugreifen auf den Hostcomputer mit sowohl einer richtigen Hostcomputerziel- als auch -anschlußkennung, wenn eine oder beide einer falschen Hostcomputerziel- oder -anschlußkennung vor der Bereitstellung einer neuen Ziel- und Anschlußkennung für den Hostcomputer erfaßt wird, und Bereitstellen von Zugang zum Hostcomputer, wenn während der vorbestimmten Anzahl von Versuchen zum Zugreifen auf den Hostcomputer sowohl richtige Hostcomputerziel- als auch -anschlußkennungen erfaßt werden, wobei das Verfahren vorzugsweise das Speichern der Hostcomputerziel- und -anschlußkennungen als unzugängliche Kennungen in den berechtigten Computern (12) und Bereitstellen einer unveränderlichen zugänglichen Hostcomputeradresse für die berechtigten Computer (12) umfaßt, die die Hostcomputerziel- und -anschlußkennungen aktiviert und überträgt, wenn ein berechtigter Computer (12) Zugriff auf den Hostcomputer einleitet.
  13. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß ein Hostcomputer mit dem Computerkommunikationssystem (10) verbunden ist, das einen oder mehrere berechtigte Computer (12) als Instanzen mit Zugang zu dem Computerkommunikationssystem (10) umfaßt, die zum Zugreifen auf den Hostcomputer berechtigt sind, wobei das Verfahren folgende Schritte umfaßt: Bereitstellen einer berechtigten Computerkennzeichnungsadresse für jeden berechtigten Computer (12), Bereitstellen einer Hostcomputerzielkennung und einer Hostcomputeranschlußkennung als variable Kennungen für den Hostcomputer, Bereitstellen einer Hostcomputerzielkennung und der Hostcomputeranschlußkennung für die berechtigten Kennungen für den Bereitstellen der Hostcomputerzielkennung und der Computer (12), Veranlassen, daß jeder berechtigte Computer (12) auf den Hostcomputer mit den Hostcomputerziel- und -anschlußkennungen und der den berechtigten Computer kennzeichnenden Adresse zugreift, Erfassen der Gegenwart oder Abwesenheit der Hostcomputerziel- und Anschlußkennungen und der den berechtigten Computer kennzeichnenden Adresse vor Gewähren von Zugang zu dem Hostcomputer, Bereitstellen von Zugang zu dem Hostcomputer, wenn die Verwendung richtiger Computerziel- und -anschlußkennungen und einer richtigen einen berechtigten Computer kennzeichnenden Adresse erfaßt wird, und Verweigern des sofortigen Zugangs zu dem Hostcomputer, wenn die Abwesenheit irgendeines oder, mehrerer der richtigen Hostcomputerziel- und -anschlußkennungen oder der den berechtigten Computer kennzeichnenden Adresse erfaßt wird.
  14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, daß das Verfahren das periodische Ändern der Hostcomputerziel- und -anschlußkennungen und Bereitstellen dieser Änderungen für die berechtigten Computer (12) umfaßt, wobei das Verfahren vorzugsweise das Speichern der Hostcomputerziel- und -anschlußkennungen als unzugängliche variable Kennungen in dem berechtigten Computer (12) und Bereitstellen einer unveränderlichen zugänglichen Hostcomputeradresse als permanente Kennung für die berechtigten Computer (12) umfaßt, die die Hostcomputerziel- und -anschlußkennungen aktiviert und überträgt, wenn ein berechtigter Computer (12) Zugriff auf den Hostcomputer einleitet.
  15. Verfahren nach Anspruch 13 oder 14, dadurch gekennzeichnet, daß das Verfahren das Zulassen einer vorbestimmten Anzahl von Versuchen zum Zugreifen auf den Hostcomputer mit richtigen Hostcomputerziel- und -anschlußkennungen und einer richtigen den berechtigten Computer kennzeichnenden Adresse, nach dem die Abwesenheit von mindestens einer richtigen der Kennungen und den berechtigten Computer kennzeichnenden Adresse vom Hostcomputer erfaßt wird, und das Bereitstellen von Zugriff auf den Hostcomputer, wenn die richtigen Hostcomputerziel- und -anschlußkennungen und eine richtige den berechtigten Computer kennzeichnende Adresse während eine vorbestimmten Anzahl von Versuchen zum Zugreifen auf den Hostcomputer erfaßt werden, umfaßt.
  16. Verfahren nach einem der Ansprüche 13 bis 15, dadurch gekennzeichnet, daß das Verfahren das Ändern der Hostcomputerziel- und -anschlußkennungen, wenn nach mindestens einem Zugriffsversuch Zugang zu dem Hostcomputer verweigert wird, und Bereitstellen dieser geänderten Kennungen für die berechtigten Computer (12) umfaßt, wobei das Verfahren vorzugsweise das Speichern der Hostcomputerziel- und -anschlußkennungen als unzugängliche variable Kennungen in dem berechtigten Computer (12) und Bereitstellen der unveränderlichen zugänglichen Hostcomputeradresse für die berechtigten Computer (12) als permanente Kennungen umfaßt, die die Hostcomputerziel- und -anschlußkennungen aktiviert, und deren Übertragung veranlaßt, wenn ein berechtigter Computer (12) Zugriff auf den Hostcomputer einleitet.
  17. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die variable Kennung eine Cyberkoordinate ist, die aus den Ort eines Objekts wie beispielsweise eines Computers, oder einer Information, wie einer Computerdatei, im Cyberraum bestimmenden Anweisungen besteht.
  18. Kommunikationssystem (10) mit einer angeschlossenen Kommunikationsvorrichtung (14), wobei das System (10) zum Durchführen des Verfahrens eines beliebigen der vorhergehenden Ansprüche ausgelegt ist.
DE60018094T 1999-05-17 2000-05-15 Verfahren und system zum schutz vor dem eindringen in einer kommunikationsvorrichtung Expired - Lifetime DE60018094T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13454799P 1999-05-17 1999-05-17
US134547P 1999-05-17
PCT/US2000/008219 WO2000070458A1 (en) 1999-05-17 2000-05-15 Method of communications and communication network intrusion protection methods and intrusion attempt detection system

Publications (2)

Publication Number Publication Date
DE60018094D1 DE60018094D1 (de) 2005-03-17
DE60018094T2 true DE60018094T2 (de) 2005-12-29

Family

ID=22463851

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60018094T Expired - Lifetime DE60018094T2 (de) 1999-05-17 2000-05-15 Verfahren und system zum schutz vor dem eindringen in einer kommunikationsvorrichtung

Country Status (9)

Country Link
EP (1) EP1226499B1 (de)
JP (2) JP3967550B2 (de)
KR (1) KR100789504B1 (de)
AT (1) ATE289093T1 (de)
AU (2) AU773737B2 (de)
BR (1) BR0010522A (de)
CA (1) CA2372662A1 (de)
DE (1) DE60018094T2 (de)
WO (1) WO2000070458A1 (de)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7010604B1 (en) 1998-10-30 2006-03-07 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US6502135B1 (en) 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US6839759B2 (en) 1998-10-30 2005-01-04 Science Applications International Corp. Method for establishing secure communication link between computers of virtual private network without user entering any cryptographic information
US10511573B2 (en) 1998-10-30 2019-12-17 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US7418504B2 (en) 1998-10-30 2008-08-26 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
JP2003069596A (ja) * 2001-08-23 2003-03-07 Allied Tereshisu Kk 管理システム及び管理方法
US20030069981A1 (en) * 2001-10-09 2003-04-10 Koninklijke Philips Electronics N.V. IP hopping for secure data transfer
US7114005B2 (en) * 2002-02-05 2006-09-26 Cisco Technology, Inc. Address hopping of packet-based communications
JP3875121B2 (ja) * 2002-03-01 2007-01-31 株式会社エヌ・ティ・ティ・ドコモ 通信システム、通信方法、転送装置及びネットワーク管理装置
US7340768B2 (en) 2002-09-23 2008-03-04 Wimetrics Corporation System and method for wireless local area network monitoring and intrusion detection
EP1404080A1 (de) * 2002-09-25 2004-03-31 Siemens Aktiengesellschaft Verfahren zur Abwehr von Angriffsdatenströmen auf Netzknoten in einem Kommunikationsnetz
US7310667B2 (en) * 2003-03-13 2007-12-18 International Business Machines Corporation Method and apparatus for server load sharing based on foreign port distribution
US7669207B2 (en) 2003-07-17 2010-02-23 Gradient Enterprises, Inc. Method for detecting, reporting and responding to network node-level events and a system thereof
US20050220017A1 (en) * 2004-03-31 2005-10-06 Brand Thomas E Denial of service protection through port hopping
US20100175131A1 (en) * 2007-05-29 2010-07-08 Invicta Networks, Inc Method and system for network protection against cyber attacks
WO2011019662A2 (en) * 2009-08-10 2011-02-17 Invicta Networks, Inc. System and method for cyber object protection using variable cyber coordinates (vcc)
EP2541877A1 (de) * 2011-06-30 2013-01-02 British Telecommunications Public Limited Company Verfahren zum Ändern einer Serveradresse und zugehöriger Aspekte
US8812689B2 (en) * 2012-02-17 2014-08-19 The Boeing Company System and method for rotating a gateway address
EP2806371A1 (de) * 2013-05-23 2014-11-26 Gemalto SA Sichere Plattform zur Implementierung dynamischer Gegenmaßnahmen
KR101538633B1 (ko) 2014-04-16 2015-07-22 재단법인대구경북과학기술원 비콘을 이용한 근접 서비스 보안 시스템 및 방법
US10044673B2 (en) * 2015-07-22 2018-08-07 Fastly, Inc. Protecting communication link between content delivery network and content origin server
IT201900002669A1 (it) 2019-02-25 2020-08-25 Superegg S R L Sistema e metodo di gestione degli accessi a un’area sottoposta a restrizione degli ingressi

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5537099A (en) * 1992-04-16 1996-07-16 Bay Networks, Inc. Receiving port security in a network concentrator
US5278901A (en) * 1992-04-30 1994-01-11 International Business Machines Corporation Pattern-oriented intrusion-detection system and method
JPH06103197A (ja) * 1992-09-22 1994-04-15 Hokkaido Nippon Denki Software Kk 端末アドレス管理方式
US5892903A (en) * 1996-09-12 1999-04-06 Internet Security Systems, Inc. Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
US5796942A (en) * 1996-11-21 1998-08-18 Computer Associates International, Inc. Method and apparatus for automated network-wide surveillance and security breach intervention
US5805801A (en) * 1997-01-09 1998-09-08 International Business Machines Corporation System and method for detecting and preventing security
US5905859A (en) * 1997-01-09 1999-05-18 International Business Machines Corporation Managed network device security method and apparatus
JP3680499B2 (ja) * 1997-06-26 2005-08-10 株式会社日立製作所 Dns機能を内蔵したipネットワークの結合制御装置

Also Published As

Publication number Publication date
WO2000070458A1 (en) 2000-11-23
AU773737B2 (en) 2004-06-03
AU2004205339B2 (en) 2007-12-20
EP1226499B1 (de) 2005-02-09
DE60018094D1 (de) 2005-03-17
BR0010522A (pt) 2003-07-22
AU4797200A (en) 2000-12-05
JP2007189725A (ja) 2007-07-26
ATE289093T1 (de) 2005-02-15
EP1226499A4 (de) 2003-07-23
KR100789504B1 (ko) 2007-12-28
KR20020027316A (ko) 2002-04-13
JP2002544741A (ja) 2002-12-24
AU2004205339A1 (en) 2004-09-23
JP3967550B2 (ja) 2007-08-29
CA2372662A1 (en) 2000-11-23
EP1226499A1 (de) 2002-07-31

Similar Documents

Publication Publication Date Title
DE60018094T2 (de) Verfahren und system zum schutz vor dem eindringen in einer kommunikationsvorrichtung
DE602004003518T2 (de) Verfahren und System zum legalen Abfangen von Paketvermittlungsnetzwerkdiensten
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE69838769T2 (de) System und Verfahren zum anonymen, personalisierten Browsen in einem Netzwerk
DE60016613T2 (de) Abschreckungssystem gegen aufschaltung und missbrauch
US6981146B1 (en) Method of communications and communication network intrusion protection methods and intrusion attempt detection system
DE60210269T2 (de) Methode und system zur bekämpfung von robots und rogues
DE60022778T2 (de) System und verfahren zur kodierung von benutzerinformation in domänennamen
DE102014107783B4 (de) Routing-Verfahren zur Weiterleitung von Task-Anweisungen zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
EP1721235B1 (de) Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes
DE102021132317A1 (de) Teilen von daten zwischen verschiedenen dienstanbietern auf edge-ebene durch kollaborationskanäle
Einwechter An introduction to distributed intrusion detection systems
DE112018006443T5 (de) Multifaktor-authentifizierung
DE112004000125T5 (de) Gesichertes Client-Server-Datenübertragungssystem
DE60302833T2 (de) Auf Benutzerkennwort basierende Paketvermittlung in virtuellen Netzen
DE112018006451T5 (de) Multifaktor-authentifizierung
WO2015185507A1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt
CN103279699A (zh) 群组信息共享方法及系统
Banciu et al. Security challenges of. RO domains at the core of Information Society
DE10346927A1 (de) Ein System zum Schützen der Sicherheit eines bereitstellbaren Netzwerks
DE102016106018B4 (de) Telefonie-Kommunikationssystem zur Missbrauchserkennung in einem öffentlichen Telefonnetz
Hennin Control system cyber incident reporting protocol
DE102023122464A1 (de) System zum sicheren elektronischen Austausch von Daten über ein öffentliches Netzwerk
EP1533700A2 (de) Verfahren und Vorrichtung von einem Kommunikationsgerät gegen Eindrigen
Madireddy Comparative analysis on Network Security In Digitalization: Attacks And Defence

Legal Events

Date Code Title Description
8364 No opposition during term of opposition