-
Technisches Gebiet.
-
Die
Erfindung bezieht sich auf die für
geschützte
Zugriffe in einem vernetzten Datenverarbeitungssystem geforderte
Authentifizierung. Sie hat ein Verfahren zum Authentifizieren wenigstens
einer Anwenderentität
wenigstens einer Station mit geschützten Betriebsmitteln in einem
vernetzten Datenverarbeitungssystem sowie ein sich daraus ergebendes System
zum Gegenstand.
-
Sie
lässt sich
auf jedes vernetzte Datenverarbeitungssystem anwenden, das per Definition
wenigstens eine Station umfasst, die mit wenigstens einem Server über ein
Netz verbunden ist. Der Begriff "Station" wird hier in einem
allgemeinen Sinn verwendet, um nicht nur eine Arbeitsstation zu
bezeichnen, sondern auch jeden Rechner (Personal-Computer, Kleinrechner,
Rechner mit sehr hoher Leistung, gewöhnlich "Mainframe" genannt) oder jedes Gerät wie etwa
das sogenannte "Web-TV"-Gerät, das direkt
mit einem Fernsehgerät
verbunden ist und Betriebsmittel besitzt, die sowohl die Hardware
als auch die Software betreffend, nur sehr begrenzt sind.
-
Obwohl
in dem System weitere Server vorkommen können, ist bei der Erfindung
gerade ein Sicherheitsserver von Interesse. Dies kann ein vollwertiger
Server oder eine der in einem Server enthaltenen Funktionen sein.
Die Sicherheitsfunktion besteht darin, die Authentifizierung von
verschiedenen Anwenderentitäten
einer Station des Systems zu managen. Eine Entität kann eine Person, genannt
Anwender, oder eine Softwarefunktion sein, die einen Zugriff auf
das System über
das Netz anfordern kann. Die Softwarefunktion kann beispielsweise
eine Anwender-Softwareanwendung einer Datenbank sein. Die Entität kann auch
die Station selbst sein. Im Grunde ist es verständlich, dass es bei geschützten Zugriffen notwendig
ist, den Anwender und/oder die Station durch den Sicherheitsserver
zu authentifizieren. Bestimmte Anwendungen wie etwa jene, die Datenbanken
verwenden, oder bestimmte Informationen, die mit diesen Anwendungen
verknüpft
sind, sind vor allem aus Gründen
der Vertraulichkeit oder zur Be wahrung der Integrität dieser
Informationen nur für
befugte Personen zugelassen. Genauso unterliegen auch bestimmte
Typen von Operationen einer Genehmigung. Beispielsweise kann ein
Anwender Daten in einer Datenbank lesen, während ihm die Operationen des
Schreibens und/oder des Löschens
von Daten in der Datenbank verboten sind.
-
Das
Netz kann beliebig sein und wird in dem folgenden Beispiel als jenes
betrachtet, das gegenwärtig
unter dem Namen "Internet" bekannt ist, wobei dieses
Wort die "Intranet" und "Extranet" genannten Netze
mit einschließen
soll. Genauso kann das Kommunikationsprotokoll beliebig sein.
-
Außerdem können die
Betriebsmittel beliebig, Software- und/oder Hardwarebetriebsmittel
wie etwa eine Zeichensoftware, eine Datenbank und eine Telephonleitung
für die Übertragung
eines Fax, sein.
-
Aus
den Dokumenten
WO 97 07448 ,
US 5 235 642 ,
EP 0 413 822 ,
US 4 999 806 und
WO 98 07085 sind Verfahren zum Authentifizieren
wenigstens einer Anwenderentität
wenigstens einer Station mit geschützten Betriebsmitteln eines
Datenverarbeitungssystems über
ein Netz sowie ein Sicherheitsserver bekannt.
-
Stand der Technik.
-
Im
Allgemeinen kann eine Station eine Anzahl, die kleiner oder gleich
einer Anzahl n ist, von Authentifizierungsverfahren, die von dem
Sicherheitsserver erkannt werden, ausführen. Die Authentifizierung
erfordert in einer Station spezifische Authentifizierungsmittel
gemäß wenigstens
einem gegebenen Verfahren. Die spezifischen Mittel umfassen einen
zur Authentifizierung notwendigen Hardwareteil und einen Softwareteil.
Eine Station kann eine Anzahl, die kleiner oder gleich einer Anzahl
p ist, von spezifischen Mitteln besitzen. Ein Authentifizierungsverfahren
wird durch eine Anzahl, die kleiner oder gleich einer Anzahl q ist,
von Authentifizierungsmodulen, die von dem Sicherheitsserver für die Ausführung von
Authentifizierungsverfahren erkannt werden, ausgeführt. Es
ist anzumerken, dass ein Authentifizierungsmodul ein oder mehrere
Authentifizierungsverfahren ausführen
und/oder ein oder mehrere spezifische Mittel einsetzen kann. Ferner
kann ein Verfahren eine Anzahl, die wenigstens gleich 1 ist, von
spezifischen Mitteln sowie eine Anzahl, die wenigstens gleich 1
ist, von Authenti fizierungsmodulen betreffen. Weitere Verfahren,
weitere spezifische Mittel und/oder weitere Authentifizierungsmodule
können
in einer oder mehreren Stationen verfügbar sein. Jedoch kennt sie
der Server nicht, weshalb diese Verfahren, Mittel und/oder Verfahren
nicht zur Authentifizierung durch den Server dienen können. Wenn
durch einen Anwender eine Anforderung nach einem Zugriff auf ein
geschütztes
Betriebsmittel formuliert ist, wickelt sich ein Dialog zwischen
der Station und dem Server ab. Die ausgetauschten Informationen
hängen
von dem verwendeten Verfahren ab.
-
Ein
erstes großes
Problem rührt
daher, dass es bereits eine große
Anzahl von Authentifizierungsverfahren gibt und dass noch weitere
hinzukommen. Alle diese Verfahren sind hinsichtlich des Sicherheitsniveaus
und Zuverlässigkeitsgrads
sehr verschieden. Zudem gibt es wegen der weltweiten Ausbreitung
von Netzen, ihrer Anwender und von Datenbanken eine immer größere Anzahl
an Bedingungen für
den Zugriff auf geschützte
Betriebsmittel. Überdies
ist erkannt worden, dass die Stationen, die in dem Netz gleichzeitig
vorhanden sein können,
dem Wesen nach sehr verschieden sind, Betriebssysteme verwenden
können,
die sich voneinander unterscheiden, und mit Software- und Hardwarebetriebsmitteln ausgestattet
sein können,
die ebenfalls sehr verschieden sind.
-
Ein
Beispiel einer Authentifizierung mit sehr niedrigem Niveau besteht
darin, den Anwender nach einem Passwort zu fragen, das einer Anwenderidentifikation
zugeordnet ist. Gemäß diesem
Beispiel schickt der Server, wenn der Anwender eine Anforderung
nach einem Zugriff auf eine gegebene Anwendung sendet, als Antwort
eine sogenannte "Web"-Seite, beispielsweise
in der Sprache HTML (HyperText Markup Language), zurück. Diese
Seite wird an dem Bildschirm der Station angezeigt. Sie ist vom
Typ "Formular" und wird in Form
eines Dialogkastens dargeboten. In dem Kasten befindet sich eine
Zone für
die Eingabe eines Kennworts des Anwenders, beispielsweise seines
Namens, und eine Zone für
die Eingabe eines Passworts. Wenn die zwei Zonen der Seite ausgefüllt sind,
sendet ein Klick auf eine in dem Kasten verfügbare Schaltfläche die Seite
zum Server. Das Senden mit dem Protokoll HTTP erfolgt gewöhnlich im
sogenannten "GET"-Modus oder dem sogenannten "POST"-Modus. Der Modus
wird von dem Server in die zur Station übertragene Seite einprogrammiert.
Der Server umfasst eine geeignete Schnittstelle, die CGI (Common
Gateway Interface) genannt wird und die die Informationen, die sie
empfängt,
in einer im Voraus festgelegten Weise darstellt, um so einer gegebenen
Anwendung als normierte Eingabe zu dienen.
-
Damit
der Transaktion ein Minimum an Sicherheit zugute kommt, ist es noch
immer erforderlich, die Identifikationsdaten nicht unverschlüsselt in dem
Netz zu übertragen.
Der Navigator muss folglich vom gesicherten Typ sein und ein logische
Schicht des Netzes, beispielsweise jene, die Sicherheitsschicht
oder SSL-(Secure
Socket Layer)-Schicht genannt wird, oder eine jüngere, die TLS-(Transport Layer
Security)-Schicht genannt wird, verwenden können.
-
Der
Sicherheitsserver verfügt über eine
Sicherheitsdatenbank, die das Kennwort dem Passwort zuordnet. Wenn
der an diesem Datenpaar vorgenommene Vergleich positiv ist, wird
dem Zugriff auf das angeforderte Betriebsmittel zugestimmt. Im gegenteiligen
Fall wird er verweigert. Der Sicherheitsserver kann außerdem ein
Sicherheitsprofil speichern, das einem gegebenen Anwender zugeordnet ist,
wobei ihm das Profil nur das Ausführen bestimmter Operationen
(Lesen, Schreiben usw.) gewährt.
-
Folglich
ist in diesem Beispiel einer Authentifizierung auf niedrigem Niveau
der Hardwareteil der spezifischen Authentifizierungsmittel durch
den Bildschirm und die Tastatur der Station gebildet. In der Station
muss es dann ein Softwaremodul geben, das den Empfang und die Bearbeitung
der von dem Server gesendeten Seite sowie das Zurücksenden
der ausgefüllten
Seite zum Server ermöglicht.
Somit muss der Server außerdem
ein Softwaremodul für die
Anpassung an dieses Verfahren besitzen, das mit dem Softwareteil
der spezifischen Authentifizierungsmittel zusammenarbeitet.
-
Ein
weiteres Beispiel für
eine Authentifizierung mit höherem
Niveau verwendet eine Chipkarte (Karte, die eine integrierte Schaltung
enthält).
In diesem Fall sind die Austauschvorgänge mit jenen, die im vorhergehenden
Absatz beschrieben worden sind, vergleichbar. Jedoch muss der Hardwareteil
der spezifischen Mittel, die die Station besitzt, zusätzlich zu
dem Bildschirm ein Chipkarten-Lesegerät und eine Software für die Schnittstelle
mit diesem Lesegerät
wie etwa jene, die API-(Application Program Interface)-Schnittstelle
oder Anwenderprogrammschnittstelle genannt wird, umfassen. Der in
der Karte enthaltene Chip registriert Identifikationsdaten in chiffrierter
Form. Die Einführung
der Karte kann für
einen Authentifizierungsvorgang genügen, wobei die Identifikationsdaten
gelesen und übertragen
werden. Jedoch werden offensichtlich nicht die Karte oder ihr Träger identifiziert.
Außerdem
wird dieses Verfahren vorzugsweise mit einem Verfahren kombiniert,
das die Eingabe eines geheimen Codes erfordert. Es ist ersichtlich,
dass dann auch das Softwaremodul von jenem des vorhergehenden Beispiels
mit niedrigem Sicherheitsniveau verschieden sein muss. Zum anderen
ist auch ersichtlich, dass die Station ein Softwaremodul für die Anpassung
an dieses Verfahren haben muss, das von dem Modul aus dem vorhergehenden
Absatz verschieden ist und sogar zu diesem Letzteren inkompatibel
sein kann.
-
Ein
weiteres Beispiel einer Authentifizierung hängt außerdem von der Umgebung ab,
in der die Station des Anwenders läuft. Dies gilt beispielsweise für das unter
dem Markennamen "WINDOWS
NT" bekannte Betriebssystem.
Dies kann auch ein dem Betriebssystem hinzugefügtes Modul sein. Der Anwender
muss sich sogar im lokalen Modus, d. h. sogar bei Fehlen jeglicher
Anforderung in dem Internet-Netz an das Datenverarbeitungssystem,
authentisieren. Der Anwender wird also im Voraus deklariert, wobei
seine lokalen Rechte präzisiert
werden. Bei einer Anforderung an den Sicherheitsserver fordert dieser
erneut eine Authentifizierung an. Die stellt einen Zeitverlust dar
und verstimmt den Anwender.
-
Es
gibt auch neue Authentifizierungsverfahren, wobei kurzfristig noch
weitere folgen werden. Diese Verfahren sind im Allgemeinen komplizierter und
bieten eine Authentifizierung mit größerer Sicherheit. Unter den
auftauchenden Techniken können
die Authentifizierung durch biometrische Techniken, die Zertifikate
nach der Norm "X509" usw. angeführt werden.
Die Authentifizierungsverfahren müssen sich folglich an diese
Verfahren anpassen lassen, ohne das Vorhandene stark modifizieren
zu müssen.
Die Authentifizierungsverfahren müssen unter Akzeptierung dieser
neuen Techniken zu den momentan verwendeten Techniken kompatibel
sein ("Abwärtskompatibilität" genannt).
-
Das
folgende Beispiel zeigt ein Authentifizierungsverfahren hohen Niveaus,
das eine biometrische Technik anwendet. Die Station ist dann mit
spezifischen Mitteln versehen, um die erforderlichen biometrischen
Daten wie etwa die Unterschrift des Anwenders, einen digitalen Fingerabdruck
und den Augenhintergrund erfassen zu können. (Messung des Drucks,
der Geschwindigkeit usw. durch einen Messwandler), digitalen Fingerabdruck,
Augenhintergrund, visuelle Erkennung usw. Die Informationen, die
sich auf die Unterschrift beziehen, erfordern die Messung des Drucks,
der Geschwindigkeit und des Bildes und folglich verschiedenartige
und komplexe spezifische Mittel, die an der Peripherie der Station angeordnet
werden müssen.
Für die
visuelle Erkennung kann eine Videokamera, beispielsweise des Typs "WebCam", verwendet werden,
die mit einem parallelen Ein-/Ausgangsanschluss der Station verbunden
ist. Die erfassten Daten reichen normalerweise aus, so dass es nicht
erforderlich ist, ergänzende Identifikationsdaten
wie etwa das Kennwort und ein Passwort erfassen zu müssen. Eine
spezielle API-Schnittstelle ist erforderlich. Dennoch benötigt dieses
spezifische Verfahren spezifische Softwareprogramme, die sehr verschieden
von den zuvor beschriebenen und sogar inkompatibel zu ihnen sind.
-
Oben
ist ein weiteres vorkommendes Authentifizierungsverfahren hohen
Niveaus angegeben worden. Dazu kann auf die Norm "X509" zurückgegriffen
werden. Ein solches Zertifikat stellt verschiedene Daten zusammen,
die gewöhnlich
ein Kennwort, einen sogenannten öffentlichen
Chiffrierschlüssel,
eine chiffrierte Unterschrift und weitere Daten wie etwa das Gültigkeitsdatum
umfassen. Das Zertifikat wird von einer sogenannten "Vertrauensautorität" ("C. A.-Autorität" oder Certification
Authority") unterzeichnet,
die die Authentizität
des öffentlichen Schlüssels garantiert.
Die Version 3 der Norm "X509" lässt die
Einführung
von zwei Kategorien ergänzender
Daten zu: die normierten Erweiterungen wie etwa die Adresse einer
elektronischen Post (E-Mail) und sogenannte "proprietäre" Erweiterungen, die dem Anwender und/oder
dem Sicherheitsserver zur freien Verfügung stehen. Die Vertrauensautorität (C. A.)
ist entweder in den Sicherheitsserver integriert oder unabhängig (ein
spezialisiertes Modul) und wird von diesem Sicherheitsserver beansprucht.
Der private oder geheime Schlüssel
wird von dem Client bewahrt, d. h., dass er der Station bekannt
ist. Die Übertragung
des durch den privaten Schlüssel
unterzeichneten Zertifikats erfolgt durch eine gesicherte Schicht wie
etwa jene, die unter der Abkürzung "SSL" oder "TSL" bekannt ist. Der
private Schlüssel
wird nie übertragen.
Er ist dazu bestimmt, den legitimen Besitz des Zertifikats nachzuweisen.
Die Sicherheitszertifikate können
mit Hilfe von Softwarestücken,
die "Cookies" genannt werden,
auch über
das Internet-Netz übertragen
werden. Wiederum zeigt sich, dass dieses Verfahren spezifische Mittel
und Sicherheitssoftwaremittel einsetzt, die von jenen, die oben schrieben
worden sind, sehr verschieden sind.
-
Es
lässt sich
somit die Verschiedenheit der Verfahren, der spezifischen Mittel
und der entsprechenden Softwareprogramme ermessen. Natürlich unterscheiden
sich die Darstellungen von Daten und/oder Informationen auf dem
Bildschirm von einer Station zur anderen. Ferner sind die Bedürfnisse
der verschiedenen möglichen
Anwender und deren Kenntnisse der Datenverarbeitungstechniken äußerst unterschiedlich.
Dies ist vor allem bei Anwendern des Internet-Netzes der Fall, das
im Allgemeinen nicht auf eine homogene Gruppe von Menschen begrenzt
ist, selbst dann nicht, wenn es sich um ein Netz des Typs "Intranet" handelt.
-
Das
zweite Problem des Standes der Technik geht aus dem folgenden Beispiel
hervor. Das Beispiel bezieht sich auf die Authentifizierung des
Benutzers einer Station, der über
ein Internet-Netz und einen Sicherheitsserver im Rahmen einer Sitzung
des Typs "Client-Server" Zugriff auf geschützte Betriebsmittel
eines Datenverarbeitungssystems haben will.
-
Die Übertragungen über das
Internet-Netz erfolgen nach besonderen Protokollen. Eines der gebräuchlichsten
Protokolle ist unter der Bezeichnung HTTP (Hypermark Text Transfer
Protocol) bekannt. Dieses Protokoll und die meisten der Protokolle,
die gegenwärtig
in Gebrauch sind, sind im Wesentlichen dazu erarbeitet worden, einfache
Abfragen zu bearbeiten, und sind von Personen, die mit der Informatik nicht
vertraut sind, ohne weiteres zu benutzen. Dieses Protokoll wird
in der Station durch ein Modul ausgeführt, das "Navigator" oder "Browser" genannt wird. Jedoch arbeitet das HTTP-Protokoll
im nicht verbundenen Modus. Der Nachteil ist der, dass der Server
den Kontext eines Datenaustauschs mit der Gegenseite zwischen der
Station und dem Server nicht bewahren kann. Dieses Protokoll ist
folglich für transaktionsorientierte
Austauschvorgänge
wenig geeignet.
-
Ein
drittes Problem ist dadurch bedingt, dass es eine große Vielfalt
von Authentifizierungsmodulen gibt. Die gegenwärtig bekanntesten rufen ein
Softwaremodul, das in der Sprache JAVA® "Applet" genannt wird, und
jenes, das insbesondere in der Sprache C "Plug-in" genannt wird, auf. Vor allem im Fall des
Moduls "Plug-in" muss der Anwender
dieses explizit fernladen. Der Anwender kann folglich eingreifen,
um bei komplexen Verfahren das Fernladen von mehreren Modulen zu
steuern. Diese Fernladevorgänge
erfolgen unter verschiedenen Be fehlen, die insbesondere vom Typ
der Station und ihrem Betriebssystem abhängen.
-
Es
gibt ein viertes Problem, das mit der schnellen Entwicklung von
Softwareprogrammen, die sich auf Authentifizierungsverfahren beziehen,
verknüpft
ist. Diese Softwareprogramme werden also häufig aktualisiert. Folglich
kann der Anwender auch gezwungen sein, deren Aktualisierung explizit
fernzuladen.
-
Zusammenfassung der Erfindung.
-
Eine
erste Aufgabe der Erfindung ist es, die Authentifizierung zu automatisieren,
damit kein Anwender mehr in auszuführende Sicherheitssoftwareprogramme
eingreifen muss. Beispielsweise ermöglicht das Verfahren der Erfindung,
dass der Anwender nur sein Kennwort und ein Passwort in die Formularseite
eintragen muss oder nur seine Chipkarte in das Lesegerät, das der
Station zugeordnet ist, einführen muss.
Im Fall eines Authentifizierungsverfahrens durch visuelle Erkennung
durch Kamera müsste
der Anwender keinerlei Aktion ausführen, um seine Authentifizierung
vornehmen zu lassen. Diese Aufgabe entspricht somit der, jedem Anwender
ein Authentifizierungsverfahren anzubieten, das so transparent wie
möglich
ist.
-
Eine
zweite Aufgabe der Erfindung ist es, dem Authentifizierungsverfahren
eine große
Flexibilität
zu bieten, indem die heutigen Verfahren, die Aktualisierung der
entsprechenden Softwareprogramme sowie die künftigen Verfahren und Softwareprogramme
integriert werden, und zwar in einer für jeden Anwender transparenten
Weise.
-
Eine
dritte Aufgabe der Erfindung ist es, das Authentifizierungsverfahren
an jeden Typ von Station anzupassen.
-
Die
Erfindung hat ein Verfahren zum Authentifizieren wenigstens einer
Anwenderentität
wenigstens einer Station mit geschützten Betriebsmitteln eines
Datenverarbeitungssystems über
ein Netz und einen Sicherheitsserver zum Gegenstand, wobei die Station
spezifische Mittel zur Identifizierung in Übereinstimmung mit wenigstens
einem gegebenen Verfahren einrichtet und der Sicherheitsserver ein
Serversicherheitsmanagement-Softwaremodul enthält, dadurch gekennzeichnet,
dass es darin besteht, im Voraus dem Sicherheitsmanagementmodul
ein Stationssicherheitsmanagement-Softwaremodul und ein Stationsan passungs-Softwaremodul
für die
Anpassung an eine maximale Anzahl von Authentifizierungsmodulen,
die für
die Ausführung
einer maximalen Anzahl von Authentifizierungsverfahren notwendig
sind, zur Verfügung
zu stellen, und wobei es, um eine Authentifizierung vornehmen zu
lassen, darin besteht, in die Station über das Netz eine gültige Kopie
des Stationssicherheitsmanagement-Moduls fernzuladen, die in der
Station verifiziert, dass eine gültige
Kopie des Stationsanpassungsmoduls in der Station vorhanden ist,
wobei andernfalls das Fernladen in die Station gesteuert wird, und
das in Übereinstimmung
mit den spezifischen Mitteln, die in der Station verfügbar sind,
die Authentifizierung der Entität steuert.
-
Die
Erfindung hat als unmittelbar damit zusammenhängenden Gegenstand ein Datenverarbeitungssystem,
das wenigstens einen Sicherheitsserver umfasst, der mit wenigstens
einer Station über ein
Netz sowie mit geschützten
Betriebsmitteln verbunden ist, wobei die Station durch eine Entität verwendet
werden kann und spezifische Authentifizierungsmittel gemäß wenigstens
einem gegebenen Verfahren einrichtet und der Sicherheitsserver ein Softwaremodul
für das
Sicherheitsmanagement enthält,
dadurch gekennzeichnet, dass das System das oben definierte Verfahren
ausführt.
-
Die
Merkmale und Vorteile der Erfindung gehen aus der Beschreibung hervor,
die mit Bezug auf die beigefügte
Zeichnung erstellt worden ist.
-
Die
Erfindung ist in den Ansprüchen
1 und 9 definiert.
-
Vorstellung der Zeichnung
-
1 zeigt
in Übersichtsform
ein Ausführungsbeispiel
eines Datenverarbeitungssystem, das ein Authentifizierungsverfahren
gemäß der Erfindung ausführt; und
-
2 zeigt
eine Liste von Verfahren, die in einem Beispiel eines Authentifizierungsverfahrens gemäß der Erfindung
ausgeführt
werden.
-
Ausführliche
Beschreibung von Beispielen, die die Erfindung veranschaulichen.
-
1 zeigt
in Übersichtsform
ein vernetztes Datenverarbeitungssystem 10 gemäß der Erfindung. Da
das System beliebig sein kann, werden nur die an der Ausführung des
erfindungsgemäßen Authentifizierungsverfahrens
beteiligten Elemente beschrieben, wobei die anderen Elemente dem
Fachmann wohlbekannt sind.
-
Das
gezeigte System 10 umfasst wenigstens eine Anwenderentität (U) wenigstens
einer Station 20, die mit wenigstens einem Sicherheitsserver 30 über ein
Netz 11 verbunden ist. Der Sicherheitsserver 30 steht
außerdem
mit mehreren geschützten
Betriebsmitteln 40 (40a–40m) in Verbindung.
Die Betriebsmittel 40 können
Softwarebetriebsmittel wie etwa eine Zeichensoftware und/oder Hardwarebetriebsmittel
wie etwa eine Standard- oder Kommunikationstelephonleitung oder
eine Datenbank sein. Die Betriebsmittel 40 können sich
in bzw. an derselben Servergruppe, die den Sicherheitsserver 30 umfasst,
oder in bzw. an einer fernen Anlage, die beispielsweise durch ein
Netz mit dem Server verbunden ist, befinden.
-
Die
Station 20 enthält
wenigstens einen Prozessor 21, der mit residenten Speichermitteln 22 verbunden
ist. Der Speicher 22 dient zur Speicherung von Softwaremodulen
und Daten, die sich auf die Authentifizierung der Entität U beziehen.
Der Speicher enthält
den Softwareteil der spezifischen Mittel 23 zur Authentifizierung
gemäß einem
gegebenen Verfahren M. Diese spezifischen Mittel umfassen gewöhnlich jeweilige
Hardwareteile, die zur Authentifizierung erforderlich sind, und
Softwaremodule, die für
die jeweiligen Authentifizierungsverfahren spezifisch sind, wobei
die Module gewöhnlich
aus Bibliotheken von dynamischen Verknüpfungen, die DLL-(Dynamic Link
Library)-Bibliotheken genannt werden, oder API-Schnittstellen gebildet
sind. Diese Module repräsentieren
nativen Funktionen, die der Station zueigen und je nach Authentifizierungsverfahren
und Softwareumgebung sehr verschieden sind, vor allem das Betriebssystem
betreffend. Es sei angenommen, dass die Station über eine gegebene Anzahl k
von spezifischen Mitteln 23a–23k für die Authentifizierung
einer entsprechenden Anzahl von Authentifizierungsverfahren Ma–Mk, die
in der Liste von 2 dargestellt sind, verfügt. Im Allgemeinen
ist die Anzahl k eine ganze Zahl wenigstens gleich 1. In der Zeichnung
sind nur die Softwareteile der spezifischen Mittel von der Erfindung
betroffen und in Form von Blöcken,
die in dem Speicher 22 der Station enthalten sind, gezeigt.
Die Anwenderentität
U wird hier als ein Anwender betrachtet, obwohl sie eine Softwareentität wie etwa
eine Anwendung oder die Station selbst sein könnte. Die Authentifizierung
wird durch den Prozessor 21 bearbeitet.
-
Der
Sicherheitsserver 30 umfasst wenigstens einen Prozessor 31 und
Mittel, die den Speicher 32 bilden. Der Speicher 32 dient
zur Speicherung von Daten, die sich auf die Authentifizierung der
Entität
U beziehen. Die Softwaredaten umfassen ein Serversicherheitsmanagement-Modul 33.
Das Managementmodul 33 kann vom oben angeführten Typ
CGI sein und als Hauptfunktion das Managen der Sicherheit und der
auf die Sicherheit bezogenen Austauschvorgänge zwischen dem Server und
den Stationen haben. Zum anderen ist der Server 30 dazu
gedacht, eine maximale Anzahl n von Authentifizierungsverfahren
Ma–Mn
(siehe 2) zu erkennen, die durch eine maximale Anzahl
p von spezifischen Mitteln 23a–23p und eine maximale
Anzahl q von Authentifizierungsmodulen 34a–34q ausgeführt werden
kann. Die Anzahl k von in einer beliebigen Station des Systems verfügbaren spezifischen
Mitteln, die von dem Server erkannt werden kann, ist somit kleiner
oder gleich der Anzahl p. Jedoch haben die Stationen 20 des
Systems 10 möglicherweise
spezifische Mittel, die von jenen, die in dem Server 30 registriert
sind, verschieden sind. In diesem Fall wären diese anderen spezifischen
Mittel von dem Server 30 nicht verwendbar. Im Allgemeinen
kann ein Sicherheitsserver des Systems 10 keine Authentifizierungsmodule
enthalten. Jedoch enthält
der gezeigte Server 30 die Module 34a–34q für die Ausführung der
Anzahl n von Authentifizierungsverfahren Ma–Mn, die in der Liste von 2 dargestellt
sind. Die Module 34a–34q sind mit
dem Managementmodul 33 gemäß dem Stand der Technik gekoppelt.
-
Im
Speicher 32 des Servers 30 steht das Sicherheitsmanagementmodul 33 mit
einem Stationssicherheitsmanagement-Softwaremodul 35 und
einem Softwaremodul 36 für die Anpassung einer Station
an die Anzahl q von Authentifizierungsmodulen 34 in Verbindung.
Das gezeigte Stationsanpassungsmodul 36 steht folglich
mit der Anzahl q von Authentifizierungsmodulen 34 in Verbindung.
Die Funktionen dieser beiden Module gehen aus der nun folgenden
Beschreibung des Authentifizierungsverfahrens hervor.
-
Um
eine Authentifizierung vorzunehmen, besteht das Verfahren der Erfindung
darin, über
das Netz 11 eine Kopie 35' des Stationssicherheitsmanagement-Moduls 35 in
die Station 20 fernzuladen. Das in die Station ferngeladene
Stationssicherheitsmanagement-Modul 35' verifiziert dann, dass die Station
eine gültige
Kopie 36' des
im Server enthaltenen Stationsanpassungsmoduls 36 besitzt.
Andernfalls steuert das Stationsmanagementmodul 35' das Fernladen
einer Kopie des im Server vorhandenen Stationsanpassungsmoduls 36.
Wenn das Verfahren beispielsweise zum ersten Mal in der Station
angewandt wird, enthält
die Station kein Stationsanpassungsmodul 36'. Das Stationsmanagementmodul 35' steuert folglich
das Fernladen einer notwendigerweise aktualisierten Kopie 36' des im Server
vorhandenen Stationsanpassungsmoduls 36. Wenn die Station 20 das
Verfahren bereits angewandt hat, ist das Stationsanpassungsmodul 36' bereits ferngeladen worden
und kann in der Station noch vorhanden sein. Jedoch kann es vor
allem dann, wenn die Aktualisierungsversion nicht mit jener Version
des Anpassungsmoduls 36, die dem Server zur Verfügung gestellt
worden ist, korrespondiert, gegebenenfalls nicht mehr gültig sein.
In diesem Fall steuert das Stationsmanagementmodul 35' das Fernladen
einer gültigen Kopie 36' des Stationsanpassungsmoduls.
Das ferngeladene Managementmodul 35' kann beispielsweise ein Java®-Applet
oder ein Softwarestück
in der Sprache C sein, das gleichzeitig mit einer "Web"-Seite in der Sprache
HTML übertragen
wird.
-
Das
ferngeladene Managementmodul 35' steuert dann die Authentifizierung
gemäß den in
der Station verfügbaren
spezifischen Mitteln. Es gibt zahlreiche Möglichkeiten. Gemäß dem gewählten Beispiel
steuert das im Voraus geladene Managementmodul 35' das Auswählen wenigstens
eines Verfahrens Mj unter den in der Station verfügbaren Verfahren
und das Unterwerfen unter die Anwenderentität U und/oder die spezifischen
Authentifizierungsmittel 23j (nicht gezeigt) der Station,
die von dem ausgewählten
Verfahren betroffen sind. Das Steuern des Auswählens und des Unterwerfens
des Verfahrens Mj kann direkt durch das ferngeladene Managementmodul 35' oder wie in
dem gezeigten Beispiel über
das Stationsanpassungsmodul 36' oder auch über ein beliebiges anderes
Mittel erfolgen. Jedoch könnte
das Unterwerten direkt durch das Anpassungsmodul 36' gesteuert werden.
Das Unterwerfen kann beispielsweise dann, wenn sich das Verfahren
auf eine Authentifizierung durch Kennwort und Passwort bezieht,
den Anwender U miteinbeziehen. Jedoch kann es beispielsweise dann,
wenn das Verfahren einfach darin besteht, eine Minikamera als spezifisches
Mittel 23j zu verwenden, um den Anwender angesichts einer
Authentifizierung durch visuelle Erkennung zu photographieren, den
Anwender U auch nicht miteinbeziehen. Sie kann beispielsweise bei
einer Authentifizierung durch Chipkarte oder durch digitalen Fingerabdruck
auch gleichzeitig den Anwender und die spezifischen Mittel miteinbeziehen.
-
Vorzugsweise
erfolgt das Auswählen
in Abhängigkeit
von seinem Sicherheitsgrad. Beispielsweise weist das von dem ferngeladenen
Managementmodul 35' ausgewählte Verfahren
Mj dem höchsten
Sicherheitsgrad unter den in der Station verfügbaren Verfahren Ma–Mk auf.
Dieses Auswählen
wird vorgezogen, weil das Verfahren Mj dazu gedacht ist, dem Anwender
U den Zugriff auf die größte Anzahl
von geschützten
Betriebsmitteln, die er haben kann, anzubieten. Wohlgemerkt kann
die Wahl dem Anwender überlassen
werden. Wenn er jedoch ein Verfahren Mb mit einem niedrigeren Sicherheitsgrad wählt, hat
er möglicherweise
keinen Zugriff auf die Betriebsmittel, die er wünscht, und muss dann die Authentifizierungsprozedur
erneut beginnen.
-
Das
Auswählen
des Verfahrens Mj mit einem höheren
Sicherheitsgrad kann gemäß einem
ersten Schritt darin bestehen, eine Liste 37 aller in dem
Sicherheitsserver verfügbaren
und nach ihrem Sicherheitsgrad geordneten Verfahren in den Speicher 22 der
Station 20, vorzugsweise zusammen mit dem Fernladen des
Managementmoduls 35 und/oder des Anpassungsmoduls 36,
fernzuladen. Eine solche Liste ist in 2 gezeigt.
Der zweite Schritt besteht darin, unter diesen Verfahren jene(s)
die(das) in der Station verfügbar
sind(ist), auszuwählen.
Dieses Auswählen
kann folglich ab dem Fernladen des Managementmoduls 35 erfolgen.
In diesem Fall könnte die
Liste 37 ein Modul sein, das von den anderen Modulen unabhängig ist,
oder einen Teil dieses Modul bilden. Gemäß dem gewählten Beispiel ist die Liste 37 eine
Komponente des Anpassungsmoduls 36.
-
Vorzugsweise
wird das ausgewählte
Verfahren Mj außerdem
dem Anwender U und/oder den entsprechenden spezifischen Mitteln 23j in
absteigender Reihenfolge ihres Sicherheitsgrades unterworfen. Somit
hat der Anwender von Beginn an die beste Authentifizierung, jedoch
kann er über
ein beliebiges anderes Verfahren verfügen, das in der Station verfügbar ist.
Die Wahl kann mit Hilfe eines Dialogkastens erfolgen, der eine Liste
enthält,
die die Hierarchie der in der Station verfügbaren Verfahren Ma–Mk angibt, und
der dem Anwender beispielsweise mit Hilfe einer Schaltfläche, die
angeklickt wird, das Treffen einer Wahl ermöglicht.
-
Die
Liste 37 von Authentifizierungsverfahren ist im allgemeinen
Fall keine feste Liste, d. h. keine Liste, die ein für allemal
festgelegt ist. Sie kann vorteilhafterweise vom Typ und/oder der
Art des Betriebsmittels, auf das zugegriffen wer den muss, abhängen. Es
ist leicht ersichtlich, dass der Zugriff auf eine Datenbank, die
keine vertraulichen Daten enthält,
kein Authentifizierungsverfahren mit hohem Niveau benötigt. In
diesem Fall lässt
sich die Liste auf ein einziges Verfahren mit niedrigem Niveau (Passwort
und Kennwort beispielsweise) zusammenfassen, oder das mit Mn bezeichnete
Verfahren ist wenigstens ein Verfahren dieses Niveaus.
-
Das
Verfahren kann außerdem
in dem besonderen Fall, in dem die Station ein Betriebssystem aktiviert,
das eine anfängliche
Authentifizierung der Entität
durch die Station benötigt,
dem Anwender eine Hilfe anbieten. Dieser Fall ist in der auf den Stand
der Technik bezogenen Einführung
dargestellt. Das Verfahren besteht darin, unter der Steuerung des
ferngeladenen Managementmoduls 35' diese vorangehende Authentifizierung
zu dem Sicherheitsserver zu senden. Dies kann beispielsweise durch Senden
eines Authentifizierungszertifikats zu dem Server oder mit Hilfe
einer besonderen API-Schnittstelle erfolgen. Wenn die anfängliche
Authentifizierung von dem Server erkannt wird, d. h. wenn sie nach
einem der in dem Server registrierten Verfahren Ma–Mn erfolgt,
akzeptiert der Server diese und gibt dem Anwender die entsprechenden
Zugriffsrechte. Somit muss der Anwender U die Authentifizierungsprozedur
nicht erneut ausführen,
wie dies beim Stand der Technik der Fall wäre. Wenn der Server die anfängliche
Authentifizierung nicht akzeptiert, nimmt er eine erfindungsgemäße Authentifizierung
wie jene, die oben beschrieben worden ist, vor. Diese Prozedur ist
für den
Anwender völlig
transparent. In diesem Fall kann im Übrigen von einer Prozedur des
Typs, der gewöhnlich
in der angelsächsischen
Terminologie als "Single
Sign On" bekannt
ist, gesprochen werden. Im Übrigen
kann das Verfahren der Erfindung unter Berücksichtigung der Einfachheit
der Ausführung
der Erfindung Authentifizierungen in regelmäßigen Intervallen gemäß im Voraus
erstellten Sicherheitsvorschriften vorsehen, die in einer Datenbank, die
von dem Sicherheitsmanagementmodul 35 des Servers konsultiert
werden kann, registriert sind.
-
Im
Rahmen des als Beispiel genommenen Internet-Netzes sind die Informationen,
die zwischen den Managementmodulen 35 und 35' ausgetauscht werden,
aus einer Folge von "Schlüsselwort/Wert"-Paaren gemäß der Kodifizierung
des Typs "QueryString
HTTP", die für die Übertragungen des
Internet-Typs verwendet werden, gebildet. Jedoch sind die Schlüsselworte
und die Wertekonventionen für
die Erfindung spezifisch. Ebenso erfolgt die Beförderung der Daten, die in dem
gezeigten Beispiel ausgeführt
wird, gemäß einem
normierten Kommunikationsprotokoll wie beispielsweise "HTTP". Es können andere
Protokolle, beispielsweise das in der Entwicklung stehende "IIOP" (für "Internet Interchange Object
Protocol"), das
Transaktionen im sogenannten verbundenen Modus erlaubt, verwendet
werden.
-
Zum
anderen könnte
der Server 10 ein Softwaremodul für die Anpassung des Servers
an die Authentifizierungsmodule 34a–34q enthalten. Dieses Softwaremodul
wäre nützlich,
wenn der Server 30 oder das Servermanagementmodul 33 nicht
allein die Verifizierung der von der Station 20 empfangenen Daten
gewährleisten
kann, sondern sämtliche
Authentifizierungsmodule oder einen Teil von diesen hinzuziehen
muss.
-
Ferner
ist oben gesagt worden, dass die Authentifizierungsmodule (34a–34q)
nicht in dem Sicherheitsserver (30) enthalten sein können. Jedoch könnten sie
wenigstens zum Teil auch in dem Sicherheitsserver enthalten sein.
-
Das
Verfahren der Erfindung bietet folglich eine große Flexibilität in der
Anwendung und erweist sich als transparent für den Anwender. Sie lässt sich gleichzeitig
an eine Vielzahl von gegenwärtig
bekannten Authentifizierungsverfahren und an künftige Verfahren sowie an eine
Vielzahl von Stationen anpassen.
-
Das
Authentifizierungsverfahren bietet folglich zahlreiche Vorteile,
insbesondere die folgenden: Beherrschung der Vielzahl von Konfigurationen
von Stationen, Einfachheit für
den Endanwender, Transparenz der Operationen: bei bestimmten Verfahren muss
lediglich ein Passwort und eventuell ein Kennwort eingegeben werden,
Automatismus von Fernladevorgängen
und mögliche
Kompatibilität
zu allen gegenwärtigen
und kommenden Techniken, ohne weder große Modifikationen noch das
Fernladen einer Vielzahl von verschiedenen Modulen zu erfordern.