DE60218554T2 - Verfahren und System zur Übertragung eines Zertifikats zwischen einem Sicherheitsmodul und einem Server - Google Patents

Verfahren und System zur Übertragung eines Zertifikats zwischen einem Sicherheitsmodul und einem Server Download PDF

Info

Publication number
DE60218554T2
DE60218554T2 DE60218554T DE60218554T DE60218554T2 DE 60218554 T2 DE60218554 T2 DE 60218554T2 DE 60218554 T DE60218554 T DE 60218554T DE 60218554 T DE60218554 T DE 60218554T DE 60218554 T2 DE60218554 T2 DE 60218554T2
Authority
DE
Germany
Prior art keywords
certificate
protocol
machine
server
http
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60218554T
Other languages
English (en)
Other versions
DE60218554D1 (de
Inventor
Joël Maurin
Rene Martin
Jean-Yves Dujonc
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bull SA
Original Assignee
Bull SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bull SA filed Critical Bull SA
Publication of DE60218554D1 publication Critical patent/DE60218554D1/de
Application granted granted Critical
Publication of DE60218554T2 publication Critical patent/DE60218554T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption

Description

  • Die vorliegende Erfindung betrifft das Gebiet der abgesicherten Client-Server-Kommunikation in einem EDV-System und insbesondere ein Verfahren und eine Vorrichtung zur Vermittlung eines Zertifikats von einer Client-Maschine zu einer Server-Maschine über ein Absicherungsmodul.
  • Stand der Technik
  • Das Protokoll HTTP (HyperText Transfer Protocol) ist ein Kommunikations-Protokoll auf Anwendungs-Ebene. Das Protokoll HTTP wird zwischen einem Client und einem Server verwendet, um Daten in Anfragen ohne Zustands-Verwaltung zu senden und zu empfangen: jede Anfrage wird unabhängig von allen anderen und ohne Kenntnis der vorherigen Anfragen ausgeführt. Das Protokoll HTTP sieht keinerlei Verschlüsselung vor. Außerdem stellen die vom Protokoll HTTP vorgeschlagenen, gegenseitigen Authentifizierungs-Mechanismen keinerlei Garantie dar. Die Authentifizierung ist eine Prozedur, die es ermöglicht, durch Senden von HTTP-Anfragen die Identität eines Kommunikationspartners zu erhalten und zu überprüfen.
  • Um auf das Problem des Fehlens einer Verschlüsselung und einer Authentifizierung im Protokoll HTTP einzugehen, benutzen aktuelle Systeme Sicherungs-Protokolle wie das Protokoll SSL (Secure Sockets Layer). Das Protokoll SSL ermöglicht es, Dokumente in abgesicherter Weise über das Netzwerk des Geflechts zu übertragen. Andere Sicherungs-Protokolle kommen auf, wie das Protokoll TLS (Transport Layer Security), welches eine Weiterentwicklung des Protokolls SSL ist. Die Sicherungs-Protokolle wie SSL oder TLS ermöglichen es, die Austausche zu verschlüsseln und die Kommunikationspartner, im vorliegenden Fall der Client und der Server, zu authentifizieren: sie bieten Dienste der Authentifizierung, der Unversehrtheit und der Vertraulichkeit.
  • Die Sicherungs-Protokolle wie SSL oder TLS benutzen starke Authentifizierungs-Methoden, welche auf kryptographischen Methoden mit öffentlichen Schlüsseln basieren. Jeder Kommunikationspartner besitzt ein Paar von asymmetrischen Schlüsseln, genannt öffentlicher/privater Schlüssel: der für die Verschlüsselung der Information verwendete Schlüssel ist verschieden von dem, der verwendet wird, um sie zu entschlüsseln.
  • Die kryptographischen Methoden mit öffentlichen Schlüsseln verwenden ein Zertifikat, welches es ermöglicht, zu überprüfen, dass ein gegebener öffentlicher Schlüssel tatsächlich dem legitimen Besitzer zugehört und dass es wirklich er ist, der ihn verwendet. Ein Zertifikat ist ein digitales Dokument, welches das Eigentum einer Person an einem öffentlichen Schlüssel bescheinigt. Ein solches Zertifikat muss von einer anerkannten, sich außerhalb des gesicherten Systems befindlichen Institution, genannt Zertifizierungs-Stelle (CA), ausgegeben werden. Das Zertifikat ermöglicht es, die Echtheit des öffentlichen Schlüssels eines Benutzers zu beweisen und diesen somit eindeutig zu authentifizieren. Wenn eine Person ein Dokument signiert und sendet, erhält der Empfänger das Zertifikat von der sendenden Person. Der Empfänger kann die Echtheit des Zertifikats mit dem Zertifikat der Zertifizierungs-Stelle überprüfen; er kann danach die Signatur des Absenders kontrollieren.
  • Das Verwaltungs-Modul des Protokolls SSL auf Server-Ebene befindet sich integriert im Server oder in einer zwischenliegenden Maschine, genannt Sicherungs-Kasten oder Fronteinheit. Der Sicherungs-Kasten ist eine Leitungs-Trenn-Maschine, die sich vor dem Server befindet. Der Sicherungs-Kasten behandelt das Protokoll SSL. Das Protokoll SSL ist nicht zwischen dem Sicherungs-Kasten und dem Server implementiert. Die Verschlüsselung und die Authentifizierung werden zwischen dem Client und dem Sicherungs-Kasten ausgeführt. Der Sicherungs-Kasten authentifiziert den Client, insbesondere durch ein Zertifikat, in optionaler Weise.
  • Das durch die vorliegende Erfindung aufgeworfene Problem ist die Abwesenheit von Mitteln im Protokoll HTTP, die es ermöglichen, das genannte Zertifikat vom Sicherungs-Kasten zum Server hochzugeben.
  • Nun enthält das Zertifikat aber Informationen, die sehr nützlich für den Server sein können, wie beispielsweise die reelle Identität des Clients.
  • Ein Ziel der vorliegenden Erfindung besteht darin, das Problem des Fehlens von Kommunikations-Mitteln für Zertifikate zwischen dem Sicherungs-Kasten und dem Server zu beseitigen.
  • Zusammenfassung der Erfindung
  • In diesem Kontext schlägt die vorliegende Erfindung ein Kommunikations-Verfahren nach Anspruch 1 vor.
  • Die vorliegende Erfindung betrifft gleichfalls das System der Anwendung des genannten Verfahrens nach Anspruch 7, das das genannte Verfahren anwendende Programm nach Anspruch 8 und die Sicherungs-Maschine nach Anspruch 6.
  • Präsentation der Figuren
  • Andere Merkmale und Vorteile der Erfindung werden aus der folgenden Beschreibung ersichtlich, unter Bezugnahme auf die angefügte Zeichnung, in der 1 eine schematische Ansicht einer Ausführungsform des Systems nach der Erfindung ist, beispielhaft veranschaulicht und die vorliegende Erfindung nicht limitierend.
  • Beschreibung einer Ausführungsform der Erfindung
  • Wie die 1 zeigt, ist das System 1 verteilt und aus Maschinen 2a, 2b, 2c, welche in einem oder mehreren Netzwerken 3 eingebunden sind, zusammengesetzt. Eine Maschine 2 ist eine sehr breite konzeptuelle Einheit aus Hardware und Software. Die Maschinen können sehr unterschiedlich sein, so wie beispielsweise Arbeitsplätze, Server, Router, spezialisierte Maschinen, Telefone oder Brücken zwischen Maschinen. Einzig die charakteristischen Bestandteile der Maschinen 2 des Systems 1 der vorliegenden Erfindung werden beschrieben, die anderen Bestandteile sind dem Fachmann bekannt. Das Netzwerk 3 wird als ausgedehnt und fähig für alle Kommunikationsmittel zwischen Maschinen betrachtet.
  • Wie die 1 zeigt, ist das System in der vorliegenden Erfindung ein EDV-System 1, welches eine Maschine 2a enthält, genannt Client-Maschine und verbunden mit einer anfragenden Einheit, im vorliegenden Beispiel ein Benutzer 4, und welches eine Maschine 2b enthält, genannt Server-Maschine und geeignet, um auf die Anfragen des genannten Benutzers 4 zu antworten. Der Benutzer 4 kann eine physische Person, eine Maschine, ein Softwaremodul oder anderes sein. Der Benutzer ist in der Client-Maschine 2a enthalten oder befindet sich außerhalb von ihr (der Fall der 1).
  • In der gezeigten Ausführungsform enthält die Client-Maschine 2a einen Browser 5, und die Server-Maschine 2b zeigt sich in Form eines Servers.
  • Das System 1 enthält ein Absicherungsmodul 2c, welches später beschrieben wird.
  • Das Kommunikationsprotokoll zwischen der Client-Maschine 2a und der Server-Maschine 2b ist das Protokoll HTTP oder jedes äquivalente Protokoll. Ein dem Protokoll HTTP äquivalentes Protokoll ist ein Protokoll, welches den Transport von Zeugnissen implementiert (in der aktuellen EDV-Fachsprache Cookies genannt, wie später ersichtlich sein wird).
  • Das Protokoll HTTP definiert eine Struktur für die in der Richtung Client → Server übermittelten Nachrichten und eine Struktur für die Nachrichten in Richtung Server → Client. Jede der Nachrichten enthält eine Startzeile (auf englisch start-line), gefolgt von einer beliebigen Anzahl von Kopfzeilen, einer Leerzeile und dem Körper der Nachricht. Die Kopfzeilen ermöglichen es der Client-Maschine 2a, der Server-Maschine 2b die HTTP-Nachricht oder den Benutzer 4 betreffende Informationen zu übermitteln, oder umgekehrt der Server-Maschine 2b, der Client-Maschine 2a die HTTP-Nachricht oder die Server-Maschine 2b betreffende Informationen zu übermitteln. Kopfzeilen sind im Protokoll HTTP definiert, es ist aber möglich, solche in provisorischer oder experimenteller Weise zu erstellen.
  • Eine Kopfzeile ist aus einem eindeutigen Namen, gefolgt von „:" und dem Wert des Feldes zusammengesetzt. Die verschieden Kopfzeilen sind untereinander durch Wagenrücklauf/Zeilenvorschub „CRLF" (Carriage Return Line Feed) getrennt.
  • Die folgende HTTP-Nachricht wird beispielhaft verwendet:
    Figure 00040001
    Figure 00050001
  • Der Ausdruck „GET/bar2 HTTP/1.0 CRLF" entspricht der Startzeile. Die Ausdrücke „Connection, User-Agent, Host, Accept, Accept-Language, Accept-Charset, Cookies" entsprechen den Kopfzeilen der HTTP-Nachricht. Die Kopfzeilen sind aus einem eindeutigen Namen „Cookies", gefolgt von „:" und dem Wert des Feldes „cookie1 = Wert1; cookie2 = Wert2; %CERT = Wert des Zertifikats" zusammengesetzt. Der Ausdruck „Data" entspricht dem Körper der Nachricht.
  • Bei der Kommunikation zwischen Clients und Servern wird ein Zeugnis-Mechanismus, in der aktuellen EDV-Fachsprache Cookie genannt, immer mehr verwendet.
  • Das Zeugnis ist eine von einer Server-Maschine 2b gesendete Information, welche seitens der Client-Maschine 2a in einem Client/Server-Dialog gespeichert und von der genannten Server-Maschine 2b bei späterer Verwendung wieder aufgefunden wird.
  • Wenn eine anfragende Einheit, genauer ein Benutzer 4, sich mit einer Seite des Netzwerks verbindet, werden Informationen über den Benutzer 4 von der Server-Maschine 2b in einem Zeugnis gesammelt und zum Browser der Client-Maschine 2a gesendet und von diesem für eine spätere Verwendung gespeichert. Die Zeugnisse werden in den Kopfzeilen der HTTP-Nachrichten befördert.
  • Im Beispiel der gezeigten HTTP-Nachricht werden die Zeugnisse in der mit „Cookies" bezeichneten Kopfzeile befördert. Die Nachricht enthält drei Zeugnisse „Cookie1", „Cookie2" und „%CERT", deren zugehörige Werte „Wert1", „Wert2", „Wert des Zertifikats" nach den „="-Zeichen angegeben werden.
  • Wenn der Benutzer sich erneut mit der jeweiligen Seite verbindet, sendet der Browser 5 das entsprechende Zeugnis in einer Kopfzeile der HTTP-Anfrage an die Server-Maschine 2b. Die Server-Maschine 2b verwendet die Informationen des Zeugnisses, um sich in Abhängigkeit vom anfragenden Benutzer 4 auf ihn zu konfigurieren. Die jeweiligen Informationen sind beispielsweise eine persönliche Information des genannten Benutzers 4, wie etwa eine eindeutige Kennung, eine Antwort auf einen Fragebogen, den der Benutzer 4 auf der besuchten Seite ausgefüllt hat, ein Datum und eine Zeit, zu der bestimmte Seiten gelesen wurden... Im allgemeinen zeichnet ein Zeugnis die Vorlieben des Benutzers 4 auf, wenn er eine bestimmte Seite aufruft, mit dem Ziel, ihm personalisierte Seiten aufzubereiten, wenn er sich erneut mit der genannten Seite verbindet. Der Mechanismus der Zeugnisse ermöglicht es auch, die Werbeeinlagen, insbesondere bei einer Abfolge angefragter Seiten, zu wechseln oder sie gar an den betroffenen Benutzer 4 anzupassen oder Statistiken zu erzeugen.
  • Das Protokoll SSL ist zwischen der Client-Maschine 2a und dem Sicherungsmodul 2c implementiert, um die Kommunikation zwischen Client und Server abzusichern.
  • In einer SSL-Verbindung zwischen einem Client und einem Server besitzt der Client optionalerweise ein Zertifikat, um auf diese Art authentifiziert zu werden. Das von einer Zertifizierungs-Stelle ausgegebene Zertifikat ist ein anerkanntes Mittel, um seine Identität, so wie auch andere, den Inhaber des Zertifikats betreffende Informationen (seine Identität, sein eindeutiger Name, sein öffentlicher Schlüssel und der zugehörige Verschlüsselungs-Algorithmus...), die Spezifikationen dieses Zertifikats betreffende Informationen (seine Version, seine eindeutige Seriennummer, seine Gültigkeitsdauer...), und die Zertifizierungs-Stelle, die das Zertifikat ausgegeben hat betreffende Informationen (ihre Identität, ihr eindeutiger Name, die Unterschrift und den zum Unterschreiben verwendeten Algorithmus...) darzulegen. Die Unterschrift eines Zertifikats ist eine Kurzfassung des eindeutigen Namens des Inhabers vom genannten Zertifikat und des öffentlichen öffentlichen Schlüssels des genannten Inhabers, verschlüsselt mit dem privaten Schlüssel der Zertifizierungs-Stelle. Jedes Zertifikat hat also seine eigene Unterschrift, wodurch es ermöglicht wird, die Authentifizierung zu garantieren. Ein Benutzer authentifiziert den öffentlichen Schlüssel eines anderen Benutzers schlicht durch Entschlüsselung der Unterschrift des Zertifikats mit dem öffentlichen Schlüssel der Zertifizierungs-Stelle.
  • Im System 1 verwaltet das Sicherungsmodul 2c ein Sicherungs-Protokoll. Das Sicherungsmodul 2c erscheint in Form einer Maschine 2 (gezeigte Ausführungsform), oder in Form eines in eine Maschine 2, wie die Server-Maschine 2b, integrierten Softwaremoduls.
  • Nach der in 1 gezeigten Ausführungsform ist das Sicherungsmodul 2c eine intermediäre Maschine 2. Das Sicherungsmodul 2c, genannt Absicherungs-Kasten oder Fronteinheit, befindet sich in der Auftrennung der Leitung vor der Server-Maschine 2b.
  • Das Sicherungsmodul 2c ermöglicht die Verwaltung eines Sicherungs-Protokolls wie SSL oder TLS oder gleichwertiges. Ein dem Protokoll SSL oder TLS gleichwertiges Protokoll ist ein Protokoll, welches es ermöglicht, den Benutzer 4 mittels eines Zertifikats zu authentifizieren. Das Sicherungsmodul 2c ermöglicht die Übertragung von Zertifikaten von der Client-Maschine 2a zur Server-Maschine 2c.
  • Das Sicherungsmodul 2c enthält Analysemittel 6, die es ermöglichen, ein Zertifikat des Benutzers 4 bei der Client-Maschine 2a anzufordern, das bei der Client-Maschine 2a angeforderte Zertifikat des Benutzers 4 zu übernehmen und es der Server-Maschine 2b zu senden. In der gezeigten Ausführungsform sind die Analysemittel 6 in Form eines in das Sicherungsmodul 2c integrierten Softwaremoduls dargestellt.
  • Das von der Server-Maschine 2b bei der gegenseitigen Authentifizierung des Protokolls SSL angeforderte Zertifikat der Client-Maschine 2a wird von der Client-Maschine 2a zum Sicherungsmodul 2c übertragen. Da das Protokoll SSL nicht zwischen dem Sicherungsmodul 2c und der Server-Maschine 2b implementiert ist, und da die Server-Maschine 2b und das Protokoll HTTP es nicht ermöglichen, Zertifikate zu übertragen, wird das wertvolle Informationen enthaltende Zertifikat auf der Ebene des Sicherungsmoduls 2c blockiert. Die vorliegende Erfindung besteht darin, das Zertifikat in einer Zeugnis-Kopfzeile der HTTP-Anfrage vom Sicherungsmodul 2c zur Server-Maschine 2b zu übertragen.
  • Die vom Zertifikat gebildete Information ist keine Information, die dazu bestimmt ist, ein Zeugnis zu bilden. Das Zertifikat stammt nicht von der Server-Maschine 2b und wird nicht von der Client-Maschine 2a gespeichert. Jedoch bleibt eines der grundlegenden Ziele des Zeugnisses die Fähigkeit, den Absender einer HTTP-Anfrage betreffende Informationen übertragen zu können.
  • Die Server-Maschine 2b nutzt folglich die im Zertifikat enthaltenen informationen, wie etwa:
    den öffentlichen Schlüssel;
    den Namen des Eigentümers;
    das Ablaufdatum des Zertifikats;
    den Namen der Zertifizierungs-Stelle;
    die Seriennummer des Zertifikats;
    die Unterschrift der Zertifizierungs-Stelle.
  • Der Transport von Zertifikaten mittels Zeugnis-Kopfzeilen von HTTP-Anfragen zieht keinerlei Änderungen an der Server-Maschine 2b nach sich. Die Server-Maschine 2b analysiert nämlich nicht die Zeugnis-Kopfzeilen: sie überträgt sie direkt an die betroffene Anwendung.
  • Das Verfahren entsprechend der vorliegenden Erfindung läuft folgendermaßen ab.
  • Der Benutzer 4 verlangt den Zugang zu einer mit Hilfe des Browsers 5 bestimmten Seite. Der Browser 5 schickt eine HTTP/SSL-Anfrage über das Netzwerk 3 zur Server-Maschine 2b. Der Browser fordert die universelle Adresse (auf englisch URL – Uniform Ressource Locator) der abgesicherten Seite der betroffenen Webseite mit dem Präfix „https://" an. Die Anfrage, genannt Zugangs-Anfrage, wird abgefangen vom Sicherungsmodul 2c, welches die von dem verwendeten Protokoll, im vorliegenden Beispiel SSL, angebotenen Sicherungsdienste verwaltet. Eine TCP-Verbindung wird initialisiert. Der Dialog beginnt mit dem im Englischen „handshake" (Händeschütteln – gegenseitige Erkennung) genannten Protokoll, im Laufe dessen wird eine gegenseitige Erkennung von Benutzer 4 und dem Sicherungsmodul 2c sowie ein Austausch der Schlüssel durchgeführt.
  • In den Spezifikationen des Protokolls SSL ist die Authentifizierung des Benutzers 4 optional. In der vorliegenden Erfindung bleibt die Authentifizierung des Benutzers 4 optional: wenn sie gefordert wird, verlangen die Analysemittel 6 des Sicherungsmoduls 2c während der „handshake"-Prozedur die Zusendung eines Zertifikats durch die Client-Maschine 2a. Die Mittel 6 übertragen die SSL-Nachricht „CertificateRequest" über das Netzwerk 3 an die Client-Maschine 2a.
  • Die Client-Maschine 2a antwortet durch das Übertragen des Zertifikats des Benutzers 4 an das Sicherungsmodul über das Netzwerk 3. Das Zertifikat wird von der Maschine 2a mittels der SSL-Nachricht „Certificate" zugesendet.
  • Das Modul 2c decodiert die HTTP-Nachricht und erhält das Zertifikat des Benutzers 4, falls es vom Modul 2c angefordert wurde.
  • Wenn das Protokoll handshake des Protokolls SSL ausgeführt wurde, und für den Fall dass ein Zertifikat vom Modul 2c während des handshake-Protokolls angefordert und erhalten wurde, suchen die Analysemittel 6 in der von der Client-Maschine 2a stammenden Zugangs-HTTP-Anfrage zur gesicherten Seite der betroffenen Webseite, ob eine Zeugnis-Kopfzeile existiert, um zu wissen ob eine mit „Cookies" bezeichnete Kopfzeile existiert. Im gezeigten Beispiel wird die Kopfzeile „Cookies" entdeckt. Falls keinerlei Zeugnis-Kopfzeile vorliegt, erzeugen die Analysemittel eine Zeugnis-Kopfzeile.
  • In der existierenden oder erzeugten Kopfzeile fügen die Analysemittel ein spezifisches Zeugnis hinzu, zum Beispiel einen Standardnamen: im gezeigten Beispiel wird das Zeugnis CERT zur Kopfzeile Cookies hinzugefügt. Der Standardname, im vorliegenden Beispiel der Name CERT, ist ein konfigurierbarer Name, der es der Server-Maschine 2b ermöglicht, das genannte Zertifikat von den verschieden Zeugnissen zu unterscheiden. Das hinzugefügte spezifische Zeugnis hat als Wert das vom Benutzer 4 erhaltene Zertifikat, zur Information im gezeigten Beispiel „Wert des Zertifikats".
  • Im gezeigten Beispiel suchen die Analysemittel 6 den Ausdruck „CRLF Cookies:". Sobald die Zeugnis-Kopfzeile gefunden wurde, suchen die Analysemittel 6 das Zeichen „CRLF", um das Ende der Zeugnis-Kopfzeile zu erreichen. Die Mittel 6 fügen am Ende der Zeugnis-Kopfzeile den Ausdruck „%CERT = Wert des Zertifikats CRLF" ein.
  • Die Analysemittel 6 entfernen aus dem Zertifikat, im Beispiel „Wert des Zertifikats", eingefügt im entsprechenden Zeugnis, alle in den Kopfzeilen verwendeten Trennzeichen wie CRLF, „;" und „," und ersetzten sie beispielsweise durch ein Leerzeichen. Die Trennzeichen werden aus dem Zertifikat entfernt um zu verhindern, dass sie so interpretiert werden, als würden sie mehrere Zeugnisse oder Kopfzeilen bilden.
  • Die Analysemittel 6 übertragen die das Zertifikat enthaltende Zugangs-HTTP-Anfrage an die Server-Maschine 2b. Die Server-Maschine 2b überträgt die erhaltenen Zeugnisse, sowie insbesondere das Zertifikat, direkt an die betroffene Anwendung.
  • Das der Erfindung entsprechende Verfahren besteht folglich aus dem Aufnehmen des von der Client-Maschine 2a an die Server-Maschine 2b gesendeten Zertifikats, aus dem Einfügen des genannten Zertifikats in eine Zeugnis-Kopfzeile einer Zugangs-HTTP-Anfrage und aus dem Senden der das genannte Zertifikat enthaltenden Zugangs-HTTP-Anfrage an die Server-Maschine 2b.
  • Die vorliegende Erfindung betrifft also ein Verfahren zur Übertragung eines von der Client-Maschine 2a stammenden Zertifikats des Benutzers 4 über ein Sicherungsmodul 2c, dadurch gekennzeichnet, dass es darin besteht, das genannte, von der Client-Maschine 2a stammende Zertifikat in eine Zeugnis-Kopfzeile einer Anfrage des Protokolls HTTP, oder ähnlich, einzufügen, um sie vorn Sicherungsmodul 2c an die Server-Maschine 2b zu übertragen.
  • Das der Erfindung entsprechende Verfahren besteht aus der Entnahme aller in den Kopfzeilen von HTTP-Nachrichten enthaltenen Trennzeichen aus dem genannten Zertifikat vor seiner Einfügung in eine Zeugnis-Kopfzeile.
  • Das Verfahren besteht darin, vor der Einfügung des genannten Zertifikats in eine Kopfzeile zu überprüfen, ob eine Zeugnis-Kopfzeile in der von der Client-Maschine 2a stammenden Anfrage vorliegt, falls nicht eine zu erzeugen.
  • Das der Erfindung entsprechende Verfahren besteht aus dem Hinzufügen eines spezifischen Zeugnisses in eine vorhandene oder erzeugte Zeugnis-Kopfzeile, wobei dem speziellen Zeugnis ein im Normalfall konfigurierbarer Name zugewiesen wird, der es der Server-Maschine 2b ermöglicht, das Zertifikat unter den Zeugnissen der HTTP-Anfrage oder dergleichen zu unterscheiden.
  • Das Verfahren besteht aus dem Übertragen der von der Client-Maschine 2a stammenden HTTP-Anfrage, in die das Zertifikat eingefügt wurde, an die Server-Maschine 2b.
  • Die vorliegende Erfindung betrifft ebenfalls die Sicherungs-Maschine 2c, die es ermöglicht, Austausche zwischen der Client-Maschine 2a und der Server-Maschine 2b zu sichern, dadurch gekennzeichnet, dass sie die Analysemittel 6 enthält, die die Übertragung des Zertifikats in einer Zeugnis-Kopfzeile einer HTTP-Anfrage oder gleichwertigem ermöglichen.
  • Die vorliegende Erfindung bezieht sich auch auf das System, das die Client-Maschine 2a, die Server-Maschine 2b, das Sicherungsmodul 2c, enthält, dadurch gekennzeichnet, dass das Sicherungsmodul 2c die Analysemittel 6 enthält, die es ermöglichen, ein von der Client-Maschine 2a stammendes Zertifikat in einer Zeugnis-Kopfzeile einer von der Client-Maschine 2a stammenden HTTP-Anfrage oder gleichwertigem zu übertragen.
  • Die vorliegende Erfindung bezieht sich ebenfalls auf das in das Sicherungsmodul 2c integrierte Programm, welches die Ausführung des oben beschriebenen Verfahrens ermöglicht, wenn das Programm auf einer Maschine ausgeführt wird.

Claims (8)

  1. Verfahren zur Übertragung eines Zertifikats eines Benutzers (4), welches von einer Client-Maschine (2a) stammt, an eine Server-Maschine (2b) über ein Sicherungsmodul (2c) in einem EDV-System (1), wobei das zwischen der Client-Maschine (2a) und der Server-Maschine (2b) verwendete Protokoll das Protokoll HTTP oder das Protokoll ist, das den Transport von Zeugnissen implementiert, wobei ein Sicherungs-Protokoll vom Typ SSL oder vom die Authentifizierung des Benutzers ermöglichenden Typ zwischen der Client-Maschine (2a) und dem Sicherungsmodul (2c) implementiert wird, dadurch gekennzeichnet, dass es darin besteht, das genannte Zertifikat einzufügen in eine Zeugnis-Kopfzeile einer Anfrage des Protokolls HTTP oder des Protokolls, welches den Transport der Zeugnisse implementiert, um sie vom Sicherungsmodul (2c) an die Server-Maschine (2b) zu übertragen.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass alle in den Kopfzeilen der HTTP-Nachrichten verwendeten Trennzeichen aus dem genannten Zertifikat vor seiner Einfügung in eine Zeugnis-Kopfzeile entfernt werden.
  3. Verfahren nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass vor dem Einfügen des genannten Zertifikats in eine Kopfzeile überprüft wird, ob eine Zeugnis-Kopfzeile in der von der Client-Maschine (2a) stammenden HTTP-Anfrage vorliegt, und falls nicht, eine erzeugt wird.
  4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass ein spezifisches Zeugnis in die existierende oder erzeugte Zeugnis-Kopfzeile hinzugefügt wird, wobei dem speziellen Zeugnis ein im Normalfall konfigurierbarer Name zugewiesen wird, der es der Server-Maschine (2b) ermöglicht, das Zertifikat unter den Zeugnissen der HTTP-Anfrage, oder der Anfrage des Protokolls, welches den Transport von Zeugnissen implementiert, zu unterscheiden.
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die von der Client-Maschine (2a) stammende HTTP-Anfrage, oder die Anfrage des Protokolls, welches den Transport von Zeugnissen implementiert, in die das Zertifikat eingefügt wurde, an die Server-Maschine (2b) übertragen wird.
  6. Sicherungsmaschine (2c), die es ermöglicht, die Austausche zwischen einer Client-Maschine (2a) und einer Server-Maschine (2b) eines EDV-Systems (1) abzusichern, wobei das zwischen der Client-Maschine (2a) und der Server-Maschine (2b) verwendete Protokoll das Protokoll HTTP oder das Protokoll ist, welches den Transport von Zeugnissen implementiert, wobei ein Sicherungs-Protokoll vom Typ SSL oder vom die Authentifizierung des Benutzers ermöglichenden Typ zwischen der Client-Maschine (2a) und dem Sicherungsmodul (2c) implementiert wird, dadurch gekennzeichnet, dass sie Analysemittel (6) enthält, welche die Übertragung eines Zertifikats in einer Zeugnis-Kopfzeile einer HTTP-Anfrage oder des den Transport von Zeugnissen implementierenden Protokolls ermöglichen.
  7. System, welches eine Client-Maschine (2a), eine Server-Maschine (2b), ein Sicherungsmodul (2c) einschließt, wobei das zwischen der Client-Maschine (2a) und der Server-Maschine (2b) verwendete Protokoll das Protokoll HTTP oder das Protokoll ist, welches den Transport von Zeugnissen implementiert, wobei ein Sicherungs-Protokoll vom Typ SSL oder vom Typ, das den Transport von Zeugnissen implementiert, zwischen der Client-Maschine (2a) und dem Sicherungsmodul (2c) implementiert ist, dadurch gekennzeichnet, dass das Sicherungsmodul (2c) Analysemittel (6) enthält, welche die Übertragung eines von der Client-Maschine (2a) stammenden Zertifikats in einer Zeugnis-Kopfzeile einer HTTP-Anfrage, oder einer Anfrage des Protokolls, welches den Transport von Zeugnissen implementiert, ermöglichen.
  8. Programm zur Integration in einem Sicherungsmodul (2c). welches die Ausführung des Verfahrens nach einem der Ansprüche 1 bis 5 ermöglicht, wenn das Programm auf einer Maschine ausgeführt wird.
DE60218554T 2001-01-24 2002-01-18 Verfahren und System zur Übertragung eines Zertifikats zwischen einem Sicherheitsmodul und einem Server Expired - Lifetime DE60218554T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0100946A FR2819967B1 (fr) 2001-01-24 2001-01-24 Procede et systeme de communication d'un certificat entre un module de securisation et un serveur
FR0100946 2001-01-24

Publications (2)

Publication Number Publication Date
DE60218554D1 DE60218554D1 (de) 2007-04-19
DE60218554T2 true DE60218554T2 (de) 2008-04-30

Family

ID=8859186

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60218554T Expired - Lifetime DE60218554T2 (de) 2001-01-24 2002-01-18 Verfahren und System zur Übertragung eines Zertifikats zwischen einem Sicherheitsmodul und einem Server

Country Status (5)

Country Link
US (1) US7561690B2 (de)
EP (1) EP1227640B1 (de)
AT (1) ATE356504T1 (de)
DE (1) DE60218554T2 (de)
FR (1) FR2819967B1 (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE391385T1 (de) * 2003-07-11 2008-04-15 Ibm Verfahren und system zur benutzerauthentifizierung in einer benutzer- anbieterumgebung
US8782405B2 (en) * 2004-03-18 2014-07-15 International Business Machines Corporation Providing transaction-level security
US20060059346A1 (en) * 2004-09-14 2006-03-16 Andrew Sherman Authentication with expiring binding digital certificates
US8181227B2 (en) * 2006-08-29 2012-05-15 Akamai Technologies, Inc. System and method for client-side authenticaton for secure internet communications
US8707026B2 (en) 2011-07-13 2014-04-22 International Business Machines Corporation Apparatus for certificate-based cookie security
US20140122255A1 (en) * 2012-10-25 2014-05-01 Matthew Snyder Story-based, multi-screen advertising framework
CN114765554A (zh) * 2021-01-12 2022-07-19 华为技术有限公司 一种确定信任终端的方法及相关装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000000879A2 (en) * 1998-03-04 2000-01-06 Internet Dynamics, Inc. Generalized policy server
US6611498B1 (en) * 1997-09-26 2003-08-26 Worldcom, Inc. Integrated customer web station for web based call management
US6584567B1 (en) * 1999-06-30 2003-06-24 International Business Machines Corporation Dynamic connection to multiple origin servers in a transcoding proxy
US6510464B1 (en) * 1999-12-14 2003-01-21 Verizon Corporate Services Group Inc. Secure gateway having routing feature

Also Published As

Publication number Publication date
FR2819967A1 (fr) 2002-07-26
ATE356504T1 (de) 2007-03-15
EP1227640B1 (de) 2007-03-07
US20020133700A1 (en) 2002-09-19
FR2819967B1 (fr) 2003-03-14
EP1227640A1 (de) 2002-07-31
US7561690B2 (en) 2009-07-14
DE60218554D1 (de) 2007-04-19

Similar Documents

Publication Publication Date Title
DE60026838T2 (de) Dynamische verbindung zu mehreren quellen-servern in einem transcodierungs-proxy
DE60114220T2 (de) System und verfahren zur implementierung des verbesserten transportschicht-sicherheitsprotokolls
DE60121101T2 (de) Gesichtertes Kommunikationsverfahren, gesichtertes Kommunikationssystem und Gerät
DE602004012870T2 (de) Verfahren und system zur benutzerauthentifizierung in einer benutzer-anbieterumgebung
DE60218042T2 (de) Verfahren und system für einen dienstleistungsprozess zur bereitstellung eines dienstes zu einem kunden
DE60308733T2 (de) Dienstanbieteranonymisierung in einem single sign-on system
DE102016215917A1 (de) Gesichertes Verarbeiten einer Berechtigungsnachweisanfrage
EP1777907B1 (de) Vorrichtungen und Verfahren zum Durchführen von kryptographischen Operationen in einem Server-Client-Rechnernetzwerksystem
DE60133241T2 (de) Mehranwendung-sicherheitsrelais
DE10037500A1 (de) Verfahren zur Schlüsselvereinbarung für eine kryptographisch gesicherte Punkt-zu-Multipunktverbindung
DE102020003739A1 (de) Verfahren zur Verteilung und Aushandlung von Schlüsselmaterial
DE10296987T5 (de) Dynamische Konfiguration von Ipsec Tunneln
DE60218554T2 (de) Verfahren und System zur Übertragung eines Zertifikats zwischen einem Sicherheitsmodul und einem Server
DE60203312T2 (de) Verfahren und Vorrichtung zur Authentifizierung eines Benutzers
DE60122828T2 (de) Vorrichtung und Verfahren zur Erzeugung eines Unterschriftszertifikats in einer Infrastruktur mit öffentlichen Schlüsseln
DE60224737T2 (de) Vorrichtung und System zum Abrufen von Information in einem Netzwerk
DE19939281A1 (de) Verfahren und Vorrichtung zur Zugangskontrolle zu Inhalten von Web-Seiten unter Verwendung eines mobilen Sicherheitsmoduls
DE60114186T2 (de) Nachrichten-Vermittler
WO2005074189A1 (de) Schaltungsanordnung und verfahren zur kommunikationssicherheit innerhalb von kommunikationsnetzen
EP1468520B1 (de) Verfahren zur datenverkehrssicherung in einer mobilen netzumgebung
DE10260926A1 (de) Kommunikationsverfahren
EP2685682A2 (de) Verfarhen und System zur sicheren Nachrichtenübertragung
EP1815665B1 (de) Verfahren zur bereitstellung einer adresse in einem daten-netzwerk
EP3937451B1 (de) Verfahren zu herstellung einer verschlüsselten verbindung
DE102005027248B4 (de) Verfahren zur Authentifikation eines Benutzers

Legal Events

Date Code Title Description
8332 No legal effect for de
8370 Indication related to discontinuation of the patent is to be deleted
8364 No opposition during term of opposition