EP1470685A1 - Secure network architecture - Google Patents

Secure network architecture

Info

Publication number
EP1470685A1
EP1470685A1 EP02754937A EP02754937A EP1470685A1 EP 1470685 A1 EP1470685 A1 EP 1470685A1 EP 02754937 A EP02754937 A EP 02754937A EP 02754937 A EP02754937 A EP 02754937A EP 1470685 A1 EP1470685 A1 EP 1470685A1
Authority
EP
European Patent Office
Prior art keywords
communication
network
server
server group
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP02754937A
Other languages
German (de)
French (fr)
Inventor
Abolhassan Agha
Michael Höhre
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Agha Abolhassan
HOEHRE, MICHAEL
Original Assignee
Agha Abolhassan
Hohre Michael
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Agha Abolhassan, Hohre Michael filed Critical Agha Abolhassan
Publication of EP1470685A1 publication Critical patent/EP1470685A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2557Translation policies or rules

Definitions

  • the present invention relates to a communication network, a method for carrying out communication in the communication network and a communication module for use in the communication network.
  • nodes All servers, workstations etc. or existing networks, which are permanently or temporarily (dynamically) connected to the Internet, are briefly referred to below as nodes.
  • Example RFC 2827 tries to restrict the falsification of source addresses. This RFC is classified in the Best Current Practice category and is therefore only a recommendation.
  • PKI Public Key Infrastructures
  • SSL Secure Socket Layer
  • VPN Virtual Private Networks
  • a respected German fixed network operator offers its large customers so-called intelligent networks e.g. to operate origin-dependent service numbers that the major customer can administer independently via the Internet. Misuse of the administration access would make it possible, e.g. to permanently connect the customer's entire call center infrastructure with the local telephone counseling - at the push of a button. Since this is a business-critical application, the provider tries to take this into account in the form of the following solution:
  • the provider issues a certificate to the major customer, which is sent to the major customer via diskette (ie beyond the Internet), and there in the browser of the Large customers must be installed.
  • the certificate can only be activated by a password, which is also sent separately.
  • the administration service is accessed via an encrypted connection of adequate key length. If you look at the chain consisting of browser, internet connection and administration server and assume that the technology used was implemented without errors (eg no starting points for buffer overflow attacks), there is not necessarily a reason to be concerned given this horizon.
  • the present invention is therefore based on the object of providing a communication network, a communication method and a communication module for use in a communication network which does not have the above-mentioned disadvantages or at least to a lesser extent and in particular the possibilities of misuse of the data of users of a communication network significantly reduced.
  • Claim 12 solved.
  • the sub-claims contain further refinements of the Communication network or the communication process.
  • a user is to be understood as a node here.
  • the present invention is based on the following idea:
  • Electronically stored data are usually stored on a data carrier (hard disk, CD, chip card, memory, etc.).
  • the data is accessed by a program that controls a read / write device suitable for the respective storage medium.
  • Such a program is usually integrated into an operating system that enables potential users to access the data in the form of so-called services.
  • a user of a computer in a so-called network-transparent file system can access his local data, i.e. use the data stored on his computer in the same way as data that is actually stored on another computer.
  • the data of the remote computer are accessed by the operating system of the local computer using the corresponding services of the operating system of the remote computer on the basis of a communication protocol.
  • the authorization to use the service on the remote computer is based on an identification of the requesting user or his computer. In such a system, unauthorized use of a service can take place on the remote computer by pretending the remote computer to have an incorrect identity.
  • the invention now provides according to claim 1, already at the network level to provide a communication module in the communication path (in the communication line) between a first server or a first server group and a second server or a second server group that only uses one in which allows the first server or the first server group existing service by the second server or the second server group, but not the use of a service existing in the second server or the second server group by the first server or the first server group.
  • the invention provides a communication method for carrying out communication in a communication according to the invention.
  • onsnetzwerk which is characterized in that the server groups exchange data via the or the communication channels and that the communication module decides on the authorization to access the service of a server group.
  • the invention provides to create a communication module for use in a communication network according to the invention.
  • the communication module is characterized in that it comprises a communication protocol that includes the identification of servers or server groups.
  • the invention offers the possibility of reducing misuse of the data of users of a data processing network by orders of magnitude, in particular if the connection establishment between a data processing infrastructure or server group; and an access-authorized node takes place exclusively at the instigation of the access-authorized node. In this way, it is prevented in a simple manner that a connection can be established between the first access-authorized node and a second access-authorized node via the data processing infrastructure without the other node having to do anything, via which an attack on the data of the other node could take place.
  • an access module to enable access to an internal data processing infrastructure of the data processing center by an external user and the output of data from the internal data processing infrastructure to the user is available.
  • the access module is designed such that a connection between the external user and the data processing infrastructure can only be initiated by the external user.
  • the authorization of the individual nodes can be obtained in a known manner via corresponding usage contracts, the conclusion of which is usually followed by a corresponding check or identification of the node operator of the respective node.
  • the invention makes it possible to restructure the classic Internet in the direction of an infrastructure which is structured based on service relationships and is hereinafter referred to as Application Service Infrastructure (ASI) on the basis of a network architecture which has been optimized in terms of security.
  • ASI Application Service Infrastructure
  • An application service provider is therefore a person or organization that provides one or more services for another person or organization on the basis of a communication network. Perhaps the simplest example would be to publish a private homepage.
  • ASU Application Service User
  • ASC Application Service Customer
  • ASP Application Service Provider
  • the application service does not necessarily have to be provided by the operator of a data processing center. Rather can if necessary, another functional role can be identified, namely that of a so-called
  • ASIP Application Service Infrastructure Provider
  • ASU Application Service User
  • ASP Application Service Provider
  • ASIP Application Service Infrastructure Provider
  • the data processing infrastructure can comprise a single access area or infrastructure area as a data processing structure, for example a single server or the like, to which the access-authorized nodes can access.
  • the data processing structure can also as a network, similar to a LAN (Local Area Network).
  • the data processing infrastructure preferably comprises several data processing structures (access areas, infrastructure areas).
  • At least one access-restricted first data processing structure is preferably provided, the access module or a connection setup controller present in the access module then being designed to establish a connection between a node and the first data processing structure only in the case of an authorization of the node assigned to the first data processing structure in order to provide access only to appropriately authorized nodes to grant the first data processing structure or the services provided there.
  • an application service provider wants to administer a service made available in the data processing center via a connection to the data processing center
  • at least one server is assigned two data processing structures, one of which provides the service and the other as administration access for the application service Provider (ASP) serves.
  • ASU Application Service User
  • ASC Application Service Customer
  • ASP Application Service Providers
  • the Application Service Customer can position so-called private services in the Application Service Infrastructure.
  • Private services can e.g. B. have the character of a private network and can only be used by the Application Service Customer (ASC) himself or his Application Service User (ASU).
  • the Application Service User (ASU) of the Application Service Customer (ASC) only has access to the services for which the Application Service Customer (ASC) has concluded a usage contract with the respective Application Service Provider (ASP).
  • ASP Application Service Provider Only the Application Service User (ASU) of the Application Service Customer (ASC) can initiate a connection to a service node, ie to the data processing infrastructure or to a corresponding first infrastructure area of the same. The reverse direction is not possible.
  • the use of a service node by an Application Service User (ASU) of the Application Service Customer (ASC) is a directional relationship, ie it is guaranteed that the operator of the service node, conversely, does not have access to the customer's local IT infrastructure.
  • ASC Application Service Customer
  • a basic idea of the invention is accordingly to provide services in separate rooms to the user. These rooms are formed by the first infrastructure areas (data processing structures), which are also referred to below as network safes.
  • a network safe only connects servers or the like, which together provide a service and are in a relationship of trust with each other.
  • the services provided by a network safe can only be used by authorized nodes or node groups, with the private resources of the nodes or node groups being protected against mutual access.
  • the invention makes it possible to replace the previous approach of the almost unlimitedly open but security-deficient Internet, as well as the approach of completely closed networks, with a secure, standardized and flexible structure according to the invention that is based on explicit service relationships.
  • the nodes are connected to the data processing infrastructure via a communication line exclusively assigned to the respective node and the Control of the establishment of the connection with the first infrastructure area is based on the respective assigned communication line.
  • this is achieved in that for at least a number of communication lines assigned exclusively to a node in each case, an interface device of the data processing infrastructure assigned exclusively to the respective communication line is provided and a connection establishment control for access-based control of the connection establishment to the first infrastructure area in Dependence on the interface device is formed.
  • a connection establishment control for access-based control of the connection establishment to the first infrastructure area in Dependence on the interface device is formed.
  • only connections to the first infrastructure area are established via the connection establishment control, which are made via the communication lines or interface devices permanently assigned to them, which are assigned in a predetermined manner in accordance with access-authorized nodes.
  • the assignment can only be modified by the operator of the data processing center or at his request.
  • the local IT infrastructures of the application service customer (ASC) in question are preferably connected in a dedicated manner to the data processing center, also referred to below as the network operation center (NOC), which provides the application service infrastructure (ASI), that is to say the data processing infrastructure.
  • NOC network operation center
  • ASI application service infrastructure
  • Dedicated connection here means that the local structures of the Application Service Customer (ASC) are provided with identification that cannot be manipulated by software.
  • Dedicated lines are, for example, dedicated lines or connections with other physically anchored identification mechanisms. If several Network Operation Centers (NOC) are provided, the local IT infrastructures of the relevant Application Service Customer (ASC) are connected to the closest Network Operation Centers (NOC).
  • the security problems existing at the network level in the classic Internet can be overcome in a simple manner, which result almost exclusively from the fact that the security mechanisms are based on the content of one or more data packets.
  • data packets can be generated and manipulated almost arbitrarily by appropriate software.
  • the security mechanisms of this preferred variant of the invention are based on simple chains, the first link of which is always anchored to the physical access path of a packet. Attacks on such anchored security mechanisms require, as mentioned, the attacker's direct personal access to the physical infrastructure on site. The number of potential attackers is thus reduced by several orders of magnitude compared to the classic Internet.
  • connection set-up via a specific communication line is permitted or not can be carried out using simple lists which the connection set-up controller accesses and in which the access lines authorized for access for the respective first infrastructure area are stored.
  • the communication line is preferably a secure connection between the respective access-authorized node and the data processing center, for example a dedicated line or the like, which is not easily accessible for attacks or manipulation.
  • the invention can also be used in connection with other, less manipulation-proof communication lines, provided that an identification feature for the node that cannot be manipulated by software is present.
  • the term communication line is intended not only to include a physical line, but also to include communication connections which establish communication at least in sections in some other way, for example radio-based.
  • the advantages of the invention, in particular the Manipulation options can also be achieved here, albeit possibly to a lesser extent or with greater effort.
  • dial-in solutions must first be assessed from a security perspective. The selected solution is then to be integrated in a structurally harmonious manner.
  • the operation of dial-in solutions in the context of a network architecture according to the invention also creates additional security here compared to a conventional infrastructure, in which a connection to the entire network may be established.
  • the connected node is still only connected to the network safe (s) (first infrastructure areas) that have been released, but never to the entire network.
  • Preferred variants of such dial-in solutions that can be implemented on their own or in combination can look as follows:
  • the dial-in server permanently assigns the source address of a dial-in connection to the user.
  • the address ranges used can be distinguished from the address ranges of dedicated connections, so that more stringent security rules based on them can be used in the further course.
  • the check as to whether a connection is established or not can be carried out for all access variants on the basis of any criteria that enable an unambiguous assignment to a specific communication line. For example, it can be provided that when an attempt is made to establish a connection to a first infrastructure area via a specific communication line by a device assigned to the communication line, a corresponding identification feature is passed on to the connection establishment control, on the basis of which the latter decides whether the connection is established or not.
  • the via a communication line data arriving from a node in the data processing center are provided with an identification feature uniquely assigned to the communication line.
  • the connection establishment with the first infrastructure area is then controlled as a function of this identification feature.
  • this is achieved in a simple manner by providing at least one identification device assigned to the respective communication line, which is used to identify data arriving in the data processing center with an identification feature clearly assigned to the communication line.
  • the connection establishment control is then designed to control the connection establishment with the first infrastructure area depending on the identification feature. If there are several infrastructure areas, several identification features can be assigned accordingly.
  • the identification device in question is assigned to an interface.
  • the marking device can be part of such an interface.
  • the identification feature can be assigned to the data in any manner. It is preferably carried out by means of a so-called network address translation (NAT), in particular a source network address translation (S-NAT), or a connection tracking module, which is preferably implemented in the network architecture according to the invention or the data processing center according to the invention in that the identification device is designed to assign the identification feature by means of Network Address Translation (NAT).
  • NAT network address translation
  • S-NAT source network address translation
  • connection tracking module which is preferably implemented in the network architecture according to the invention or the data processing center according to the invention in that the identification device is designed to assign the identification feature by means of Network Address Translation (NAT).
  • NAT Network Address Translation
  • the Application Service Customer receives a source address that is clearly assigned to it and cannot be manipulated by software, which is thus used as the starting point for further access decisions.
  • the address space of the data processing center i.e. the Network Operation Center (NOC)
  • NOC Network Operation Center
  • the data processing infrastructure comprises at least two first infrastructure areas (data processing structures) and at least one connection in the form of a second infrastructure area between the first infrastructure areas, via which the first infrastructure areas are connected , for example to administer the first infrastructure area with the help of a further first infrastructure area.
  • the second infrastructure area can be a server, for example, which is connected to at least two first infrastructure areas.
  • ASP Application Service Providers
  • B2B business-to-business
  • a number of data processing centers that can be connected to one another via secure communication connections and at least one synchronization device are preferably provided, via which the data processing centers can be synchronized, so that in several data processing centers there are synchronized first infrastructure areas, ie network safes.
  • This makes it possible, for example, to provide services for Application Service Customers (ASC) whose Application Service Users (ASU) are located at different locations. Thanks to the synchronization of the data processing centers, they can then access the nearest data processing center in a cost-effective manner.
  • ASC Application Service Customers
  • ASU Application Service Users
  • a network safe can also be assigned to different network operation centers (NOC), H.
  • NOC network operation centers
  • H network operation centers
  • Data processing centers different operators can be distributed, so that here, too, higher-level organizational structures comparable to the classic Internet must exist or be provided, which are responsible for the administration of the address space.
  • the invention makes it possible to migrate to an alternative network architecture which, based on the weaknesses in the architecture of the classic Internet mentioned at the outset, primarily meets the following requirements:
  • the foundations of the network architecture or data processing center according to the invention are already designed such that in principle only the nodes can use the data processing infrastructure or the same areas of the data processing infrastructure, the node operators of which are in a desired service relationship with one another.
  • the term service relationship is to be understood as a directional connection, so that private resources of all parties involved in the context of a service relationship are adequately protected.
  • provider B The same applies in general to different users: Even if user A and user C use the same service, your private resources are mutually protected against unauthorized access, in particular by each other.
  • the properties of the network architecture or data processing center according to the invention assured of a user with regard to access security can advantageously be certified by a trustworthy external institution and monitored regularly.
  • the network architecture or data processing center according to the invention must be operated in an audit-proof manner, not least from the aforementioned aspect.
  • the starting point of service use can already be assigned to a user or user group in a manipulation-proof manner at the network level.
  • the alternative architecture can be set up and operated parallel to the classic Internet. It enables secure and controlled communication with the classic Internet, provided that a Secure Internet Gateway is available in the form of its own network safe. It also enables a gradual migration based on the classic Internet, since it does not have to be set up independently and ad hoc. The migration can initially be enforced in security or business-critical service infrastructures, since there is a high need for protection here.
  • the alternative architecture to the classic Internet is sufficiently flexible with regard to changing requirements.
  • it is also open to the integration of the business-to-consumer (B2C) and the consumer-to-consumer area.
  • FCAPS Fault Management
  • C Configuration Management
  • A Accounting
  • S Security Management
  • the user interface for the management of the network architecture according to the invention essentially as a front end of a management database specific for the network architecture according to the invention.
  • Protocol and configuration data are only exchanged via the database.
  • Device- or operating system-specific backends are used to transfer the configuration data to the corresponding devices or servers.
  • ASIP Application Service Infrastructure Provider
  • ASC Application Service Customer
  • ASP Application tion service provider
  • FIG. 1 shows a schematic block diagram of a preferred variant of the network architecture according to the invention
  • FIG. 2 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention.
  • FIG. 3 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention.
  • FIG. 4 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention.
  • FIG. 5 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention.
  • FIG. 6 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention.
  • FIG. 7 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention.
  • FIG. 8 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention
  • FIG. 9 shows a schematic block diagram of a preferred variant of the data processing center according to the invention
  • FIG. 10 shows a schematic block diagram of a preferred variant of a detail of the data processing center from FIG. 9.
  • FIG. 1 shows a schematic block diagram of a preferred variant of the network architecture according to the invention, in which the method according to the invention is used.
  • the network architecture comprises a data processing center 1, hereinafter referred to as a network operation center (NOC), which has a data processing infrastructure 2 which can be connected to the nodes 4 of a data processing network via communication lines in the form of dedicated lines 3.
  • NOC network operation center
  • the nodes 4 are entitled to access the Network Operation Center (NOC) 1 as a result of corresponding usage contracts.
  • NOC Network Operation Center
  • the nodes 4 are formed by so-called local area networks (LAN).
  • LAN local area networks
  • a node can also be a single computer.
  • the data processing infrastructure 2 which is also referred to below as the Application Service Infrastructure (ASI), represents an infrastructure via which one or more so-called Application Service Providers (ASP) determined one or more so-called Application Service Customers (ASC) Services, i.e. H. To provide services, for example in the form of certain applications or the like.
  • the operator of the Network Operation Center (NOC) 1 is referred to as the Application Service Infrastructure Provider (ASIP) because it provides the necessary infrastructure.
  • ASIP Application Service Infrastructure Provider
  • ASIP Application Service Infrastructure Provider
  • ASIP Application Service Infrastructure Provider
  • ASIP Application Service Infrastructure Provider
  • ASIP Application Service Infrastructure Provider
  • ASIP Application Service Infrastructure Provider itself also operates as an Application Service Provider (ASP), i. H. not just the infrastructure, but certain services.
  • the Application Service Infrastructure (ASI) 2 has a number of separate first infrastructure areas in the form of so-called network safes 5.
  • the network safes 5 have no direct connections to one another, which is indicated in FIG. 1 by the crossed arrows 6.
  • the application service customer who is authorized to access on the basis of user contracts, ie. H. certain services are provided to the operator of a node 4, which is authorized to access the corresponding Network Safe 5, by an Application Service Provider (ASP).
  • ASP Application Service Provider
  • ASIP Application Service Infrastructure Provider
  • NOC Network Operation Center
  • a Network Safe 5 connects only servers that provide a service together and are in a relationship of trust. As mentioned, the services provided by a network safe 5 can only be used by authorized nodes 4, the private resources of the nodes 4 being protected against mutual access, as will be explained further below.
  • a Network Safe 5 is in principle comparable to a Local Area Network (LAN), but for which the additional standardized communication restrictions explained below and guaranteed by the operator of the Network Operation Center (NOC) 1 apply:
  • the Application Service Infrastructure (ASI) 2 has a connection setup controller in the form of a so-called Application Service Infrastructure Access Router (ASI-AR) 7 for authorization-based control of the connection setup between the nodes 4 and the network safes 5.
  • ASI-AR Application Service Infrastructure Access Router
  • the Application Service Infrastructure Access Router (ASI-AR) 7 is designed in such a way that connections between a specific node 4 and a specific network safe 5 are only established when this specific node 4 is initiated. This ensures that none of the network work safes 5 can be misused as routers in order to establish a connection between a first node 4.1 and a second node 4.2 without causing the respective other node. This is indicated in FIG. 1 by the crossed double arrows 8 and ultimately means that the private resources of the respective node 4 are protected against unauthorized access by others via the network operation center (NOC) 1 according to the invention.
  • NOC network operation center
  • the access scheme of the nodes 4 to the network safes 5, with which the Application Service Infrastructure Access Router (ASI-AR) 7 works, is represented in FIG. 1 by points 9, which connect horizontal and vertical lines 10 and 11 to one another in accordance with the respectively permitted service relationships :
  • the horizontal lines 10 symbolize the connections to the network safes 5, in which the servers are grouped which maintain a trust relationship within the scope of the provision of a service. Servers of a network safe 5 can communicate with one another without restriction.
  • the respective service is provided exclusively by exactly one server, only this server is located within the corresponding network safe 5.
  • the vertical lines 11 symbolize the access routes starting from the local infrastructures of the Application Service Customer (ASC), that is from the ASC.
  • ASC Application Service Customer
  • Access from a node 4 for example by the Application Service User (ASU) of an Application Service Customer (ASC) from a LAN of the Application Service Customer (ASC), to the Network Operation Center (NOC) 1 takes place exclusively via a dedicated access path, namely via dedicated lines 3.
  • ASU Application Service User
  • ASC Application Service Customer
  • NOC Network Operation Center
  • the Application Service Infrastructure Access Router (ASI-AR) 7 is designed for access-based control of the connection establishment depending on the dedicated line 3, via which the connection establishment is initiated. For this purpose, the Application Service Infrastructure Access Router (ASI-AR) 7 detects which leased line 3 is used to initiate the connection and establishes the connection with those network safes 5 which are assigned to this leased line 3 by the access lists mentioned above.
  • NAT network address translation
  • NAT network address translation
  • ASI-AR Application Service Infrastructure Access Router
  • each node 4 receives a source address which is clearly assigned to it and cannot be manipulated by software and which is used as the starting point for further access decisions.
  • NOC Network Operation Center
  • the access path of node 4 to the Network Operation Center thus becomes a directed, non-transitive usage relationship, i.e. Neither servers from a Network Safe 5 nor nodes 4 from different LAN environments can mutually access private infrastructures.
  • the addressing scheme used in the figures was based on IP V4 for didactic reasons and was also greatly simplified: the network masks used to subdivide certain network areas always end at 8-bit boundaries; Implications of redundant structures are ignored.
  • Network Safe 5 can also be distributed to different Network Operation Centers (NOC) from different operators, so that here too there must be higher-level organizational structures comparable to the classic Internet that are responsible for managing the address space would.
  • NOC Network Operation Centers
  • the address space used in the examples is divided into individual network areas as follows: 10.n. *. * Is the address space of the entire Network Operation Center (NOC) No. n; In the figures with only one network operation center (NOC), a network operation center (NOC) with the number 1 is assumed.
  • connection points 9 of the vertical access lines 11 with the horizontal service lines 10 each mark an access connection or permission for the respective service user or user group with respect to the service of the respective network safe 5.
  • FIG. 2 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention, which corresponds to a supplemented network architecture from FIG. 1. Identical components were therefore identified with identical reference numbers.
  • the network safes 5 have been supplemented by a simplified, representative server configuration.
  • the Network Safe S1 is used by Application Service Customer ASC1, which operates node 4.1, as a private network.
  • the server 14 connected to this network could, for example, provide cross-location intranet functionality for the Application Service Customer ASC1.
  • the server 14 is administered by the Application Service Customer ASC1 itself.
  • Network Safe S2 and S3 have an analogous meaning:
  • the connected servers 15 and 16 house the private services of Application Service Customer ASC2 and Application Service Provider ASP1, which operate nodes 4.2 and 4.3, respectively.
  • the application service provider ASP1 provides a service to the application service customer ASC1 and the application service customer ASC2 on second infrastructure areas in the form of separate servers 17 and 18 in the network safes S4 and S5.
  • the servers 17 and 18 are administered by the Application Service Provider ASP1 on the basis of Network Safe S6.
  • the servers 17 and 18 connect the two network safes S4 and S6 or S5 and S6 as second infrastructure areas.
  • a Network Safe 5 connects only the servers that provide a service together and are in a relationship of trust with each other.
  • the services provided by a network safe 5 can only be used by authorized nodes 4, the private resources of the nodes 4 being protected against mutual access.
  • a Network Safe 5 is in principle comparable to a Local Area Network (LAN), but for which additional standardized communication restrictions that are guaranteed by the operator of the data processing infrastructure apply:
  • a network safe 5 only accepts data packets which contain, as the source address, the address of the network interface 13 of a node 4 which is authorized to access the relevant network safe 5.
  • the data packets leaving a Network Safe 5 must contain the address of another server in the same Network Operation Center (NOC) or the address of an access-authorized node as the destination address.
  • NOC Network Operation Center
  • nodes 4 can access a network safe 5 whose node operators are authorized to use the service of the respective network safe 5.
  • This usage relationship is a directional relationship, i.e. Even if the node 4 of the service user would also provide a service, this can neither be used by the server of the network safe 5 nor by another node 4.
  • the security mechanisms are based on the content of one or more data packets that can be manipulated and manipulated by software
  • the security mechanisms of the network architecture described are based on simple chains, the first link of which is always anchored to the physical access path of a packet ,
  • the filter chains of the Network Safes 5 are explicitly linked to the server ports and the output port of the Network Safes 5.
  • the Network Operation Center (NOC) is accessed via a physical-level access path, namely dedicated lines 3.
  • the dedicated access path is accessed clearly bound a source address that automatically receives all data packets that reach the Network Operation Center (NOC) in this way.
  • FIG. 3 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention, which corresponds to a first application scenario of the network architecture from FIG. 2. Identical components have been identified with identical reference numbers.
  • the first application scenario from FIG. 3 is a simplification of the server constellation from FIG. 2.
  • Application service provider ASP1 makes its application available on a server 19 which is shared by the application service customers ASC1 and ASC2.
  • the server is administered using the same Network Safe S4.
  • Application Service Customer ASC1 and ASC2 in turn operate private servers 14 and 15 in Network Safe S1 and S2.
  • the server 19 is therefore operated IP-based with completely separate client data via the operating system and / or databases.
  • devices such as firewalls, a so-called trusted operating system or, as mentioned, an application with IP-based privilege restrictions can be used.
  • FIG. 4 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention, which corresponds to a second application scenario in the form of a refinement of the network architecture from FIG. 2. Identical components have therefore been identified with identical reference numbers.
  • the Network Safe S6 is additionally used to supply the application, which is provided on the servers 17 and 18 as described for FIG. 2, with database services.
  • a first database server 20 connected to the Network Safe S6 is available for the Application Service Customer ASC1 and a second database server 21 connected to the Network Safe S6 for the Application Service Customer ASC2.
  • FIG. 5 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention, which corresponds to a third application scenario in the form of a modification of the network architecture described in relation to FIG. Identical components were identified with identical reference numbers.
  • the application service provider ASP1 provides a service for the application service customers ASC1 to ASC5 on a server 22 which is connected to the network safes S7 and S8.
  • the nodes 4 of the Application Service Customer ASC1 to ASC5 are connected to the Network Safe S7 and access the server 22 via this, while the Application Service Provider ASP1 unregisters the service via the Network Safe S8 in a manner that is already the case Figure 2 has been described.
  • the server 22 is operated IP-based via the operating system and / or databases with completely separate client data for the application service customers ASC1 to ASC5.
  • devices such as firewalls, a so-called trusted operating system or, as already mentioned above, an application with IP-based privilege restrictions can also be used here.
  • FIG. 6 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention, which corresponds to a fourth application scenario in the form of an addition to the network architecture described in FIG. 2, so that only the addition is to be dealt with.
  • Identical components have been identified with identical reference numbers.
  • a second application service provider ASP2 makes another service available to application service customer ASC1 and application service customer ASC2 on separate servers 23 and 24 in network safes S9 and S10.
  • the servers 23 and 24 are administered by the second application service provider ASP2 starting from Network Safe S11. It is also assumed here that the application in combination with the operating system may be able to provide the administration services only on the network interface connected to Network Safe S11.
  • FIG. 7 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention. This is an extension of the basic model shown in FIG. 2 to two network operation centers (NOC) 1.1 and 1.2, the network operation center (NOC) 1.1 corresponding to the network operation center (NOC) 1 from FIG. 2 ,
  • the contents of the Network Safes 5.1 and 5.2 and the servers 17.1 and 17.2 or 18.1 and 18.2 are each synchronized with each other, so that the Application Service Customer ASC1 and ASC2 or the Application Service Provider ASP1 in both Network Operation Centers (NOC) 1.1 and 1.2 the same data is available.
  • NOC Network Operation Centers
  • the Application Service Customer ASC1 or ASC2 access the respective Network Operation Center (NOC) 1.1 or 1.2 from different access points 4.1.1 and 4.1.2 or 4.2.1 and 4.2.2.
  • NOC Network Operation Center
  • the expansion of the basic model to several network operation centers takes place via dedicated, correspondingly tamper-proof communication connections of the participating network operation centers (NOC) 1.1 and 1.2, which are implemented in the form of dedicated lines 25.
  • NOC participating network operation centers
  • the distribution of a network safe Several Network Operation Centers (NOC) are carried out by appropriate routers, not shown in FIG. 7, ie synchronization devices, that is to say on OSI Network Layer 3.
  • each Network Operation Center should be externally certified in accordance with the communication restrictions mentioned and operated in an audit-proof manner in accordance with the relevant organizational rules. In this way it can be excluded that data packets are manipulated by attack software within the infrastructure, which enables the use of conventional layer 3 technology at this point.
  • FIG. 8 illustrates, as an extension of the variant from FIG. 7, the possibility of synchronizing n network operation centers NOC1 to NOCn, in particular their network safes 5.1 to 5.n, with n being an arbitrary integer.
  • FIGS. 7 and 8 Examples were set out in FIGS. 7 and 8 in which all the infrastructure areas of the Network Operation Center (NOC) are synchronized with one another.
  • NOC Network Operation Center
  • ASC Application Service Customer
  • ASP Application Service Provider
  • FIG. 9 shows a schematic block diagram of a preferred example of a technical implementation of the core architecture of the Network Operation Center (NOC) 1 from FIG. 1.
  • a modular multilayer switch Catalyst 6506 from CISCO Systems Inc. is assumed as the first core component 26.
  • a connection of the customers by X.21 dedicated lines 3 was assumed.
  • ASI-AR Application Service Infrastructure Access Router
  • NOC Network Operation Center
  • the entire access area, especially the customer-side router 28, is the responsibility of the operator of the Network Operation Center (NOC) 1.
  • the dial-in area via which a mobile user 29 can dial in via a telecommunications network 30, is covered by a component 31 in the form of a modular multiservice router CISCO 3620.
  • a component 31 in the form of a modular multiservice router CISCO 3620.
  • the router of the dial-in area uses the authentication server (ACE / KEON), which is shown in connection with the Secure Internet Gateway described with reference to FIG.
  • An Internet service server 32, a Unix firewall 33, a virus scanner 35 and a security server 36 are also available as further components, which are connected to the first core component 26.
  • the network safes 5 are implemented as so-called virtual LANs (in the terminology of the company CISCO Systems Inc. for short VLANs), which are connected to the first core component 26.
  • a respective application server 36 is connected to the network safes 5.
  • VLANs virtual LANs
  • the original idea was to use virtual LANs (VLANs) of this kind across locations to implement the network safes.
  • VLANs virtual LANs
  • Such an implementation would have had the following disadvantages: In the case of network safes that would have been equipped with two servers at different locations, the router would not have been able to react to a connection failure between the two locations despite the so-called auto-state feature.
  • the SANS Institute also identified security deficiencies in the implementation of cross-switch (or router) VLANs (see "http://www.sans.org/newlook/resources/IDFAQ/vlan.htm").
  • VLANs are therefore limited to the implementation of network safes within a network operation center (NOC).
  • NOC network operation center
  • the cross-location realization of network safes takes place, as already shown above, with conventional routing techniques.
  • FIG. 10 shows a preferred exemplary embodiment for a so-called Secure Internet Gateway 37, which has the task of connecting the network architecture according to the invention in a controlled and secure manner to the classic Internet.
  • state-of-the-art technology is used, but with the highest priority in terms of security.
  • no direct connection is generally possible between the network architecture according to the invention and the classic Internet.
  • the connections are made exclusively via so-called application level gateways, which are protected by a multi-level firewall concept.
  • the WEB proxies are generally used by means of authentication.
  • the services provided by the Secure Internet Gateway 37 are used in the form of a separate network safe.
  • the customer i.e. the relevant Application Service Customer (ASC) or Application Service Provider (ASP), can thus freely decide whether they want to use this form of connection with the classic Internet.
  • ASC Application Service Customer
  • ASP Application Service Provider

Abstract

The invention relates to a communication network, a corresponding communication method and a communication module. The communication network comprises a first server group, at least one second server group and a first communication path between the first and second server group. The aim of the invention is to provide a communication network, a communication method and a communication module for use in a communication network, which, in particular, significantly reduce the possibilities for misuse of the data of a user of a communication network. The above is achieved, whereby the first communication path comprises a connection module for establishing and maintaining a first communication connection and the communication module is embodied such as to permit the use of a service provided in the first server group by the second server group, but not the use of a service provided in the second server group by the first server group.

Description

Sichere NetzwerkarchitekturSecure network architecture
Die vorliegende Erfindung betrifft ein Kommunikationsnetzwerk, ein Verfahren zum Durchführen der Kommunikation im Kommunikationsnetzwerk und ein Kommunikationsmodul zur Verwendung im Kommunikationsnetzwerk.The present invention relates to a communication network, a method for carrying out communication in the communication network and a communication module for use in the communication network.
Ein kurzer Blick auf das klassische Internet zeigt deutlich dessen Schwächen, Sicherheitsmängel bzw. Architekturprobleme auf. Alle Server, Workstations etc. oder daraus bestehende Netze, die permanent oder auch zeitweise (dynamisch) mit dem Internet verbunden sind, sollen im folgenden kurz als Knotenpunkte bezeichnet werden. Damit ergibt sich folgendes vereinfachtes Bild des klassischen Internets: Verbindet man einen Knotenpunkt mit dem Internet, ist dieser Knotenpunkt grundsätzlich mit allen, anderen Knotenpunkten des Internets verbunden. Jeder Knotenpunkt kann prinzipiell mit jedem anderen Knotenpunkt eine Verbindung aufnehmen. Dies ist vollständig unabhängig davon, ob die beiden Knotenpunkte in einer von beiden Knotenbetreibern gewollten Servicebeziehung zuein- ander stehen oder nicht. Diese Offenheit geht über den eigentlichen Kommunikationsnutzen weit hinaus. Ihr Missbrauch lässt sich nur durch Selbstschutzmaßnahmen einzelner Knoten bzw. Knotengruppen gegenüber dem gesamten Rest des Netzes einschränken.A brief look at the classic Internet clearly shows its weaknesses, security deficiencies and architectural problems. All servers, workstations etc. or existing networks, which are permanently or temporarily (dynamically) connected to the Internet, are briefly referred to below as nodes. This results in the following simplified picture of the classic Internet: If you connect a node to the Internet, this node is basically connected to all other nodes on the Internet. In principle, each node can establish a connection with any other node. This is completely independent of whether the two nodes are in a service relationship that is desired by both node operators or not. This openness goes far beyond the actual communication benefits. Your abuse can only be restricted by self-protection measures of individual nodes or node groups against the rest of the network.
Da jeder für jeden und damit auch für potentielle Angriffe erreichbar ist, und es auf Ebene des Netzwerks fast nichts gibt, auf das sich ein Knotenpunkt verlassen könnte, bleibt nur die Möglichkeit des allumfassenden, knotenindividuellen Selbstschutzes. Dieser müsste theoretisch permanent in Echtzeit aktuellen Angriffstechniken nachgeführt werden: Ein gänzlich aussichtloses Unterfangen. Genau betrachtet, handelt es sich um ein Konstruktionsproblem, das grenzenlose Kommunikation global und nahezu unreglementiert zulässt und Sicherheitsbelange in den Bereich knotenbezogener Insellösungen (Firewalls, Intrusion Detection Systems etc.) verweist.Since everyone can be reached by everyone and therefore also by potential attacks, and there is almost nothing at the network level that a node could rely on, there is only the possibility of comprehensive, node-specific self-protection. Theoretically, this would have to be constantly updated in real time using current attack techniques: a completely hopeless undertaking. Exactly considered, it is a construction problem that allows limitless communication globally and almost unregulated and refers security issues in the area of node-related isolated solutions (firewalls, intrusion detection systems etc.).
Anhand der Identität des externen Knotens differenzierte Schutzmaßnahmen sind nicht realisierbar, da der Identität des externen Knotens nicht getraut werden kann. So können Knotennutzer die Identität des Knotens fälschen (so genanntes IP-Address Spoofing). Zudem können von Fremden böswillig kompromittierte Knotenpunkte dazu verwendet werden, die Identität zu verschleiern bzw. den kompromittierten Knotenpunkt als Ausgangspunkt für einen Angriff (z.B. für so genannte Distributed Denial of Service-Angriffe) zu verwenden.Protective measures differentiated based on the identity of the external node cannot be implemented since the identity of the external node cannot be trusted. In this way, node users can falsify the identity of the node (so-called IP address spoofing). In addition, nodes maliciously compromised by strangers can be used to disguise the identity or to use the compromised node as the starting point for an attack (e.g. for so-called distributed denial of service attacks).
Außerhalb der eigenen Festung in Form von Firewalls, Intrusion Detection Systems u. A. Schutzmechanismen, gibt es nichts, auf das sich ein Knotenpunkt, der Services bereitstellt, verlassen könnte. Die Betreiber angriffsattraktiver Knotenpunkte versuchen daher ihre Knotenpunkte quasi durch eine Allround-Panzerung zu schützen. Diese Panzerung müsste, wie bereits erwähnt, theoretisch in Echt- zeit immer den aktuell bekannten Angriffstechniken nachgeführt werden. Bei den stetig kürzer werdenden Innovationszyklen im IT-Bereich und vor dem Hintergrund des im Hacker-Umfeld anzutreffenden Kreativ- und Innovationspotenzials ist dies kaum mehr möglich.Outside your own fortress in the form of firewalls, intrusion detection systems and the like. A. Protection mechanisms, there is nothing a node that provides services can rely on. The operators of attack-attractive nodes therefore try to protect their nodes with all-round armor. As already mentioned, this armor would always have to be updated theoretically in real time using the currently known attack techniques. With the ever shorter innovation cycles in the IT area and against the background of the creative and innovation potential to be found in the hacker environment, this is hardly possible anymore.
Die verwendeten Sicherheitsmechanismen können das Problem daher nur mil- dem. Ein Sprachgebrauch, der sich auch neuerdings in entsprechender einschlägiger Literatur zum Thema Security findet, wo auffallend oft (und ehrlich) von , mildern' (mitigate) und nicht mehr von Verhindern' (prevent) gesprochen wird. Eine Sicherheitsgarantie ist prinzipiell unmöglich.The security mechanisms used can therefore only moderate the problem. A use of language that can also recently be found in relevant literature on the subject of security, where strikingly often (and honestly) of mitigate and no longer of prevent. A security guarantee is in principle impossible.
Damit ist auch klar, dass das Internet unter anderem für das Application Service Providing geschäftskritischer Anwendungen ungeeignet ist, nicht zuletzt deswe- gen, weil es in Relation zu einem geschlossenen privaten Netzwerk legitime Sicherheitsbelange des Nutzers bzw. Kunden nur unzureichend berücksichtigen kann.It is therefore also clear that the Internet is unsuitable for the application service providing of business-critical applications, among other things, because, in relation to a closed private network, it can only take insufficient account of legitimate security concerns of the user or customer.
Hier hat die technische Globalisierung des Internets die entsprechenden Prozesse international übergreifender gesetzlicher Regelungen weit hinter sich gelas- sen. Regelungen existieren nur aus dem technisch operativen Umfeld in Form sogenannter RFCs. Beispiel RFC 2827: Hier wird u.a. versucht, die Fälschung von Quelladressen einzuschränken. Dieser RFC ist in die Kategorie Best Current Practice eingestuft und hat damit aber nur Empfehlungscharakter.Here, the technical globalization of the Internet has left the corresponding processes of international legal regulations far behind. Regulations only exist from the technical operational environment in the form of so-called RFCs. Example RFC 2827: tries to restrict the falsification of source addresses. This RFC is classified in the Best Current Practice category and is therefore only a recommendation.
Um diesen Problemen abzuhelfen, wurden alternative Sicherheitsansätze auf Basis des klassischen Internet entwickelt. Die Schlüsselworte an dieser Stelle lauten: Public Key Infrastrukturen (PKI), Secure Socket Layer (SSL), Virtual Private Networks (VPN), IP See etc. Um eine umfassende differenzierte Diskussion des Themas an dieser Stelle zu vermeiden, soll eine praktisch eingesetzte Lösung, welche die wesentlichen Technologien in Kombination einsetzt, exempla- risch herausgegriffen werden:In order to remedy these problems, alternative security approaches based on the classic Internet have been developed. The key words at this point are: Public Key Infrastructures (PKI), Secure Socket Layer (SSL), Virtual Private Networks (VPN), IP See etc. In order to avoid a comprehensive differentiated discussion of the topic at this point, a practical solution should be used , which uses the essential technologies in combination, are selected as examples:
Ein angesehener deutscher Festnetzbetreiber bietet seinen Großkunden sogenannte Intelligent Networks z.B. zum Betrieb ursprungsabhängig verteilter Servicerufnummern an, die der Großkunde via Internet eigenständig administrieren kann. Durch einen Missbrauch des Administrationszugangs wäre es problemlos möglich, z.B. die gesamte Call-Center-Infrastruktur des Kunden - quasi auf Knopfdruck - dauerhaft mit der lokalen Telefonseelsorge zu verbinden. Da es sich hier um eine geschäftskritische Anwendung handelt, versucht der Anbieter diesen Umstand in Form folgender Lösung zu berücksichtigen:A respected German fixed network operator offers its large customers so-called intelligent networks e.g. to operate origin-dependent service numbers that the major customer can administer independently via the Internet. Misuse of the administration access would make it possible, e.g. to permanently connect the customer's entire call center infrastructure with the local telephone counseling - at the push of a button. Since this is a business-critical application, the provider tries to take this into account in the form of the following solution:
Der Anbieter stellt dem Großkunden ein Zertifikat aus, das via Diskette (also jen- seits des Internets) zum Großkunden versandt wird, und dort im Browser des Großkunden installiert werden muss. Das Zertifikat kann nur durch ein Kennwort aktiviert werden, das ebenfalls separat versandt wird. Der Zugriff auf den Administrationsservice erfolgt über eine verschlüsselte Verbindung adäquater Schlüssellänge. Betrachtet man die Kette bestehend aus Browser, Internetverbindung und Administrationsserver und geht davon aus, dass die verwendete Technologie fehlerfrei implementiert wurde (z.B. keine Ansatzpunkte für Buffer Overflow- Attacken), besteht angesichts dieses Horizonts nicht unbedingt ein Grund zur Sorge.The provider issues a certificate to the major customer, which is sent to the major customer via diskette (ie beyond the Internet), and there in the browser of the Large customers must be installed. The certificate can only be activated by a password, which is also sent separately. The administration service is accessed via an encrypted connection of adequate key length. If you look at the chain consisting of browser, internet connection and administration server and assume that the technology used was implemented without errors (eg no starting points for buffer overflow attacks), there is not necessarily a reason to be concerned given this horizon.
Bekanntlich ist jede Kette jedoch nur so stark wie ihr schwächstes Glied. Hierzu wird der Betrachtungshorizont geringfügig erweitert. Wird davon ausgegangen, dass der Festnetzbetreiber den Administrationsserver adäquat abgesichert hat, betrachtet man den gegenüberliegenden Kommunikationsendpunkt, den Browser des Großkunden. Hier findet sich beispielsweise ein Browser der Firma Netscape® (vom Anbieter so gefordert) auf einem Betriebssystem der Firma Microsoft®. Auf dieser Seite einen so genannten Trojaner zu platzieren, der die Userinterfacefunktionen des Betriebssystems um externe Andockmöglichkeiten erweitert (zuweilen auch als Fernwartungssoftware bezeichnet), könnte hier leicht für unangenehme Überraschungen sorgen, obwohl das theoretische Prinzip zertifikatbasierter, verschlüsselter Kommunikation zwischen Browser und Administrati- onsserver durchaus als sicher einzustufen wäre. Die Wahrscheinlichkeit eines derartigen Angriffs multipliziert sich mit der Anzahl der Knotenpunkte, von denen dieser Server direkt aber auch indirekt erreichbar ist.As is well known, every chain is only as strong as its weakest link. For this purpose, the observation horizon is expanded slightly. If it is assumed that the fixed network operator has adequately secured the administration server, the opposite communication end point, the major customer's browser, is considered. Here, for example, there is a browser from Netscape® (as requested by the provider) on an operating system from Microsoft®. Placing a so-called trojan on this page, which extends the user interface functions of the operating system with external docking options (sometimes also referred to as remote maintenance software), could easily cause unpleasant surprises here, although the theoretical principle of certificate-based, encrypted communication between browser and administration server certainly does would be classified as safe. The probability of such an attack is multiplied by the number of nodes from which this server can be reached directly but also indirectly.
Der vorliegenden Erfindung liegt daher die Aufgabe zu Grunde, ein Kommunikationsnetzwerk, ein Kommunikationsverfahren und ein Kommunikationsmodul zur Verwendung in einem Kommunikationsnetzwerk zur Verfügung zu stellen, welches die oben genannten Nachteile nicht oder zumindest in geringerem Maße aufweist und insbesondere die Möglichkeiten des Missbrauchs der Daten von Nutzern eines Kommunikationsnetzwerks deutlich reduziert.The present invention is therefore based on the object of providing a communication network, a communication method and a communication module for use in a communication network which does not have the above-mentioned disadvantages or at least to a lesser extent and in particular the possibilities of misuse of the data of users of a communication network significantly reduced.
Diese Aufgabe wird durch das Kommunikationsnetzwerk nach Anspruch 1 , das Kommunikationsverfahren nach Anspruch 6 und das Kommunikationsmodul nachThis object is achieved by the communication network according to claim 1, the communication method according to claim 6 and the communication module
Anspruch 12 gelöst. Die Unteransprüche enthalten weitere Ausgestaltungen des Kommunikationsnetzwerkes bzw. des Kommunikationsverfahrens. Unter Nutzer ist hierbei ein Knotenpunkt zu verstehen.Claim 12 solved. The sub-claims contain further refinements of the Communication network or the communication process. A user is to be understood as a node here.
Der vorliegenden Erfindung liegt der folgende Gedanke zugrunde:The present invention is based on the following idea:
Elektronisch gespeicherte Daten sind in der Regel auf einem Datenträger (Fest- platte, CD, Chipkarte, Memory, etc.) gespeichert. Der Zugriff auf die Daten erfolgt durch ein Programm, das eine für das jeweilige Speichermedium geeignete Schreib/Lesevorrichtung steuert. Ein solches Programm ist üblicherweise in ein Betriebssystem eingebunden, das potentiellen Nutzern den Zugriff auf die Daten in Form sogenannter Dienste oder Services ermöglicht. Zum Beispiel kann ein Nutzer eines Computers in einem sog. netzwerktransparenten Dateisystem auf seine lokalen Daten, d.h. die auf seinem Computer gespeicherten Daten, in gleicher Form zurückgreifen wie auf Daten, die tatsächlich auf einem anderen Computer gespeichert sind. Der Zugriff auf die Daten des entfernten Computers erfolgt, indem das Betriebssystem des lokalen Computers auf der Basis eines Kommunikationsprotokolls die entsprechenden Services des Betriebssystems des entfernten Computers verwendet. Die Autorisierung zur Nutzung des Services auf dem entfernten Computer erfolgt dabei anhand einer Identifikation des anfragenden Nutzers bzw. seines Computers. In einem solchen System kann eine unberechtigte Nutzung eines Services auf dem entfernten Computer erfol- gen, indem dem entfernten Computer eine falsche Identität vorgespiegelt wird.Electronically stored data are usually stored on a data carrier (hard disk, CD, chip card, memory, etc.). The data is accessed by a program that controls a read / write device suitable for the respective storage medium. Such a program is usually integrated into an operating system that enables potential users to access the data in the form of so-called services. For example, a user of a computer in a so-called network-transparent file system can access his local data, i.e. use the data stored on his computer in the same way as data that is actually stored on another computer. The data of the remote computer are accessed by the operating system of the local computer using the corresponding services of the operating system of the remote computer on the basis of a communication protocol. The authorization to use the service on the remote computer is based on an identification of the requesting user or his computer. In such a system, unauthorized use of a service can take place on the remote computer by pretending the remote computer to have an incorrect identity.
Die Erfindung sieht nun gemäß Anspruch 1 vor, bereits auf der Netzwerkebene ein Kommunikationsmodul im Kommunikationsweg (in der Kommunikationsleitung) zwischen einem ersten Server oder einer ersten Servergruppe und einem zweiten Server oder einer zweiten Servergruppe zur Verfügung zu stellen, das nur die Nutzung eines in dem ersten Server oder der ersten Servergruppe vorhandenen Service durch den zweiten Server oder die zweite Servergruppe ermöglicht, nicht aber die Nutzung eines in dem zweiten Server oder der zweiten Servergruppe vorhandenen Service durch den ersten Server oder die erste Servergruppe.The invention now provides according to claim 1, already at the network level to provide a communication module in the communication path (in the communication line) between a first server or a first server group and a second server or a second server group that only uses one in which allows the first server or the first server group existing service by the second server or the second server group, but not the use of a service existing in the second server or the second server group by the first server or the first server group.
Gemäß Anspruch 6 sieht die Erfindung vor, ein Kommunikationsverfahren zum Durchführen einer Kommunikation in einem erfindungsgemäßen Kommunikati- onsnetzwerk zur Verfügung zu stellen, das sich dadurch auszeichnet, dass die Servergruppen Daten über den oder die Kommunikationswege austauschen und dass das Kommunikationsmodul über die Berechtigung, auf den Service einer Servergruppe zuzugreifen, entscheidet.According to claim 6, the invention provides a communication method for carrying out communication in a communication according to the invention. To provide onsnetzwerk, which is characterized in that the server groups exchange data via the or the communication channels and that the communication module decides on the authorization to access the service of a server group.
Gemäß Anspruch 12 sieht die Erfindung vor, ein Kommunikationsmodul zur Verwendung in einem erfindungsgemäßen Kommunikationsnetzwerk zu schaffen. Das Kommunikationsmodul zeichnet sich dadurch aus, dass es ein Kommunikationsprotokoll umfasst, dass die Identifikation von Servern oder Servergruppen beinhaltet.According to claim 12, the invention provides to create a communication module for use in a communication network according to the invention. The communication module is characterized in that it comprises a communication protocol that includes the identification of servers or server groups.
Auf diese Weise werden bereits auf Netzwerkebene nur gerichtete Beziehungen zwischen Servern bzw. Servergruppen zugelassen. Dies ermöglicht es, nur gewollte Servicebeziehungen zuzulassen und aufzubauen. Die in diesem Rahmen verwendete Identifikation eines Servers oder einer Servergruppe im Netzwerk wird an ein physikalisches Zugangsmerkmal, beispielsweise eine dedizierte Lei- tung oder eine nicht mittels Software manipulierbare Hardwareidentifizierung gebunden.In this way, only directed relationships between servers or server groups are permitted at the network level. This makes it possible to only allow and establish desired service relationships. The identification of a server or a server group in the network used in this context is linked to a physical access feature, for example a dedicated line or a hardware identification that cannot be manipulated by software.
Die Erfindung bietet die Möglichkeit, einen Missbrauch der Daten von Nutzern eines Datenverarbeitungsnetzwerks um Größenordnungen zu reduzieren, insbesondere, wenn der Verbindungsaufbau zwischen einer Datenverarbeitungsinfra- Struktur oder Servergruppe; und einem zugriffsberechtigten Knotenpunkt ausschließlich auf Veranlassung des zugriffsberechtigten Knotenpunkts erfolgt. Hierdurch wird in einfacher Weise verhindert, dass zwischen einem ersten zugriffsberechtigten Knotenpunkt und einem zweiten zugriffsberechtigten Knotenpunkt über die Datenverarbeitungsinfrastruktur ohne Zutun des jeweils anderen Knotenpunk- tes eine Verbindung hergestellt werden kann, über die ein Angriff auf die Daten des jeweils anderen Knotenpunkts erfolgen könnte.The invention offers the possibility of reducing misuse of the data of users of a data processing network by orders of magnitude, in particular if the connection establishment between a data processing infrastructure or server group; and an access-authorized node takes place exclusively at the instigation of the access-authorized node. In this way, it is prevented in a simple manner that a connection can be established between the first access-authorized node and a second access-authorized node via the data processing infrastructure without the other node having to do anything, via which an attack on the data of the other node could take place.
Gemäß der Erfindung kann daher vorgesehen sein, dass in einem Kommunikationsnetzwerk, insbesondere in dessen Kommunikationsweg oder Kommunikationsleitung, ein Zugriffsmodul zum Ermöglichen des Zugriffs auf eine interne Da- tenverarbeitungsinfrastruktur des Datenverarbeitungszentrums durch einen externen Nutzer und der Ausgabe von Daten von der internen Datenverarbeitungs- infrastruktur an den Nutzer vorhanden ist. Das Zugriffsmodul ist derart ausgestaltet, dass eine Verbindung zwischen dem externen Nutzer und der Datenverarbeitungsinfrastruktur nur durch den externen Nutzer initiiert werden kann.According to the invention it can therefore be provided that in a communication network, in particular in its communication path or communication line, an access module to enable access to an internal data processing infrastructure of the data processing center by an external user and the output of data from the internal data processing infrastructure to the user is available. The access module is designed such that a connection between the external user and the data processing infrastructure can only be initiated by the external user.
Die Autorisierung der einzelnen Knotenpunkte kann in bekannter Weise über entsprechende Nutzungsverträge erlangt werden, zu deren Abschluss in der Regel eine entsprechende Überprüfung bzw. Identifizierung der Knotenbetreiber des jeweiligen Knotenpunktes erfolgt.The authorization of the individual nodes can be obtained in a known manner via corresponding usage contracts, the conclusion of which is usually followed by a corresponding check or identification of the node operator of the respective node.
Mit der Erfindung ist die Restruktuherung des klassischen Internet in Richtung einer orientiert an Servicebeziehungen strukturierten, im folgenden als Applicati- on Service Infrastructure (ASI) bezeichneten Infrastruktur auf Basis einer, unter Sicherheitsaspekten optimierten, Netzwerkarchitektur möglich. Der durch den Business-Bereich einschränkend vorgeprägte Begriff des Application Service Providing ist hier weitreichend zu interpretieren: Ein Application Service Provider ist demnach eine Person oder Organisation, die für eine andere Person oder Or- ganisation einen oder mehrere Services auf Basis eines Kommunikationsnetzes bereitstellt. Als unter Umständen einfachstes Beispiel wäre darunter auch das Veröffentlichen einer privaten Homepage zu verstehen.The invention makes it possible to restructure the classic Internet in the direction of an infrastructure which is structured based on service relationships and is hereinafter referred to as Application Service Infrastructure (ASI) on the basis of a network architecture which has been optimized in terms of security. The concept of application service providing, which is restricted by the business area, has to be interpreted broadly: An application service provider is therefore a person or organization that provides one or more services for another person or organization on the basis of a communication network. Perhaps the simplest example would be to publish a private homepage.
Im Umfeld der Nutzung von Services (Diensten) im Rahmen einer Application Service Infrastructure (ASI), können dabei die folgenden funktionalen Rollen voneinander abgegrenzt werden:In the context of the use of services within the framework of an Application Service Infrastructure (ASI), the following functional roles can be differentiated:
- Application Service User (ASU): der eigentliche Nutzer des Services,- Application Service User (ASU): the actual user of the service,
- Application Service Customer (ASC): der den Servicevertrag abschließende Betreiber eines zugangsberechtigten Knotenpunktes als übergeordnete Organisation etc. der Application Service User (ASU),- Application Service Customer (ASC): the operator of an access-authorized node concluding the service contract as the parent organization etc. of the Application Service User (ASU),
- Application Service Provider (ASP): der Provider eines bestimmten Services.- Application Service Provider (ASP): the provider of a specific service.
Dabei muss der Application Service nicht notwendigerweise von dem Betreiber eines Datenverarbeitungszentrums zur Verfügung gestellt werden. Vielmehr kann gegebenenfalls noch eine weitere funktionale Rolle identifiziert werden, nämlich diejenige eines so genanntenThe application service does not necessarily have to be provided by the operator of a data processing center. Rather can if necessary, another functional role can be identified, namely that of a so-called
- Application Service Infrastucture Provider (ASIP), der die Infrastruktur, insbesondere das Datenverarbeitungszentrum zur Verfügung stellt und betreibt.- Application Service Infrastructure Provider (ASIP), which provides and operates the infrastructure, especially the data processing center.
Mit anderen Worten kann auch vorgesehen sein, dass nicht nur die Application Service User (ASU) als Betreiber eines zugriffsberechtigten Knoten in Frage kommen, sondern auch Application Service Provider (ASP). Die Application Service Provider (ASP) stellen einen Service im Datenverarbeitungszentrum zur Verfügung und administrieren diesen über die Verbindung zum Datenverarbeitungs- Zentrum als externe Nutzer des Datenverarbeitungszentrums. Die Trennung von Application Service Provider (ASP) und Application Service Infrastructure Provider (ASIP) ermöglicht es, die Verantwortung der Bereitstellung von Applikationen (Anwendungen) auf unterschiedliche Firmen zu verteilen und von der Kernverantwortung bezüglich der Infrastruktur zu trennen. Der Application Service Infrastructure Provider (ASIP) kann sich damit auf die Weiterentwicklung der Infrastruktur und einige wenige, für alle Kunden standardisiert betreibbare Services, wie z.B. einen sicheren Internetzugang in Form eines so genannten Secure Internet Gateway, konzentrieren.In other words, it can also be provided that not only the Application Service User (ASU) come into question as the operator of an access-authorized node, but also the Application Service Provider (ASP). The Application Service Providers (ASP) provide a service in the data processing center and administer it as an external user of the data processing center via the connection to the data processing center. The separation of Application Service Provider (ASP) and Application Service Infrastructure Provider (ASIP) makes it possible to distribute the responsibility for the provision of applications (applications) to different companies and to separate them from the core responsibility for the infrastructure. The Application Service Infrastructure Provider (ASIP) can therefore focus on the further development of the infrastructure and a few services that can be operated in a standardized manner for all customers, such as Secure Internet access in the form of a so-called Secure Internet Gateway.
Im Gegenzug ermöglicht der Einbezug verschiedener Firmen, die bereits über Kernkompetenz komplexer Applikationen verfügen, als Application Service Provider (ASP) ein schnelleres Wachstum des Serviceangebots, was letztlich die Attraktivität der gesamten Infrastruktur für potentielle neue Nutzer steigert. Gleichzeitig steigt mit zunehmender Nutzerzahl die Attraktivität der Infrastruktur für potentielle neue Application Service Provider (ASP). Damit entsteht ein Schneeball- effekt, der ein dynamischeres Geschäftsmodell ermöglicht, als dies im klassischen Application Service Providing Modell mit einem Provider, der alle Services bereitstellt, der Fall ist.In return, the inclusion of various companies that already have the core competence of complex applications as Application Service Providers (ASP) enables faster growth of the service offering, which ultimately increases the attractiveness of the entire infrastructure for potential new users. At the same time, as the number of users increases, the attractiveness of the infrastructure for potential new Application Service Providers (ASP) increases. This creates a snowball effect that enables a more dynamic business model than is the case in the classic application service providing model with a provider that provides all services.
Die Datenverarbeitungsinfrastruktur kann einen einzigen Zugriffsbereich oder Infrastrukturbereich als Datenverarbeitungsstruktur, beispielsweise einen einzel- nen Server oder dergleichen umfassen, auf den die zugangsberechtigten Knotenpunkte zugreifen können. Die Datenverarbeitungsstruktur kann jedoch auch als Netzwerk, ähnlich einem LAN (Local Area Network) vorliegen. Um unterschiedlichen Knotenbetreibern unterschiedliche Dienste anbieten zu können, umfasst die Datenverarbeitungsinfrastruktur bevorzugt mehrere Datenverarbeitungsstrukturen (Zugriffsbereiche, Infrastrukturbereiche). Dabei ist bevorzugt we- nigstens eine zugangsbeschränkte erste Datenverarbeitungsstruktur vorgesehen, wobei das Zugriffsmodul bzw. eine im Zugriffsmodul vorhandene Verbindungsaufbausteuerung dann zum Verbindungsaufbau zwischen einem Knotenpunkt und der ersten Datenverarbeitungsstruktur nur bei der ersten Datenverarbeitungsstruktur zugeordneter Autorisierung des Knotenpunkts ausgebildet ist, um nur entsprechend autorisierten Knotenpunkten Zugang zur ersten Datenverarbeitungsstruktur bzw. den dort zur Verfügung gestellten Diensten zu gewähren.The data processing infrastructure can comprise a single access area or infrastructure area as a data processing structure, for example a single server or the like, to which the access-authorized nodes can access. However, the data processing structure can also as a network, similar to a LAN (Local Area Network). In order to be able to offer different services to different node operators, the data processing infrastructure preferably comprises several data processing structures (access areas, infrastructure areas). In this case, at least one access-restricted first data processing structure is preferably provided, the access module or a connection setup controller present in the access module then being designed to establish a connection between a node and the first data processing structure only in the case of an authorization of the node assigned to the first data processing structure in order to provide access only to appropriately authorized nodes to grant the first data processing structure or the services provided there.
Falls ein Application Service Provider (ASP) einen im Datenverarbeitungszentrum zur Verfügung gestellten Service über eine Verbindung zum Datenverarbeitungszentrum administrieren will, kann auch vorgesehen sein, mindestens einen Server zwei Datenverarbeitungsstrukturen zuzuordnen, von denen eine den Service bereitstellt und die andere als Administrationszugang für den Application Service Provider (ASP) dient.If an application service provider (ASP) wants to administer a service made available in the data processing center via a connection to the data processing center, it can also be provided that at least one server is assigned two data processing structures, one of which provides the service and the other as administration access for the application service Provider (ASP) serves.
Weiter vorzugsweise sind mehrere solcher ersten Datenverarbeitungsstrukturen oder Infrastrukturbereiche vorgesehen. Die Application Service User (ASU) des Application Service Customer (ASC) können dann die Services eines oder mehrer Application Service Provider (ASP) nutzen, welche diese in unterschiedlichen, hier auch als Network Safes bezeichneten ersten Infrastrukturbereichen der Datenverarbeitungsinfrastruktur zur Verfügung stellen.More preferably, several such first data processing structures or infrastructure areas are provided. The Application Service User (ASU) of the Application Service Customer (ASC) can then use the services of one or more Application Service Providers (ASP), which make them available in different first infrastructure areas of the data processing infrastructure, also referred to here as network safes.
Optional kann der Application Service Customer (ASC) so genannte private Ser- vices in der Application Service Infrastructure positionieren. Private Services können z. B. den Charakter eines privaten Netzwerks haben und können ausschließlich durch den Application Service Customer (ASC) selbst bzw. seine Application Service User (ASU) genutzt werden. Darüber hinaus erhält der Application Service User (ASU) des Application Service Customer (ASC) nur Zugriff auf die Services, für die der Application Service Customer (ASC) mit dem jeweiligen Application Service Provider (ASP) einen Nutzungsvertrag geschlossen hat. Nur der Application Service User (ASU) des Application Service Customer (ASC) kann eine Verbindung zu einem Serviceknoten, d. h. zu der Datenverarbeitungsinfrastruktur bzw. zu einem entsprechenden ersten Infrastrukturbereich derselben, initiieren. Die umgekehrte Richtung ist nicht möglich. Die Nutzung eines Serviceknotens durch einen Application Service User (ASU) des Application Service Customer (ASC) ist dank der Erfindung eine gerichtete Beziehung, d. h. es ist gewährleistet, dass der Betreiber des Serviceknotens umgekehrt keinen Zugriff auf die lokale IT-Infrastruktur des Kunden erhält.Optionally, the Application Service Customer (ASC) can position so-called private services in the Application Service Infrastructure. Private services can e.g. B. have the character of a private network and can only be used by the Application Service Customer (ASC) himself or his Application Service User (ASU). In addition, the Application Service User (ASU) of the Application Service Customer (ASC) only has access to the services for which the Application Service Customer (ASC) has concluded a usage contract with the respective Application Service Provider (ASP). Only the Application Service User (ASU) of the Application Service Customer (ASC) can initiate a connection to a service node, ie to the data processing infrastructure or to a corresponding first infrastructure area of the same. The reverse direction is not possible. Thanks to the invention, the use of a service node by an Application Service User (ASU) of the Application Service Customer (ASC) is a directional relationship, ie it is guaranteed that the operator of the service node, conversely, does not have access to the customer's local IT infrastructure.
Gleiches gilt für die Beziehung einzelner Kunden, d. h. Application Service Customer (ASC) untereinander: Hier ist erfindungsgemäß gewährleistet, dass zwei Application Service Customer (ASC), die den selben Service nutzen, dadurch nicht wechselseitig auf die lokale IT-Infrastruktur des jeweils anderen Application Service Customer (ASC) zugreifen können.The same applies to the relationship of individual customers, i.e. H. Application Service Customer (ASC) among one another: According to the invention, it is ensured here that two Application Service Customer (ASC) who use the same service cannot mutually access the local IT infrastructure of the other Application Service Customer (ASC).
Eine Grundidee der Erfindung besteht demgemäß darin, Services in voneinander getrennten Räumen dem Nutzer zur Verfügung zu stellen. Diese Räume werden durch die ersten Infrastrukturbereiche (Datenverarbeitungsstrukturen) gebildet, die im folgenden auch als Network Safes bezeichnet werden. Ein Network Safe verbindet ausschließlich Server oder dergleichen miteinander, die gemeinsam einen Service erbringen und zueinander in einer Vertrauensbeziehung stehen. Die durch einen Network Safe bereitgestellten Services können nur durch berechtigte Knotenpunkte bzw. Knotenpunktgruppen genutzt werden, wobei die privaten Ressourcen der Knotenpunkte bzw. Knotenpunktgruppen vor wechselseitigem Zugriff geschützt sind.A basic idea of the invention is accordingly to provide services in separate rooms to the user. These rooms are formed by the first infrastructure areas (data processing structures), which are also referred to below as network safes. A network safe only connects servers or the like, which together provide a service and are in a relationship of trust with each other. The services provided by a network safe can only be used by authorized nodes or node groups, with the private resources of the nodes or node groups being protected against mutual access.
Langfristig ermöglicht die Erfindung, den bisherigen Ansatz des nahezu unbe- schränkt offenen, aber sicherheitsmangelhaften Internets sowie den Ansatz vollständig geschlossener Netze, durch eine an expliziten Servicebeziehungen orientierte, sichere, standardisierte und flexible erfindungsgemäße Struktur zu ersetzen.In the long term, the invention makes it possible to replace the previous approach of the almost unlimitedly open but security-deficient Internet, as well as the approach of completely closed networks, with a secure, standardized and flexible structure according to the invention that is based on explicit service relationships.
Bei bevorzugten Varianten der Erfindung ist vorgesehen, dass die Knotenpunkte über eine ausschließlich dem jeweiligen Knotenpunkt zugeordnete Kommunikationsleitung mit der Datenverarbeitungsinfrastruktur verbunden werden und die Steuerung des Verbindungsaufbaus mit dem ersten Infrastrukturbereich zugangsbasiert in Abhängigkeit von der jeweils zugeordneten Kommunikationsleitung erfolgt.In preferred variants of the invention it is provided that the nodes are connected to the data processing infrastructure via a communication line exclusively assigned to the respective node and the Control of the establishment of the connection with the first infrastructure area is based on the respective assigned communication line.
Bei der erfindungsgemäßen Netzwerkarchitektur bzw. dem erfindungsgemäßen Datenverarbeitungszentrum wird dies dadurch erreicht, dass für wenigstens eine Anzahl jeweils ausschließlich einem Knotenpunkt zugeordnete Kommunikationsleitungen eine ausschließlich der jeweiligen Kommunikationsleitung zugeordnete Schnittstelleneinrichtung der Datenverarbeitungsinfrastruktur vorgesehen ist und eine Verbindungsaufbausteuerung zur zugangsbasierten Steuerung des Verbin- dungsaufbaus zum ersten Infrastrukturbereich in Abhängigkeit von der Schnittstelleneinrichtung ausgebildet ist. Mit anderen Worten werden über die Verbindungsaufbausteuerung nur Verbindungen mit dem ersten Infrastrukturbereich aufgebaut, die über die Kommunikationsleitungen bzw. diesen fest zugeordnete Schnittstelleneinrichtungen erfolgen, welche entsprechend zugangsberechtigten Knotenpunkten in vorgegebener Weise zugeordnet sind. Die Zuordnung kann dabei nur durch den Betreiber des Datenverarbeitungszentrums bzw. auf dessen Veranlassung hin modifiziert werden.In the network architecture according to the invention or the data processing center according to the invention, this is achieved in that for at least a number of communication lines assigned exclusively to a node in each case, an interface device of the data processing infrastructure assigned exclusively to the respective communication line is provided and a connection establishment control for access-based control of the connection establishment to the first infrastructure area in Dependence on the interface device is formed. In other words, only connections to the first infrastructure area are established via the connection establishment control, which are made via the communication lines or interface devices permanently assigned to them, which are assigned in a predetermined manner in accordance with access-authorized nodes. The assignment can only be modified by the operator of the data processing center or at his request.
Die lokalen IT-Infrastrukturen des betreffenden Application Service Customer (ASC) sind mit dem im folgenden auch als Network Operation Center (NOC) be- zeichneten Datenverarbeitungszentrum, das die Application Service Infrastructure (ASI), also die Datenverarbeitungsinfrastruktur, bereitstellt, bevorzugt dediziert verbunden. Dediziert verbunden soll hierbei bedeuten, dass die lokalen Strukturen des Application Service Customer (ASC) mit einer nicht durch Software manipulierbaren Identifikation versehen sind. Als dedizierte Verbindungen kommen beispielsweise Standleitungen oder Verbindungen mit sonstigen physikalisch verankerten Identifikationsmechanismen in Frage. Sind mehrere Network Operation Center (NOC) vorgesehen, so sind die lokalen IT-Infrastrukturen des betreffenden Application Service Customer (ASC) jeweils nächstgelegenen Network Operation Center (NOC) verbunden.The local IT infrastructures of the application service customer (ASC) in question are preferably connected in a dedicated manner to the data processing center, also referred to below as the network operation center (NOC), which provides the application service infrastructure (ASI), that is to say the data processing infrastructure. Dedicated connection here means that the local structures of the Application Service Customer (ASC) are provided with identification that cannot be manipulated by software. Dedicated lines are, for example, dedicated lines or connections with other physically anchored identification mechanisms. If several Network Operation Centers (NOC) are provided, the local IT infrastructures of the relevant Application Service Customer (ASC) are connected to the closest Network Operation Centers (NOC).
Hierdurch wird in vorteilhafter Weise eine Zuordnung der Zugangsberechtigung zu einem physikalischen Zugang zur Datenverarbeitungsinfrastruktur erreicht, wodurch sich die Angriffs- bzw. Manipulationsmöglichkeiten um mehrere Grö- ßenordnungen reduzieren, da hierbei ein tatsächlicher Zugriff auf die Hardware vor Ort erforderlich wäre.In this way, an assignment of the access authorization to a physical access to the data processing infrastructure is advantageously achieved, as a result of which the possibilities of attack and manipulation are increased by several sizes. Reduce orders of magnitude, as this would require actual access to the hardware on site.
Hierdurch können in einfacher Weise die auf Netzwerkebene bestehenden Sicherheitsprobleme im klassischen Internet überwunden werden, die fast aus- schließlich daraus resultieren, dass die Sicherheitsmechanismen auf dem Inhalt eines oder mehrerer Datenpakete basieren. Solche Datenpakete können bekanntermaßen durch entsprechende Software nahezu beliebig erzeugt und manipuliert werden. Im Gegensatz dazu, basieren die Sicherheitsmechanismen dieser bevorzugten Variante der Erfindung auf einfachen Ketten, deren erstes Glied immer an dem physikalischen Zugangsweg eines Pakets verankert wird. Angriffe auf derart verankerte Sicherheitsmechanismen erfordern wie erwähnt den direkten persönlichen Zugriff des Angreifers auf die physikalische Infrastruktur vor Ort. Der Personenkreis potentieller Angreifer wird damit im Vergleich zum klassischen Internet um mehrere Größenordnungen reduziert.In this way, the security problems existing at the network level in the classic Internet can be overcome in a simple manner, which result almost exclusively from the fact that the security mechanisms are based on the content of one or more data packets. As is known, such data packets can be generated and manipulated almost arbitrarily by appropriate software. In contrast, the security mechanisms of this preferred variant of the invention are based on simple chains, the first link of which is always anchored to the physical access path of a packet. Attacks on such anchored security mechanisms require, as mentioned, the attacker's direct personal access to the physical infrastructure on site. The number of potential attackers is thus reduced by several orders of magnitude compared to the classic Internet.
Die Überprüfung, ob ein Verbindungsaufbau über eine bestimmte Kommunikationsleitung erlaubt ist oder nicht, kann anhand einfacher Listen erfolgen, auf welche die Verbindungsaufbausteuerung zugreift und in denen die zugangsberechtigten Kommunikationsleitungen für den jeweiligen ersten Infrastrukturbereich abgelegt sind.The check as to whether a connection set-up via a specific communication line is permitted or not can be carried out using simple lists which the connection set-up controller accesses and in which the access lines authorized for access for the respective first infrastructure area are stored.
Bei der Kommunikationsleitung handelt es sich erwähntermaßen bevorzugt um eine sichere Verbindung zwischen dem jeweiligen zugangsberechtigten Knotenpunkt und dem Datenverarbeitungszentrum, beispielsweise eine Standleitung oder dergleichen, welche nicht ohne weiteres für Angriffe oder Manipulationen zugänglich ist.As mentioned, the communication line is preferably a secure connection between the respective access-authorized node and the data processing center, for example a dedicated line or the like, which is not easily accessible for attacks or manipulation.
Die Erfindung lässt sich jedoch auch in Verbindung mit anderen, weniger manipulationssicheren Kommunikationsleitungen einsetzen, sofern ein nicht durch Software manipulierbares Identifikationsmerkmal für den Knotenpunkt vorhanden ist. Der Begriff Kommunikationsleitung soll dabei nicht nur eine physikalische Leitung umfassen, sondern auch Kommunikationsverbindungen einschließen, welche die Kommunikation zumindest abschnittsweise auf anderweitigem Wege, beispielsweise funkbasiert, herstellen. Die Vorteile der Erfindung, insbesondere die Re- duktion von Manipulationsmöglichkeiten, lassen sich, wenn auch möglicherweise in geringerem Maße oder mit höherem Aufwand, auch hier erreichen.However, the invention can also be used in connection with other, less manipulation-proof communication lines, provided that an identification feature for the node that cannot be manipulated by software is present. The term communication line is intended not only to include a physical line, but also to include communication connections which establish communication at least in sections in some other way, for example radio-based. The advantages of the invention, in particular the Manipulation options can also be achieved here, albeit possibly to a lesser extent or with greater effort.
Es kann daher auch vorgesehen sein, dass die Kommunikationsleitung zum Datenverarbeitungszentrum zumindest abschnittsweise funkbasiert erfolgt, wie dies beispielsweise bei einem Zugriff auf die Datenverarbeitungsinfrastruktur ausgehend von mobilen Knotenpunkt der Fall sein kann.Provision can therefore also be made for the communication line to the data processing center to be radio-based at least in sections, as can be the case, for example, when accessing the data processing infrastructure from a mobile node.
Bei einem solchen zumindest teilweise funkbasierten Zugriff (über GSM etc.) auf die Datenverarbeitungsinfrastruktur wird trotz eines nicht unerheblichen Aufwandes, der z.B. für den Angriff auf eine GSM-Verbindung bzw. die Vortäuschung einer falschen Identität des Endpunktes erforderlich wäre, dennoch ein Medium verwendet, das einem Angreifer anonym und ohne direkten Zugriff auf physikalische Infrastrukturen zugänglich ist. Hieran ändert auch die Verwendung eines Fast Frequency Shift Keying oder einer Verschlüsselung nichts, da auch diese Formen der Identifizierung grundsätzlich durch Software manipulierbar sind. Auch die Tatsache, dass die Größe einer GSM-Zelle beschränkt ist, was eine leichtere Ortung eines Angreifers ermöglichen würde, führt zu keiner Identifizierung, die nicht durch Software manipulierbar ist.With such an at least partially radio-based access (via GSM etc.) to the data processing infrastructure, despite a not inconsiderable effort, e.g. would be required to attack a GSM connection or to simulate an incorrect identity of the endpoint, but still uses a medium that is accessible to an attacker anonymously and without direct access to physical infrastructures. The use of fast frequency shift keying or encryption does not change this, since these forms of identification can also be manipulated by software. The fact that the size of a GSM cell is limited, which would make it easier for an attacker to locate it, does not lead to identification that cannot be manipulated by software.
Vergleichbares gilt auch für einen so genannten festnetzbasierten Zugriff mit nicht identifizierbarem Endpunkt, z. B. den Zugriff per Modem auf Basis eines analogen Telefonanschlusses auf den zugangsberechtigten Knotenpunkt. Auch hier existiert in der Regel kein dedizierter, d. h. nachprüfbarer Verbindungsweg.The same applies to so-called landline-based access with an unidentifiable endpoint, e.g. B. access via modem based on an analog telephone connection to the access-authorized node. Here, too, there is usually no dedicated, i.e. H. verifiable connection path.
Die Erfindung bietet zwar an dieser Stelle keine neuen Lösungen. Existierende, so genannte Dial-In-Lösungen müssen zunächst unter Sicherheitsaspekten bewertet werden. Anschließend ist die gewählte Lösung strukturharmonisch zu in- tegrieren. Der Betrieb von Dial-In-Lösungen im Rahmen einer erfindungsgemäßen Netzwerkarchitektur schafft jedoch auch hier zusätzliche Sicherheit gegenüber einer konventionellen Infrastruktur, in der unter Umständen eine Verbindung zum gesamten Netzwerk aufgebaut wird. In der erfindungsgemäßen Netzwerkarchitektur ist der verbundene Knotenpunkt nach wie vor immer nur mit dem bzw. den jeweils freigegebenen Network Safes (ersten Infrastrukturbereichen) verbunden, aber nie mit dem gesamten Netzwerk. Bevorzugte in Alleinstellung oder kombiniert realisierbare Varianten solcher Dial- In-Lösungen können wie folgt aussehen:The invention does not offer any new solutions at this point. Existing so-called dial-in solutions must first be assessed from a security perspective. The selected solution is then to be integrated in a structurally harmonious manner. However, the operation of dial-in solutions in the context of a network architecture according to the invention also creates additional security here compared to a conventional infrastructure, in which a connection to the entire network may be established. In the network architecture according to the invention, the connected node is still only connected to the network safe (s) (first infrastructure areas) that have been released, but never to the entire network. Preferred variants of such dial-in solutions that can be implemented on their own or in combination can look as follows:
Es gibt grundsätzlich keine anonymen Dial-In-Möglichkeiten. Im Rahmen des Verbindungsaufbaus muss sich der betreffende Benutzer mindestens im Rahmen eines starken Authentifizierungsverfahrens (z.B. basiert auf RSA-There are basically no anonymous dial-in options. When establishing a connection, the user in question must at least use a strong authentication procedure (e.g. based on RSA
Secure-ID-Token) zu erkennen geben. Die nach erfolgreicher Authentifizierung aufgebaute Netzverbindung ist grundsätzlich verschlüsselt.Secure ID token). The network connection established after successful authentication is always encrypted.
- Verbindungen werden im sogenannten Call-Back-Verfahren aufgebaut, bei dem entsprechende Nummern bzw. Vorwahlbereiche Nutzerbezogen freige- geben werden.- Connections are established in the so-called call-back procedure, in which the corresponding numbers or area codes are released for the user.
Die Quelladresse einer Dial-In-Verbindung wird durch den Einwahlserver nutzerbezogen fest vergeben. Die verwendeten Adressbereiche sind von den Adressbereichen dedizierter Verbindungen unterscheidbar, sodass im weiteren Verlauf darauf basierende, verschärfte Sicherheitsregeln zum Einsatz kommen können.The dial-in server permanently assigns the source address of a dial-in connection to the user. The address ranges used can be distinguished from the address ranges of dedicated connections, so that more stringent security rules based on them can be used in the further course.
Der wechselseitige Schutz verschiedener, mit der Infrastruktur via Dial-In verbundenen Knotenpunkte wird über entsprechende Filter- und Routing- Mechanismen sichergestellt.The mutual protection of various nodes connected to the infrastructure via dial-in is ensured by appropriate filtering and routing mechanisms.
Die Überprüfung, ob eine Verbindung hergestellt wird oder nicht, kann bei allen Zugriffsvarianten anhand beliebiger Kriterien erfolgen, die eine eindeutige Zuordnung zu einer bestimmten Kommunikationsleitung ermöglichen. So kann beispielsweise vorgesehen sein, dass bei dem Versuch eines Verbindungsaufbaus zu einem ersten Infrastrukturbereich über eine bestimmte Kommunikationsleitung durch eine der Kommunikationsleitung zugeordnete Einrichtung ein entsprechen- des Identifikationsmerkmal an die Verbindungsaufbausteuerung weitergegeben wird, anhand dessen diese entscheidet, ob die Verbindung aufgebaut wird oder nicht.The check as to whether a connection is established or not can be carried out for all access variants on the basis of any criteria that enable an unambiguous assignment to a specific communication line. For example, it can be provided that when an attempt is made to establish a connection to a first infrastructure area via a specific communication line by a device assigned to the communication line, a corresponding identification feature is passed on to the connection establishment control, on the basis of which the latter decides whether the connection is established or not.
Bei bevorzugten, weil besonders einfach aufgebauten und zu realisierenden Varianten der Erfindung ist vorgesehen, dass die über eine Kommunikationsleitung von einem Knotenpunkt im Datenverarbeitungszentrum eingehenden Daten mit einem der Kommunikationsleitung eindeutig zugeordneten Identifikationsmerkmal versehen werden. Die Steuerung des Verbindungsaufbaus mit dem ersten Infrastrukturbereich erfolgt dann in Abhängigkeit von diesem Identifikationsmerkmal.In the case of preferred, particularly simple, and to be implemented variants of the invention, it is provided that the via a communication line data arriving from a node in the data processing center are provided with an identification feature uniquely assigned to the communication line. The connection establishment with the first infrastructure area is then controlled as a function of this identification feature.
Bei der erfindungsgemäßen Netzwerkarchitektur bzw. dem erfindungsgemäßen Datenverarbeitungszentrum wird dies in einfacher Weise dadurch erreicht, dass wenigstens eine der jeweiligen Kommunikationsleitung zugeordnete Identifikationseinrichtung vorgesehen ist, die zum Kennzeichnen von im Datenverarbeitungszentrum eingehenden Daten mit einem der Kommunikationsleitung eindeu- tig zugeordneten Identifikationsmerkmal dient. Die Verbindungsaufbausteuerung ist dann zur Steuerung des Verbindungsaufbaus mit dem ersten Infrastrukturbereich in Abhängigkeit vom Identifikationsmerkmal ausgebildet. Falls mehrere Infrastrukturbereiche vorhanden sind, können entsprechend mehrere Identifikationsmerkmale vergeben werden.In the network architecture according to the invention or the data processing center according to the invention, this is achieved in a simple manner by providing at least one identification device assigned to the respective communication line, which is used to identify data arriving in the data processing center with an identification feature clearly assigned to the communication line. The connection establishment control is then designed to control the connection establishment with the first infrastructure area depending on the identification feature. If there are several infrastructure areas, several identification features can be assigned accordingly.
Bei dieser Variante sind keine zusätzlichen Sensoren oder dergleichen erforderlich, sondern es muss lediglich mit in der Regel ohnehin vorhandenen Einrichtungen das entsprechende Identifikationsmerkmal ausgelesen werden und anhand dieses Identifikationsmerkmals entschieden werden, ob die Verbindung aufgebaut werden soll oder nicht.In this variant, no additional sensors or the like are required; instead, the corresponding identification feature only has to be read out with devices which are generally present anyway and a decision is made on the basis of this identification feature whether the connection is to be established or not.
Bei einer einfach aufgebauten Varianten der erfindungsgemäßen Netzwerkarchitektur bzw. des erfindungsgemäßen Datenverarbeitungszentrums ist die betreffende Kennzeichnungseinrichtung einer Schnittstelle zugeordnet. Beispielsweise kann die Kennzeichnungseinrichtung Bestandteil einer solchen Schnittstelle sein.In the case of a simply constructed variant of the network architecture according to the invention or of the data processing center according to the invention, the identification device in question is assigned to an interface. For example, the marking device can be part of such an interface.
Die Zuordnung des Identifikationsmerkmals zu den Daten kann in beliebiger Wei- se erfolgen. Bevorzugt erfolgt sie mittels einer so genannten Network Address Translation (NAT), insbesondere einer Source Network Address Translation (S- NAT), oder einem Connection Tracking Modul, was bei der erfindungsgemäßen Netzwerkarchitektur bzw. dem erfindungsgemäßen Datenverarbeitungszentrum bevorzugt dadurch realisiert ist, dass die Kennzeichnungseinrichtung zur Zuord- nung des Identifikationsmerkmals mittels Network Address Translation (NAT) ausgebildet ist. Dadurch werden in einfacher Weise folgende Anforderungen erfüllt bzw. Vorteile erzielt:The identification feature can be assigned to the data in any manner. It is preferably carried out by means of a so-called network address translation (NAT), in particular a source network address translation (S-NAT), or a connection tracking module, which is preferably implemented in the network architecture according to the invention or the data processing center according to the invention in that the identification device is designed to assign the identification feature by means of Network Address Translation (NAT). As a result, the following requirements or advantages are achieved in a simple manner:
- Der Application Service Customer (ASC) erhält eine eindeutig ihm zugeordnete und nicht durch Software manipulierbare Quelladresse, die damit als Ausgangspunkt weiterer Zugriffsentscheidungen verwendet wird.- The Application Service Customer (ASC) receives a source address that is clearly assigned to it and cannot be manipulated by software, which is thus used as the starting point for further access decisions.
Der Adressraum des Datenverarbeitungszentrums, also des Network Operation Center (NOC), kann vollständig unabhängig vom Adressraum des angeschlossenen Knotenpunkts oder LAN verwaltet werden.The address space of the data processing center, i.e. the Network Operation Center (NOC), can be managed completely independently of the address space of the connected node or LAN.
Es gibt grundsätzlich keine direkten Verbindungen zwischen verschiedenen Net- work Safes, d. h. zwischen ersten Infrastrukturbereichen. In einer Ausgestaltung der erfindungsgemäßen Netzwerkarchitektur bzw. des erfindungsgemäßen Datenverarbeitungszentrums kann jedoch vorgesehen sein, dass die Datenverarbeitungsinfrastruktur wenigstens zwei erste Infrastrukturbereiche (Datenverarbeitungsstrukturen) und wenigstens eine Verbindung in Form eines zweiten Infra- Strukturbereiches zwischen den ersten Infrastrukturbereichen umfasst, über welche die ersten Infrastrukturbereiche verbunden sind, beispielsweise um den einen ersten Infrastrukturbereich mit Hilfe eines weiteren ersten Infrastrukturbereichs zu administrieren. Der zweite Infrastrukturbereich kann beispielsweise ein Server sein, der mit mindestens zwei ersten Infrastrukturbereichen verbunden ist. Im Hinblick auf kooperativ durch verschiedene Application Service Provider (ASP) erbrachte Services, z.B. im Business-to-Business (B2B) Umfeld, besteht hiermit die Möglichkeit, dass z. B. ein Server oder dergleichen durch separate Netzwerkinterfaces mit mehreren ersten Infrastrukturbereichen, d. h. Network Safes, verbunden ist. Der Missbrauch des zweiten Infrastrukturbereiches bzw. des Servers, als genereller Router zwischen den Network Safes mit denen er verbunden ist, wird durch die zuvor genannten Kommunikationsbeschränkungen verhindert.In principle, there are no direct connections between different network safes. H. between the first infrastructure areas. In an embodiment of the network architecture or data processing center according to the invention, however, it can be provided that the data processing infrastructure comprises at least two first infrastructure areas (data processing structures) and at least one connection in the form of a second infrastructure area between the first infrastructure areas, via which the first infrastructure areas are connected , for example to administer the first infrastructure area with the help of a further first infrastructure area. The second infrastructure area can be a server, for example, which is connected to at least two first infrastructure areas. With regard to services provided cooperatively by various Application Service Providers (ASP), e.g. in the business-to-business (B2B) environment, there is the possibility that e.g. B. a server or the like through separate network interfaces with several first infrastructure areas, d. H. Network Safes. Misuse of the second infrastructure area or the server, as a general router between the network safes to which it is connected, is prevented by the aforementioned communication restrictions.
Um eine in möglichst breiten Umfang und kostengünstig zu nutzende Netzwerkarchitektur zu erzielen, sind bevorzugt eine Anzahl von über sichere Kommunika- tionsverbindungen miteinander verbindbare Datenverarbeitungszentren sowie wenigstens eine Synchronisationseinrichtung vorgesehen, über welche die Da- tenverarbeitungszentren synchronisiert werden können, sodass in mehreren Datenverarbeitungszentren von ihrem Inhalt her synchronisierte erste Infrastrukturbereiche, d. h. Network Safes, bestehen. Hierdurch ist es beispielsweise möglich, Services für Application Service Customer (ASC) zur Verfügung zu stellen, deren Application Service User (ASU) sich an unterschiedlichen Standorten befinden. Diese können dann dank der Synchronisation der Datenverarbeitungszentren in kostengünstiger Weise jeweils auf das nächstgelegene Datenverarbeitungszentrum zugreifen.In order to achieve a network architecture that can be used as broadly and inexpensively as possible, a number of data processing centers that can be connected to one another via secure communication connections and at least one synchronization device are preferably provided, via which the data processing centers can be synchronized, so that in several data processing centers there are synchronized first infrastructure areas, ie network safes. This makes it possible, for example, to provide services for Application Service Customers (ASC) whose Application Service Users (ASU) are located at different locations. Thanks to the synchronization of the data processing centers, they can then access the nearest data processing center in a cost-effective manner.
Langfristig ist hier zu berücksichtigen beziehungsweise kann berücksichtigt wer- den, dass ein Network Safe auch auf verschiedene Network Operation Center (NOC), d. h. Datenverarbeitungszentren, verschiedener Betreiber verteilt sein kann, sodass auch hier dem klassischen Internet vergleichbare übergeordnete Organisationsstrukturen existieren müssen bzw. vorgesehen sein können, die für die Verwaltung des Adressraums zuständig sind.In the long term, it must be taken into account here or it can be taken into account that a network safe can also be assigned to different network operation centers (NOC), H. Data processing centers, different operators can be distributed, so that here, too, higher-level organizational structures comparable to the classic Internet must exist or be provided, which are responsible for the administration of the address space.
Mit der Erfindung lässt sich eine Migration in eine alternative Netzwerkarchitektur realisieren, die ausgehend von den eingangs genannten Schwächen der Architektur des klassischen Internet in erster Linie die folgenden Anforderungen erfüllt:The invention makes it possible to migrate to an alternative network architecture which, based on the weaknesses in the architecture of the classic Internet mentioned at the outset, primarily meets the following requirements:
Bereits die Fundamente der erfindungsgemäßen Netzwerkarchitektur bzw. Datenverarbeitungszentrale sind so ausgelegt, dass grundsätzlich nur die Knoten- punkte die Datenverarbeitungsinfrastruktur bzw. dieselben Bereiche der Datenverarbeitungsinfrastruktur nutzen können, deren Knotenbetreiber zueinander in einer gewollten Servicebeziehung stehen. Der Begriff Servicebeziehung ist dabei als gerichtete Verbindung aufzufassen, damit private Ressourcen aller Beteiligten im Umfeld einer Servicebeziehung hinreichend geschützt werden. Beispiel: Nut- zer A benutzt einen Service von Provider B; Die privaten Ressourcen von Nutzer A sind jedoch vor dem Zugriff durch Provider B geschützt. Analoges gilt generell für verschiedene Nutzer: Selbst wenn Nutzer A und Nutzer C den selben Service nutzen, sind Ihre privaten Ressourcen wechselseitig vor unberechtigtem Zugriff, insbesondere durch den jeweils anderen, geschützt.The foundations of the network architecture or data processing center according to the invention are already designed such that in principle only the nodes can use the data processing infrastructure or the same areas of the data processing infrastructure, the node operators of which are in a desired service relationship with one another. The term service relationship is to be understood as a directional connection, so that private resources of all parties involved in the context of a service relationship are adequately protected. Example: User A uses a service from provider B; However, the private resources of user A are protected from access by provider B. The same applies in general to different users: Even if user A and user C use the same service, your private resources are mutually protected against unauthorized access, in particular by each other.
Die einem Nutzer hinsichtlich der Zugriffssicherheit zugesicherten Eigenschaften der erfindungsgemäßen Netzwerkarchitektur bzw. Datenverarbeitungszentrale können in vorteilhafter Weise durch eine vertrauenswürdige externe Institution zertifiziert und regelmäßig überwacht werden. Die erfindungsgemäßen Netzwerkarchitektur bzw. Datenverarbeitungszentrale muss, nicht zuletzt unter dem zuvor genannten Aspekt, revisionssicher betrieben werden.The properties of the network architecture or data processing center according to the invention assured of a user with regard to access security can advantageously be certified by a trustworthy external institution and monitored regularly. The network architecture or data processing center according to the invention must be operated in an audit-proof manner, not least from the aforementioned aspect.
Der Ausgangspunkt einer Servicenutzung ist bei vorteilhaften Varianten der Erfindung bereits auf Netzwerkebene manipulationssicher einem Nutzer bzw. Nutzergruppe zuzuordnen.In advantageous variants of the invention, the starting point of service use can already be assigned to a user or user group in a manipulation-proof manner at the network level.
Die Alternativarchitektur kann mit der Erfindung parallel zum klassischen Internet aufgebaut, und betrieben werden. Sie ermöglicht eine gesicherte und kontrollierte Kommunikation zum klassischem Internet, sofern ein Secure Internet Gateway in Form eines eigenen Network Safes vorhanden ist. Sie ermöglicht weiterhin ausgehend vom klassischen Internet eine schrittweise Migration, da sie nicht unabhängig und ad hoc aufgebaut werden muss. Die Migration kann zunächst in si- cherheits- bzw. geschäftskritischen Serviceinfrastrukturen forciert werden, da hier ein hohes Schutzbedürfnis besteht.With the invention, the alternative architecture can be set up and operated parallel to the classic Internet. It enables secure and controlled communication with the classic Internet, provided that a Secure Internet Gateway is available in the form of its own network safe. It also enables a gradual migration based on the classic Internet, since it does not have to be set up independently and ad hoc. The migration can initially be enforced in security or business-critical service infrastructures, since there is a high need for protection here.
Es besteht zudem ohne weiteres die Möglichkeit, bestehende Netzwerkinfrastrukturkomponenten im Rahmen der alternativen Architektur wiederzuverwenden, damit die Migration nicht durch einen unverhältnismäßig hohen Investitionsaufwand verhindert oder gebremst wird.There is also the option of reusing existing network infrastructure components as part of the alternative architecture, so that migration is not prevented or slowed down by a disproportionately high investment.
Die Alternativarchitektur zum klassischen Internet ist hinsichtlich sich ändernder Anforderungen hinreichend flexibel. Zudem ist sie zumindest mittelfristig auch für die Integration des Business-to-Consumer (B2C) und des Consumer-to- Consumer Bereichs offen.The alternative architecture to the classic Internet is sufficiently flexible with regard to changing requirements. In addition, at least in the medium term, it is also open to the integration of the business-to-consumer (B2C) and the consumer-to-consumer area.
Die vorstehenden Ausführungen konzentrieren sich auf die Beschreibung der innovativen Grundideen der Erfindung, insbesondere also im wesentlichen auf die Darstellung des Grundmodells der erfindungsgemäßen Netzwerkarchitektur. Über dieses Grundmodell hinaus sind weitere Komponenten und Organisationsstrukturen für den erfolgreichen Betrieb eines entsprechenden Network Operation Center (NOC) erforderlich. Hier muss das Rad nicht neu erfunden werden, und kann auf entsprechende State-of-the-Art Techniken zurückgegriffen werden, die damit an dieser Stelle auch nur kurz thematisiert werden sollen. Es versteht sich von selbst, dass der externe Datenverkehr, d.h. der Datenverkehr zwischen Kunde und Network Operation Center (NOC) und der Datenverkehr zwischen verschiedenen Network Operation Centern (NOC) generell verschlüsselt abgewi- ekelt werden sollte. Genauso ist, da es sich in der Regel um sicherheitskritische zentralisierte Strukturen handelt, die Infrastruktur redundant auszulegen.The above statements concentrate on the description of the innovative basic ideas of the invention, in particular thus essentially on the representation of the basic model of the network architecture according to the invention. In addition to this basic model, other components and organizational structures are required for the successful operation of a corresponding Network Operation Center (NOC). Here, the wheel does not have to be reinvented and appropriate state-of-the-art techniques can be used so that only briefly should be discussed here. It goes without saying that the external data traffic, ie the data traffic between the customer and the Network Operation Center (NOC) and the data traffic between different Network Operation Centers (NOC) should generally be encrypted. In the same way, since security-critical centralized structures are generally involved, the infrastructure must be designed redundantly.
Zum qualitativ hochwertigen Betrieb einer Netzwerkarchitektur sind ausgeprägte Komponenten erforderlich, die allgemein unter der Abkürzung FCAPS zusam- mengefasst werden: Fault Management (F), Configuration Management (C), Ac- counting (A) bzw. daraus resultierend auch das sogenannte Billing, Performance Monitoring (P), Security Management (S).For the high-quality operation of a network architecture, distinctive components are required, which are generally summarized under the abbreviation FCAPS: Fault Management (F), Configuration Management (C), Accounting (A) or, as a result, also the so-called billing, performance Monitoring (P), Security Management (S).
Ausgehend von diversen Sicherheitsaspekten, sollten diese Komponenten auf Basis eines separaten, sogenannten Out-of-Band Management Netzwerks betrieben werden. Eine mögliche Referenzarchitektur findet sich unter anderem in der Veröffentlichung "Cisco SAFE: Security Blueprint for Enterprise Network Security" der Firma CISCO Systems Inc.Based on various security aspects, these components should be operated on the basis of a separate, so-called out-of-band management network. A possible reference architecture can be found in the publication "Cisco SAFE: Security Blueprint for Enterprise Network Security" by CISCO Systems Inc.
Darüber hinaus ist vorgesehen, das Userinterface für das Management der erfindungsgemäßen Netzwerkarchitektur im wesentlichen als Frontend einer für die erfindungsgemäße Netzwerkarchitektur spezifischen Management-Datenbank zu betreiben. Protokoll- und Konfigurationsdaten werden ausschließlich über die Datenbank ausgetauscht. Für die Übertragung der Konfigurationsdaten auf die entsprechenden Geräte bzw. Server, werden gerate- bzw. betriebssystemspezifische Backends eingesetzt.In addition, it is provided to operate the user interface for the management of the network architecture according to the invention essentially as a front end of a management database specific for the network architecture according to the invention. Protocol and configuration data are only exchanged via the database. Device- or operating system-specific backends are used to transfer the configuration data to the corresponding devices or servers.
Mit diesem Ansatz soll durch das Frontend die Möglichkeit von Administrations- fehlem minimiert und durch das Backend die Geräte- bzw. Betriebssystemunabhängigkeit maximiert werden. Zudem würde eine derartige Zwischenschicht die Ankopplung des Management-Netzwerks an das ERP-System des Application Service Infrastructure Providers (ASIP) erleichtern.This approach aims to minimize the possibility of administration errors through the front end and to maximize device and operating system independence through the back end. In addition, such an intermediate layer would facilitate the coupling of the management network to the ERP system of the Application Service Infrastructure Provider (ASIP).
Zur Restrukturierung der kundenlokalen Installation ist es ergänzend sinnvoll, den Kunden, also einen Application Service Customer (ASC) oder einen Applica- tion Service Provider (ASP), bei der Umstellung auf entsprechende Endgeräte zu unterstützen. Mittels ,Thin Client' Technologie können hier durch Senkung der ,Total Cost of Ownership' (TCO) die Kosten der lokalen Installation des Kunden zusätzlich gesenkt werden. Als Zusatznutzen erhöht sich durch die verbesserte Virenresistenz dieser Technologie die Sicherheit der lokalen Installation.To restructure the customer's local installation, it also makes sense to provide the customer with an Application Service Customer (ASC) or an Application tion service provider (ASP) to support the changeover to the corresponding end devices. By means of 'thin client' technology, the costs of the local installation of the customer can be reduced further by lowering the 'total cost of ownership' (TCO). As an added benefit, the improved virus resistance of this technology increases the security of the local installation.
Weitere bevorzugte Ausgestaltungen der Erfindung ergeben sich aus den Unteransprüchen bzw. der nachstehenden Beschreibung bevorzugter Ausführungsbeispiele, welche auf die beigefügten Zeichnungen Bezug nimmt. Es zeigen:Further preferred refinements of the invention result from the subclaims or the description below of preferred exemplary embodiments, which refers to the attached drawings. Show it:
Figur 1 ein schematisches Blockschaltbild einer bevorzugten Variante der er- findungsgemäßen Netzwerkarchitektur;FIG. 1 shows a schematic block diagram of a preferred variant of the network architecture according to the invention;
Figur 2 ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur;FIG. 2 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention;
Figur 3 ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur;FIG. 3 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention;
Figur 4 ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur;FIG. 4 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention;
Figur 5 ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur;FIG. 5 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention;
Figur 6 ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur;FIG. 6 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention;
Figur 7 ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur;FIG. 7 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention;
Figur 8 ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur; Figur 9 ein schematisches Blockschaltbild einer bevorzugten Variante des erfindungsgemäßen Datenverarbeitungszentrums;FIG. 8 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention; FIG. 9 shows a schematic block diagram of a preferred variant of the data processing center according to the invention;
Figur 10 ein schematisches Blockschaltbild einer bevorzugten Variante eines Details des Datenverarbeitungszentrums aus Figur 9.FIG. 10 shows a schematic block diagram of a preferred variant of a detail of the data processing center from FIG. 9.
Figur 1 zeigt ein schematisches Blockschaltbild einer bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur, bei der das erfindungsgemäße Verfahren zum Einsatz kommt. Die Netzwerkarchitektur umfasst ein im folgenden als Network Operation Center (NOC) bezeichnetes Datenverarbeitungszentrum 1 , das eine Datenverarbeitungsinfrastruktur 2 aufweist, die über Kommunikationslei- tungen in Form von Standleitungen 3 mit den Knotenpunkten 4 eines Datenverarbeitungsnetzwerkes verbindbar ist.FIG. 1 shows a schematic block diagram of a preferred variant of the network architecture according to the invention, in which the method according to the invention is used. The network architecture comprises a data processing center 1, hereinafter referred to as a network operation center (NOC), which has a data processing infrastructure 2 which can be connected to the nodes 4 of a data processing network via communication lines in the form of dedicated lines 3.
Die Knotenpunkte 4 sind in Folge entsprechender Nutzungsverträge zum Zugriff auf das Network Operation Center (NOC) 1 berechtigt. Die Knotenpunkte 4 sind im gezeigten Beispiel von so genannten Local Area Networks (LAN) gebildet. Es versteht sich jedoch, dass es sich im einfachsten Fall bei einem Knotenpunkt auch um einen einzelnen Rechner handeln kann.The nodes 4 are entitled to access the Network Operation Center (NOC) 1 as a result of corresponding usage contracts. In the example shown, the nodes 4 are formed by so-called local area networks (LAN). However, it is understood that in the simplest case, a node can also be a single computer.
Die Datenverarbeitungsinfrastruktur 2, die im folgenden auch als Application Service Infrastructure (ASI) bezeichnet wird, stellt eine Infrastruktur dar, über die ein oder mehrere so genannten Application Service Provider (ASP) einem oder meh- reren so genannten Application Service Customer (ASC) bestimmte Services, d. h. Dienste, beispielsweise in Form von bestimmten Applikationen oder dergleichen, zur Verfügung zu stellen. Der Betreiber des Network Operation Center (NOC) 1 wird dabei als Application Service Infrastructure Provider (ASIP) bezeichnet, da er die erforderliche Infrastruktur zur Verfügung stellt. Es kann dabei natürlich auch vorgesehen sein, dass der Application Service Infrastructure Provider (ASIP) auch selbst als Application Service Provider (ASP) tätig ist, d. h. nicht nur die Infrastruktur, sondern bestimmte Services zur Verfügung stellt.The data processing infrastructure 2, which is also referred to below as the Application Service Infrastructure (ASI), represents an infrastructure via which one or more so-called Application Service Providers (ASP) determined one or more so-called Application Service Customers (ASC) Services, i.e. H. To provide services, for example in the form of certain applications or the like. The operator of the Network Operation Center (NOC) 1 is referred to as the Application Service Infrastructure Provider (ASIP) because it provides the necessary infrastructure. Of course, it can also be provided that the Application Service Infrastructure Provider (ASIP) itself also operates as an Application Service Provider (ASP), i. H. not just the infrastructure, but certain services.
Die Application Service Infrastructure (ASI) 2 weist eine Reihe voneinander getrennter erster Infrastrukturbereiche in Form so genannter Network Safes 5 auf. Die Network Safes 5 weisen untereinander keine direkten Verbindungen auf, was in Figur 1 durch die durchkreuzten Doppelpfeile 6 angedeutet ist.The Application Service Infrastructure (ASI) 2 has a number of separate first infrastructure areas in the form of so-called network safes 5. The network safes 5 have no direct connections to one another, which is indicated in FIG. 1 by the crossed arrows 6.
In diesen voneinander getrennten Network Safes 5 werden dem jeweils aufgrund von Nutzungsverträgen zugangsberechtigten Application Service Customer (ASC), d. h. dem Betreiber eines auf den entsprechenden Network Safe 5 zugriffsberechtigten Knotenpunktes 4, von einem Application Service Provider (ASP) bestimmte Services zur Verfügung gestellt. Handelt es sich bei dem Application Service Provider (ASP) um einen externen Anbieter, d. h. nicht um den Application Service Infrastructure Provider (ASIP) als Betreiber des Network O- peration Center (NOC) 1 , so nutzt der Application Service Provider (ASP) ebenfalls wenigstens einen von ihm betriebenen zugangsberechtigten Knotenpunkt 4 und einen Network Safe 5, um den Service zur Verfügung zu stellen.In these network safes 5, which are separate from one another, the application service customer (ASC) who is authorized to access on the basis of user contracts, ie. H. certain services are provided to the operator of a node 4, which is authorized to access the corresponding Network Safe 5, by an Application Service Provider (ASP). If the Application Service Provider (ASP) is an external provider, i. H. not for the Application Service Infrastructure Provider (ASIP) as the operator of the Network Operation Center (NOC) 1, the Application Service Provider (ASP) also uses at least one access-enabled node 4 operated by it and a Network Safe 5 for the service to provide.
Ein Network Safe 5 verbindet ausschließlich Server miteinander, die gemeinsam einen Service erbringen und zueinander in einer Vertrauensbeziehung stehen. Die durch einen Network Safe 5 bereitgestellten Services können wie erwähnt nur durch berechtigte Knotenpunkte 4 genutzt werden, wobei die privaten Ressourcen der Knotenpunkte 4, wie weiter unten noch erläutert wird, vor wechselseitigem Zugriff geschützt sind.A Network Safe 5 connects only servers that provide a service together and are in a relationship of trust. As mentioned, the services provided by a network safe 5 can only be used by authorized nodes 4, the private resources of the nodes 4 being protected against mutual access, as will be explained further below.
Ein Network Safe 5 ist im Prinzip mit einem Local Area Network (LAN) vergleich- bar, für das allerdings im folgenden erläuterte zusätzliche vereinheitlichte und übergreifend durch den Betreiber des Network Operation Center (NOC) 1 garantierte Kommunikationsbeschränkungen gelten:A Network Safe 5 is in principle comparable to a Local Area Network (LAN), but for which the additional standardized communication restrictions explained below and guaranteed by the operator of the Network Operation Center (NOC) 1 apply:
Die Application Service Infrastructure (ASI) 2 weist eine Verbindungsaufbausteuerung in Form eines so genannten Application Service Infrastructure Access Router (ASI-AR) 7 zur autorisationsbasierten Steuerung des Verbindungsaufbaus zwischen den Knotenpunkten 4 und den Network Safes 5 auf.The Application Service Infrastructure (ASI) 2 has a connection setup controller in the form of a so-called Application Service Infrastructure Access Router (ASI-AR) 7 for authorization-based control of the connection setup between the nodes 4 and the network safes 5.
Der Application Service Infrastructure Access Router (ASI-AR) 7 ist so ausgebildet, dass Verbindungen zwischen einem bestimmten Knotenpunkt 4 und einem bestimmten Network Safe 5 nur auf Veranlassung dieses bestimmten Knoten- punktes 4 hergestellt werden. Hierdurch ist sichergestellt, dass keiner der Net- work Safes 5 als Router missbraucht werden kann, um zwischen einem ersten Knotenpunkt 4.1 und einem zweiten Knotenpunkt 4.2 ohne Veranlassung des jeweils anderen Knotenpunktes eine Verbindung herzustellen. Dies ist in Figur 1 durch die durchkreuzten Doppelpfeile 8 angedeutet und bedeutet letztendlich, dass die privaten Ressourcen des jeweiligen Knotenpunktes 4 vor einem unbefugten Zugriff durch andere über das erfindungsgemäße Network Operation Center (NOC) 1 geschützt sind.The Application Service Infrastructure Access Router (ASI-AR) 7 is designed in such a way that connections between a specific node 4 and a specific network safe 5 are only established when this specific node 4 is initiated. This ensures that none of the network work safes 5 can be misused as routers in order to establish a connection between a first node 4.1 and a second node 4.2 without causing the respective other node. This is indicated in FIG. 1 by the crossed double arrows 8 and ultimately means that the private resources of the respective node 4 are protected against unauthorized access by others via the network operation center (NOC) 1 according to the invention.
Das Zugriffsschema der Knotenpunkte 4 auf die Network Safes 5, mit dem der Application Service Infrastructure Access Router (ASI-AR) 7 arbeitet ist in Figur 1 durch Punkte 9 dargestellt, die horizontale und vertikale Linien 10 und 11 entsprechend der jeweils erlaubten Servicebeziehungen miteinander verbinden:The access scheme of the nodes 4 to the network safes 5, with which the Application Service Infrastructure Access Router (ASI-AR) 7 works, is represented in FIG. 1 by points 9, which connect horizontal and vertical lines 10 and 11 to one another in accordance with the respectively permitted service relationships :
- Die horizontalen Linien 10 symbolisieren die Verbindungen zu den Network Safes 5, in denen die Server zusammengefasst werden, die im Rahmen der Bereitstellung eines Services eine Vertrauensstellung unterhalten. Server ei- nes Network Safes 5 können uneingeschränkt miteinander kommunizieren.The horizontal lines 10 symbolize the connections to the network safes 5, in which the servers are grouped which maintain a trust relationship within the scope of the provision of a service. Servers of a network safe 5 can communicate with one another without restriction.
Unter der Voraussetzung, dass der jeweilige Service ausschließlich durch genau einen Server erbracht wird, befindet sich auch nur genau dieser Server innerhalb des entsprechenden Network Safes 5.Provided that the respective service is provided exclusively by exactly one server, only this server is located within the corresponding network safe 5.
- Die vertikalen Linien 11 symbolisieren die Zugriffswege ausgehend von den lokalen Infrastrukturen der Application Service Customer (ASC), also von den- The vertical lines 11 symbolize the access routes starting from the local infrastructures of the Application Service Customer (ASC), that is from the
Knotenpunkten 4.Nodes 4.
Sofern ein Nutzungsvertrag zwischen einem Application Servicer Provider (ASP) und einem Application Service Customer (ASC) zur Nutzung eines bestimmten Services existiert, wird der entsprechende Zugriffsweg mit dem jeweiligen Net- work Safe 5 des Services verbunden. Die zugrundeliegenden Zugriffsbeschränkungen, werden - wie im folgenden noch näher erläutert wird - auf Basis der Quelladresse des Application Service Customer (ASC) durch sogenannte Access Lists repräsentiert, die in einem Speicher 12 abgelegt sind, auf den der Application Service Infrastructure Access Router (ASI-AR) 7 zugreift. Zugriffe von einem Knotenpunkt 4, beispielsweise von den Application Service User (ASU) eines Application Service Customer (ASC) aus einem LAN des Application Service Customer (ASC), auf das Network Operation Center (NOC) 1 erfolgen ausschließlich auf einem dedizierten Zugriffsweg, nämlich über die Standleitungen 3.If a usage contract exists between an Application Service Provider (ASP) and an Application Service Customer (ASC) for the use of a certain service, the corresponding access path is connected to the respective network safe 5 of the service. The underlying access restrictions are - as will be explained in more detail below - represented on the basis of the source address of the Application Service Customer (ASC) by so-called access lists, which are stored in a memory 12 to which the Application Service Infrastructure Access Router (ASI- AR) 7 accesses. Access from a node 4, for example by the Application Service User (ASU) of an Application Service Customer (ASC) from a LAN of the Application Service Customer (ASC), to the Network Operation Center (NOC) 1 takes place exclusively via a dedicated access path, namely via dedicated lines 3.
Der Application Service Infrastructure Access Router (ASI-AR) 7 ist zur zugangsbasierten Steuerung des Verbindungsaufbaus in Abhängigkeit von der Standleitung 3 ausgebildet, über die der Verbindungsaufbau initiiert wird. Der Application Service Infrastructure Access Router (ASI-AR) 7 erfasst hierzu, über welche Standleitung 3 der Verbindungsaufbau initiiert wird, und stellt die Verbindung mit denjenigen Network Safes 5 her, die dieser Standleitung 3 durch die oben genannten Access Lists zugeordnet sind.The Application Service Infrastructure Access Router (ASI-AR) 7 is designed for access-based control of the connection establishment depending on the dedicated line 3, via which the connection establishment is initiated. For this purpose, the Application Service Infrastructure Access Router (ASI-AR) 7 detects which leased line 3 is used to initiate the connection and establishes the connection with those network safes 5 which are assigned to this leased line 3 by the access lists mentioned above.
Um dies zu bewerkstelligen, wird an jeden dedizierten Zugriffsweg in Form einer Standleitung 3 eine sogenannte (Source-) Network Address Translation (NAT) gebunden. Bei dem in Figur 1 dargestellten Beispiel erfolgt dies im Bereich einer der jeweiligen Standleitung 3 zugeordneten Kennzeichnungseinrichtung, die Bestandteil einer der jeweiligen Standleitung 3 zugeordneten Schnittstelleneinrichtung 13 des Network Operation Center (NOC) 1 ist.To accomplish this, a so-called (source) network address translation (NAT) is bound to each dedicated access path in the form of a dedicated line 3. In the example shown in FIG. 1, this takes place in the area of an identification device assigned to the respective dedicated line 3, which is part of an interface device 13 of the Network Operation Center (NOC) 1 assigned to the respective dedicated line 3.
Bei dieser Network Address Translation (NAT) wird eingehenden Datenpaketen eine Kennzeichnung in Form einer Quelladresse beigefügt, die der jeweiligen Standleitung 3 eindeutig zugeordnet ist. In Abhängigkeit von dieser Quelladresse und damit von der zugehörigen Standleitung 3 bzw. Schnittstelleneinrichtung 13 entscheidet der Application Service Infrastructure Access Router (ASI-AR) 7 über den Verbindungsaufbau zu den Network Safes 5. Dadurch werden folgende An- forderungen erfüllt:With this network address translation (NAT), incoming data packets are accompanied by an identifier in the form of a source address which is uniquely assigned to the respective dedicated line 3. Depending on this source address and thus on the associated dedicated line 3 or interface device 13, the Application Service Infrastructure Access Router (ASI-AR) 7 decides on the connection establishment to the network safes 5. This fulfills the following requirements:
- Der Betreiber jedes Knotenpunktes 4 erhält eine eindeutig ihm zugeordnete und nicht durch Software manipulierbare Quelladresse, die als Ausgangspunkt weiterer Zugriffsentscheidungen verwendet wird. - Der Adressraum des Network Operation Center (NOC) kann vollständig unabhängig vom Adressraum des angeschlossenen Knotenpunktes 4 verwaltet werden.The operator of each node 4 receives a source address which is clearly assigned to it and cannot be manipulated by software and which is used as the starting point for further access decisions. - The address space of the Network Operation Center (NOC) can be managed completely independently of the address space of the connected node 4.
- Der Zugriffsweg des Knotenpunktes 4 auf das Network Operation Center (NOC) wird damit zu einer gerichteten, nicht transitiven Nutzungsbeziehung, d.h. weder Server aus einem Network Safe 5 noch Knotenpunkte 4 aus unterschiedlichen LAN-Umgebungen können wechselseitig auf private Infrastrukturen zugreifen.The access path of node 4 to the Network Operation Center (NOC) thus becomes a directed, non-transitive usage relationship, i.e. Neither servers from a Network Safe 5 nor nodes 4 from different LAN environments can mutually access private infrastructures.
Das in den Figuren verwendete Adressierungsschema wurde aus didaktischen Gründen auf IP V4 basiert und zudem stark vereinfacht: Die zur Unterteilung bestimmter Netzwerkbereiche verwendeten Netzmasken enden immer auf 8-Bit- Grenzen; Implikationen redundanter Strukturen bleiben unberücksichtigt.The addressing scheme used in the figures was based on IP V4 for didactic reasons and was also greatly simplified: the network masks used to subdivide certain network areas always end at 8-bit boundaries; Implications of redundant structures are ignored.
Da die erfindungsgemäße Netzwerkarchitektur in den gezeigten keine direkte Verbindung zum klassischen Internet unterhält, werden private Adressen ent- sprechend RFC 1918 verwendet. Die Beispiele beschränken sich auf die Verwendung des Netzes 10.*.*.* wobei jeder Stern immer einen variablen 8-Bit-Teil beginnend an einer 8-Bit-Grenze markiert. Die klassische Notation 10.0.0.0 / 255.0.0.0 wird, weil zu lang, im folgenden nicht verwendet. Die neuere Notation 10.0.0.0 / 24 wird nicht verwendet, da damit Netzmasken, in denen der gesetzte Teil nicht durchgehend zusammenhängt, wie z.B. 10Λ5.* nicht darstellbar sind.Since the network architecture according to the invention does not maintain a direct connection to the classic Internet in the shown, private addresses in accordance with RFC 1918 are used. The examples are limited to the use of the network 10. *. *. * Where each asterisk always marks a variable 8-bit part starting at an 8-bit boundary. The classic notation 10.0.0.0 / 255.0.0.0 is not used in the following because it is too long. The newer notation 10.0.0.0 / 24 is not used, because it means that netmasks in which the set part is not continuously connected, e.g. 10Λ5. * Cannot be displayed.
Langfristig ist, wie bereits oben erwähnt, zu berücksichtigen, dass ein Network Safe 5 auch auf verschiedene Network Operation Center (NOC) verschiedener Betreiber verteilt sein kann, sodass auch hier dem klassischen Internet vergleichbare übergeordnete Organisationsstrukturen existieren müssen, die für die Verwaltung des Adressraums zuständig wären.In the long term, as already mentioned above, it has to be taken into account that a Network Safe 5 can also be distributed to different Network Operation Centers (NOC) from different operators, so that here too there must be higher-level organizational structures comparable to the classic Internet that are responsible for managing the address space would.
Der in den Beispielen verwendete Adressraum ist wie folgt in einzelne Netzbereiche unterteilt: 10.n.*.* ist der Adressraum des gesamten Network Operation Center (NOC) Nr. n; In den Figuren mit nur einem Network Operation Center (NOC) wird von einem Network Operation Center (NOC) mit der Nr. 1 ausgegangen.The address space used in the examples is divided into individual network areas as follows: 10.n. *. * Is the address space of the entire Network Operation Center (NOC) No. n; In the figures with only one network operation center (NOC), a network operation center (NOC) with the number 1 is assumed.
10Λ0.* ist der Adressraum aller Zugriffsnetzbereiche, d. h. der Knotenpunkte 4;10Λ0. * Is the address space of all access network areas, i.e. H. node 4;
10.*.s.* mit s >1 ist der Adressraum des Network Safes s; Alle an den Network Safe Nr. 3 im Network Operation Center (NOC) Nr. 1 angeschlossenen Server erhalten also eine Adresse aus dem Bereich 10.1.3.* (dies sind in Figur 1 alle an den Network Safe 5.3 angeschlossenen Server);10. *. S. * With s> 1 is the address space of the network safe s; All servers connected to Network Safe No. 3 in Network Operation Center (NOC) No. 1 thus receive an address from the range 10.1.3. * (In FIG. 1, these are all servers connected to Network Safe 5.3);
- Die Adressräume der angeschlossenen Application Service Customer (ASC) sind willkürlich. Hier können sowohl offizielle IP Adressen des klassischen Internet wie auch private Adressen zum Einsatz kommen.- The address spaces of the connected Application Service Customers (ASC) are arbitrary. Both official IP addresses of the classic Internet and private addresses can be used here.
Die Verbindungspunkte 9 der vertikalen Zugriffslinien 11 mit den horizontalen Servicelinien 10 markieren wie erwähnt jeweils eine Zugriffsverbindung bzw. Er- laubnis für den jeweiligen Servicenutzer bzw. Nutzergruppe bzgl. des Services des jeweiligen Network Safe 5.As mentioned, the connection points 9 of the vertical access lines 11 with the horizontal service lines 10 each mark an access connection or permission for the respective service user or user group with respect to the service of the respective network safe 5.
Figur 2 zeigt ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur, die einer ergänzten Netzwerkarchitektur aus Figur 1 entspricht. Identische Bestandteile wurden daher mit iden- tischen Bezugsziffern bezeichnet.FIG. 2 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention, which corresponds to a supplemented network architecture from FIG. 1. Identical components were therefore identified with identical reference numbers.
In Figur 2 wurden die Network Safes 5 beispielhaft durch eine vereinfachte, repräsentative Serverkonstellation ergänzt. Der Network Safe S1 wird von Application Service Customer ASC1 , der den Knotenpunkt 4.1 betreibt, als privates Netzwerk benutzt. Der an dieses Netzwerk angeschlossene Server 14 könnte z.B. standortübergreifende Intranetfunktionalität für den Application Service Customer ASC1 bereitstellen. Der Server 14 wird durch den Application Service Customer ASC1 selbst administriert. Network Safe S2 und S3 haben analoge Bedeutung: Die daran angeschlossenen Server 15 und 16 beherbergen die privaten Services von Application Service Customer ASC2 und Application Service Provider ASP1 , welche die Knotenpunkte 4.2 bzw. 4.3 betreiben.In FIG. 2, the network safes 5 have been supplemented by a simplified, representative server configuration. The Network Safe S1 is used by Application Service Customer ASC1, which operates node 4.1, as a private network. The server 14 connected to this network could, for example, provide cross-location intranet functionality for the Application Service Customer ASC1. The server 14 is administered by the Application Service Customer ASC1 itself. Network Safe S2 and S3 have an analogous meaning: The connected servers 15 and 16 house the private services of Application Service Customer ASC2 and Application Service Provider ASP1, which operate nodes 4.2 and 4.3, respectively.
Ergänzend stellt der Application Service Provider ASP1 dem Application Service Customer ASC1 und dem Application Service Customer ASC2 auf zweiten Infrastrukturbereichen in Form von separaten Servern 17 und 18 in den Network Safes S4 und S5 einen Service zur Verfügung. Die Server 17 und 18 werden durch den Application Service Provider ASP1 ausgehend von Network Safe S6 admi- nistriert. Die Server 17 und 18 verbinden dabei als zweite Infrastrukturbereiche die beiden Network Safes S4 und S6 bzw. S5 und S6.In addition, the application service provider ASP1 provides a service to the application service customer ASC1 and the application service customer ASC2 on second infrastructure areas in the form of separate servers 17 and 18 in the network safes S4 and S5. The servers 17 and 18 are administered by the Application Service Provider ASP1 on the basis of Network Safe S6. The servers 17 and 18 connect the two network safes S4 and S6 or S5 and S6 as second infrastructure areas.
Es wird vorausgesetzt, dass die Applikation unter Umständen in Kombination mit dem Betriebssystem dazu in der Lage ist, die Administrationsservices nur auf dem mit Network Safe S6 verbundenen Netzwerkinterface bereitzustellen.It is assumed that the application in combination with the operating system may be able to provide the administration services only on the network interface connected to Network Safe S6.
Die anhand der Figuren 1 und 2 erläuterten Eigenschaften der erfindungsgemäßen Netzwerkarchitektur lassen sich nochmals wie folgt umschreiben. Eine Grundidee besteht wie erwähnt darin, Services in voneinander getrennten Räumen dem Nutzer zur Verfügung zu stellen. Diese Räume werden durch die Network Safes 5 gebildet. Ein Network Safe 5 verbindet ausschließlich die Server miteinander, die gemeinsam einen Service erbringen und zueinander in einer Vertrauensbeziehung stehen. Die durch einen Network Safe 5 bereitgestellten Services können nur durch berechtigte Knotenpunkte 4 genutzt werden, wobei die privaten Ressourcen der Knotenpunkte 4 vor wechselseitigem Zugriff geschützt sind. Ein Network Safe 5 ist im Prinzip mit einem Local Area Network (LAN) vergleichbar, für das allerdings zusätzliche vereinheitlichte und übergreifend durch den Betreiber der Datenverarbeitungsinfrastruktur garantierte Kommunikationsbeschränkungen gelten:The properties of the network architecture according to the invention explained with reference to FIGS. 1 and 2 can be described again as follows. As mentioned, a basic idea is to provide services to the user in separate rooms. These rooms are formed by the Network Safes 5. A Network Safe 5 connects only the servers that provide a service together and are in a relationship of trust with each other. The services provided by a network safe 5 can only be used by authorized nodes 4, the private resources of the nodes 4 being protected against mutual access. A Network Safe 5 is in principle comparable to a Local Area Network (LAN), but for which additional standardized communication restrictions that are guaranteed by the operator of the data processing infrastructure apply:
Ein Network Safe 5 akzeptiert nur Datenpakete, die als Quelladresse die Adresse des Netzwerkinterfaces 13 eines zu dem betreffenden Network Safe 5 zugangs- berechtigten Knotenpunktes 4 enthalten. Die einen Network Safe 5 verlassenden Datenpakete müssen als Zieladresse die Adresse eines anderen Servers im selben Network Operation Center (NOC) oder die Adresse eines zugriffsberechtigten Knotenpunktes enthalten.A network safe 5 only accepts data packets which contain, as the source address, the address of the network interface 13 of a node 4 which is authorized to access the relevant network safe 5. The data packets leaving a Network Safe 5 must contain the address of another server in the same Network Operation Center (NOC) or the address of an access-authorized node as the destination address.
Es gibt grundsätzlich keine direkten Verbindungen zwischen verschiedenen Net- work Safes. Im Hinblick auf kooperativ durch verschiedene Application Service Provider (ASP) erbrachte Services, z.B. im Business-to-Business (B2B) Umfeld, besteht die Möglichkeit, dass ein Server durch separate Netzwerkinterfaces mit mehreren Network Safes verbunden ist. Der Missbrauch des Servers als genereller Router zwischen den Network Safes 5 mit denen er verbunden ist, wird durch die zuvor genannten Kommunikationsbeschränkungen verhindert.In principle, there are no direct connections between different network safes. With regard to services provided cooperatively by various Application Service Providers (ASP), e.g. In the business-to-business (B2B) environment, there is the possibility that a server is connected to several network safes through separate network interfaces. The misuse of the server as a general router between the network safes 5 to which it is connected is prevented by the aforementioned communication restrictions.
Es können grundsätzlich nur Knotenpunkte 4 auf einen Network Safe 5 zugreifen, deren Knotenbetreiber berechtigt sind, den Service des jeweiligen Network Safes 5 zu nutzen. Diese Nutzungsbeziehung ist eine gerichtete Beziehung, d.h. selbst wenn der Knotenpunkt 4 des Servicenutzers ebenfalls einen Service bereitstellen würde, kann dieser weder durch den Server des Network Safes 5 noch durch einen anderen Knotenpunkt 4 genutzt werden.Basically, only nodes 4 can access a network safe 5 whose node operators are authorized to use the service of the respective network safe 5. This usage relationship is a directional relationship, i.e. Even if the node 4 of the service user would also provide a service, this can neither be used by the server of the network safe 5 nor by another node 4.
Auf Netzwerkebene resultieren die Sicherheitsprobleme im klassischen Internet fast ausschließlich daraus, dass die Sicherheitsmechanismen auf dem Inhalt eines oder mehrerer Datenpakete basierten. Datenpakete können jedoch durch entsprechende Software nahezu beliebig erzeugt und manipuliert werden.At the network level, the security problems in the classic Internet result almost exclusively from the fact that the security mechanisms were based on the content of one or more data packets. However, data packets can be generated and manipulated by software in almost any way.
Im Gegensatz zum klassischen Internet, bei dem die Sicherheitsmechanismen auf dem Inhalt eines oder mehrerer durch entsprechende Software nahezu beliebig erzeug- und manipulierbarer Datenpakete basieren, basieren die Sicherheitsmechanismen der beschriebenen Netzwerkarchitektur auf einfachen Ketten, deren erstes Glied immer an dem physikalischen Zugangsweg eines Pakets verankert wird.In contrast to the classic Internet, in which the security mechanisms are based on the content of one or more data packets that can be manipulated and manipulated by software, the security mechanisms of the network architecture described are based on simple chains, the first link of which is always anchored to the physical access path of a packet ,
Die Filterketten der Network Safes 5 werden explizit an die Serverports und den Ausgangsport des Network Safes 5 gebunden. Der Zugriff auf das Network Operation Center (NOC) erfolgt über einen, auf physikalischer Ebene dedizierten Zugriffsweg, nämlich die Standleitungen 3. An den dedizierten Zugriffsweg wird eindeutig eine Quelladresse gebunden, die automatisch alle Datenpakete erhalten, die das Network Operation Center (NOC) auf diesem Weg erreichen.The filter chains of the Network Safes 5 are explicitly linked to the server ports and the output port of the Network Safes 5. The Network Operation Center (NOC) is accessed via a physical-level access path, namely dedicated lines 3. The dedicated access path is accessed clearly bound a source address that automatically receives all data packets that reach the Network Operation Center (NOC) in this way.
Angriffe auf derart verankerte Sicherheitsmechanismen erfordern den direkten persönlichen Zugriff des Angreifers auf die physikalische Infrastruktur vor Ort. Der Personenkreis potentieller Angreifer wird damit im Vergleich zum klassischen Internet um mehrere Größenordnungen reduziert.Attacks on such anchored security mechanisms require the attacker to have direct personal access to the physical infrastructure on site. The number of potential attackers is thus reduced by several orders of magnitude compared to the classic Internet.
Figur 3 zeigt ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur, die einer einem ersten Anwendungsszenario der Netzwerkarchitektur aus Figur 2 entspricht. Identische Bestandteile wurden mit identischen Bezugsziffern bezeichnet.FIG. 3 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention, which corresponds to a first application scenario of the network architecture from FIG. 2. Identical components have been identified with identical reference numbers.
Bei dem ersten Anwendungsszenario aus Figur 3 handelt es sich um eine Vereinfachung der Serverkonstellation aus Figur 2. Application Service Provider ASP1 stellt seine Applikation auf einem Server 19 bereit, der von den Application Service Customer ASC1 und ASC2 gemeinsam genutzt wird. Die Administration des Servers erfolgt mittels des selben Network Safes S4. Application Service Customer ASC1 und ASC2 betreiben wiederum private Server 14 und 15 in Network Safe S1 und S2.The first application scenario from FIG. 3 is a simplification of the server constellation from FIG. 2. Application service provider ASP1 makes its application available on a server 19 which is shared by the application service customers ASC1 and ASC2. The server is administered using the same Network Safe S4. Application Service Customer ASC1 and ASC2 in turn operate private servers 14 and 15 in Network Safe S1 and S2.
Hervorzuheben ist, das analog zu diesem Anwendungsszenario alle klassischen Applikationen im Application Service Providing betrieben werden können, die von sich aus überhaupt nicht auf einen solchen Einsatz ausgelegt sind, also weder partitionierbar noch mandantenfähig sein müssen. Trotzdem bleiben wechselseitige Sicherheitsbelange der Application Service Customer (ASC) hinsichtlich des Schutzes Ihres Datenbestandes gewahrt.It should be emphasized that, analogously to this application scenario, all classic applications can be operated in application service providing which are not designed for such an application at all, i.e. they do not have to be partitionable or multi-client capable. Nevertheless, reciprocal security concerns of the Application Service Customer (ASC) regarding the protection of your data are preserved.
In Bezug auf die Administration des Servers 19, ist jedoch ein aus der Vereinfa- chung resultierender Sicherheitsaspekt zu berücksichtigen: Wenn die hierauf zur Verfügung gestellte Applikation in Kombination mit dem Betriebssystem nicht in der Lage ist, Administrationsprivilegien nur in Abhängigkeit von der dem Application Service Provider ASP1 zugeordneten Quelladresse zu vergeben, können Servicenutzer versuchen, sich Administrationsprivilegien zu verschaffen, indem sie sich als Administrator anmelden. Der Schaden bleibt jedoch in jedem Fall auf Server 19 beschränkt.With regard to the administration of the server 19, however, a security aspect resulting from the simplification must be taken into account: If the application made available in combination with the operating system is not able to do so, administration privileges only depend on that of the application service provider To assign the ASP1 assigned source address, service users can try to gain administrative privileges by they log on as administrator. In any case, the damage remains limited to server 19.
Ist diese Privilegienfreigabe in Abhängigkeit von der Quelladresse möglich, ist diese Lösung bzgl. der Administration genauso sicher, wie die Verwendung eines separaten Network Safes für das Management, da die Quelladresse durch einen Servicenutzer an dieser Stelle nicht manipuliert werden kann.If this privilege release depending on the source address is possible, this solution with regard to administration is just as secure as the use of a separate network safe for management, since the source address cannot be manipulated by a service user at this point.
In einem bevorzugten Anwendungsszenario wird der Server 19 daher über das Betriebssystem und/oder Datenbanken IP-basiert mit vollständig getrennten Mandantendaten betrieben. Um die Zugriffsbeschränkungen zu realisieren, kön- nen Einrichtungen wie Firewalls, ein so genanntes Trusted Operating System oder, wie erwähnt, eine Applikation mit IP-basierter Privilegienbeschränkung eingesetzt werden.In a preferred application scenario, the server 19 is therefore operated IP-based with completely separate client data via the operating system and / or databases. To implement the access restrictions, devices such as firewalls, a so-called trusted operating system or, as mentioned, an application with IP-based privilege restrictions can be used.
Figur 4 zeigt ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur, die einem zweiten Anwen- dungsszenario in Form einer Verfeinerung der Netzwerkarchitektur aus Figur 2 entspricht. Identische Bestandteile wurden daher mit identischen Bezugsziffern bezeichnet.FIG. 4 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention, which corresponds to a second application scenario in the form of a refinement of the network architecture from FIG. 2. Identical components have therefore been identified with identical reference numbers.
Bei dem zweiten Anwendungsszenario aus Figur 4 wird der Network Safe S6 zusätzlich dazu benutzt, die Applikation, die wie zu Figur 2 beschrieben auf den Servern 17 und 18 zur Verfügung gestellt wird, mit Datenbankservices zu versorgen. Hierzu steht für den Application Service Customer ASC1 ein mit dem Network Safe S6 verbundener erster Datenbankserver 20 und für den Application Service Customer ASC2 ein mit dem Network Safe S6 verbundener zweiter Datenbankserver 21 zur Verfügung.In the second application scenario from FIG. 4, the Network Safe S6 is additionally used to supply the application, which is provided on the servers 17 and 18 as described for FIG. 2, with database services. For this purpose, a first database server 20 connected to the Network Safe S6 is available for the Application Service Customer ASC1 and a second database server 21 connected to the Network Safe S6 for the Application Service Customer ASC2.
Das Verbergen der Datenbankservices vor dem direkten Zugriff durch die Servicenutzer ist ein gängiges Konzept in modernen Mehrschichtarchitekturen. Die erfindungsgemäße Netzwerkarchitektur bietet hier die Möglichkeit, dieses Konzept in einer zentralisierten Infrastruktur flexibel und skalierbar umzusetzen. In analoger Weise können natürlich auch Terminalserver in die Infrastruktur integ- riert werden. Figur 5 zeigt ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur, die einem dritten Anwendungsszenario in Form einer Modifikation der zu Figur 2 beschriebenen Netzwerkarchitektur entspricht. Identische Bestandteile wurden mit identischen Be- zugsziffern bezeichnet.Hiding database services from direct access by service users is a common concept in modern multi-tier architectures. The network architecture according to the invention here offers the possibility of implementing this concept flexibly and scalably in a centralized infrastructure. Terminal servers can of course also be integrated into the infrastructure in an analogous manner. FIG. 5 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention, which corresponds to a third application scenario in the form of a modification of the network architecture described in relation to FIG. Identical components were identified with identical reference numbers.
Bei diesem Anwendungsszenario stellt der Application Service Provider ASP1 für die Application Service Customer ASC1 bis ASC5 einen Service auf einem Server 22 zur Verfügung, der mit den Network Safes S7 und S8 verbunden ist. Die Knotenpunkte 4 der Application Service Customer ASC1 bis ASC5 sind dabei mit dem Network Safe S7 verbunden und greifen über diesen auf den Server 22 zu, während der Application Service Provider ASP1 den Service über den Network Safe S8 in einer Weise abregistriert, wie dies schon zu Figur 2 beschrieben wurde.In this application scenario, the application service provider ASP1 provides a service for the application service customers ASC1 to ASC5 on a server 22 which is connected to the network safes S7 and S8. The nodes 4 of the Application Service Customer ASC1 to ASC5 are connected to the Network Safe S7 and access the server 22 via this, while the Application Service Provider ASP1 unregisters the service via the Network Safe S8 in a manner that is already the case Figure 2 has been described.
In diesem Anwendungsszenario wird der Server 22 über das Betriebssystem und/oder Datenbanken IP-basiert mit vollständig getrennten Mandantendaten für die Application Service Customer ASC1 bis ASC5 betrieben. Um die erforderlichen wechselseitigen Zugriffsbeschränkungen zu realisieren, können auch hier wieder Einrichtungen wie Firewalls, ein so genanntes Trusted Operating System in oder, wie bereits oben erwähnt, eine Applikation mit IP-basierter Privilegienbe- schränkung eingesetzt werden.In this application scenario, the server 22 is operated IP-based via the operating system and / or databases with completely separate client data for the application service customers ASC1 to ASC5. In order to implement the necessary mutual access restrictions, devices such as firewalls, a so-called trusted operating system or, as already mentioned above, an application with IP-based privilege restrictions can also be used here.
Figur 6 zeigt ein schematisches Blockschaltbild einer weiteren bevorzugten Variante der erfindungsgemäßen Netzwerkarchitektur, die einem vierten Anwendungsszenario in Form einer Ergänzung der zu Figur 2 beschriebenen Netzwerkarchitektur entspricht, sodass lediglich auf die Ergänzung eingegangen werden soll. Identische Bestandteile wurden mit identischen Bezugsziffern bezeichnet.FIG. 6 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention, which corresponds to a fourth application scenario in the form of an addition to the network architecture described in FIG. 2, so that only the addition is to be dealt with. Identical components have been identified with identical reference numbers.
In Figur 6 stellt ein zweiter Application Service Provider ASP2 dem Application Service Customer ASC1 und dem Application Service Customer ASC2 auf separaten Servern 23 und 24 in den Network Safes S9 und S10 einen weiteren Service zur Verfügung. Die Server 23 und 24 werden durch den zweiten Application Service Provider ASP2 ausgehend von Network Safe S11 administriert. Es wird auch hier vorausgesetzt, dass die Applikation unter Umständen in Kombination mit dem Betriebssystem dazu in der Lage ist, die Administrationsservices nur auf dem mit Network Safe S11 verbundenen Netzwerkinterface bereitzustellen.In FIG. 6, a second application service provider ASP2 makes another service available to application service customer ASC1 and application service customer ASC2 on separate servers 23 and 24 in network safes S9 and S10. The servers 23 and 24 are administered by the second application service provider ASP2 starting from Network Safe S11. It is also assumed here that the application in combination with the operating system may be able to provide the administration services only on the network interface connected to Network Safe S11.
Im Vorstehenden wurden einzelne Varianten der erfindungsgemäßen Netzwerkarchitektur beschrieben. Es versteht sich, dass diese oben beschriebenen Varianten auch in beliebigen Kombinationen bzw. Mischformen Anwendung finden können.Individual variants of the network architecture according to the invention have been described above. It goes without saying that these variants described above can also be used in any combination or mixed form.
Figur 7 zeigt ein schematisches Blockschaltbild einer weiteren bevorzugten Vari- ante der erfindungsgemäßen Netzwerkarchitektur. Hierbei handelt es sich um eine Erweiterung des in Figur 2 dargestellten Grundmodells auf zwei Network Operation Center (NOC) 1.1 und 1.2, wobei das Network Operation Center (Network Operation Center (NOC) 1.1 dem Network Operation Center (NOC) 1 aus Figur 2 entspricht.FIG. 7 shows a schematic block diagram of a further preferred variant of the network architecture according to the invention. This is an extension of the basic model shown in FIG. 2 to two network operation centers (NOC) 1.1 and 1.2, the network operation center (NOC) 1.1 corresponding to the network operation center (NOC) 1 from FIG. 2 ,
Die Inhalte der Network Safes 5.1 und 5.2 sowie der Server 17.1 und 17.2 bzw. 18.1 und 18.2 sind dabei jeweils miteinander synchronisiert, sodass den Application Service Customer ASC1 und ASC2 bzw. dem Application Service Provider ASP1 in beiden Network Operation Center (NOC) 1.1 und 1.2 dieselben Daten zur Verfügung stehen.The contents of the Network Safes 5.1 and 5.2 and the servers 17.1 and 17.2 or 18.1 and 18.2 are each synchronized with each other, so that the Application Service Customer ASC1 and ASC2 or the Application Service Provider ASP1 in both Network Operation Centers (NOC) 1.1 and 1.2 the same data is available.
Die Application Service Customer ASC1 bzw. ASC2 greifen von verschiedenen zugangsberechtigten Knotenpunkten 4.1.1 und 4.1.2 bzw. 4.2.1 und 4.2.2 auf das jeweilige Network Operation Center (NOC) 1.1 bzw. 1.2 zu. Vergleichbares gilt für den Application Service Provider ASP1 , der ausgehend von dem Knotenpunkt 4.3.1 auf das erste Network Operation Center (NOC) 1.1 und ausgehend von dem Knotenpunkt 4.3.2 auf das zweite Network Operation Center (NOC) 1.2 zugreift.The Application Service Customer ASC1 or ASC2 access the respective Network Operation Center (NOC) 1.1 or 1.2 from different access points 4.1.1 and 4.1.2 or 4.2.1 and 4.2.2. The same applies to the Application Service Provider ASP1, which accesses the first Network Operation Center (NOC) 1.1 from node 4.3.1 and the second Network Operation Center (NOC) 1.2 from node 4.3.2.
Die Erweiterung des Grundmodells auf mehrere Network Operation Center erfolgt über dedizierte, entsprechend manipulationssichere Kommunikationsverbindungen der beteiligten Network Operation Center (NOC) 1.1 und 1.2, die in Form von Standleitungen 25 realisiert sind. Die Verteilung eines Network Safes auf mehrere Network Operation Center (NOC) erfolgt durch entsprechende - in Figur 7 nicht dargestellte - Router, d. h. Synchronisationseinrichtungen, also auf OSI Network Layer 3.The expansion of the basic model to several network operation centers takes place via dedicated, correspondingly tamper-proof communication connections of the participating network operation centers (NOC) 1.1 and 1.2, which are implemented in the form of dedicated lines 25. The distribution of a network safe Several Network Operation Centers (NOC) are carried out by appropriate routers, not shown in FIG. 7, ie synchronization devices, that is to say on OSI Network Layer 3.
Wie bereits zuvor dargestellt, sollte der Betrieb jedes Network Operation Center (NOC) entsprechend den genannten Kommunikationsbeschränkungen extern zertifiziert und revisionssicher nach entsprechenden organisatorischen Regeln betrieben werden. Auf diese Weise kann ausgeschlossen werden, das Datenpakete durch Angriffssoftware innerhalb der Infrastruktur manipuliert werden, was an dieser Stelle den Einsatz konventioneller Layer 3 Technik ermöglicht.As already shown above, the operation of each Network Operation Center (NOC) should be externally certified in accordance with the communication restrictions mentioned and operated in an audit-proof manner in accordance with the relevant organizational rules. In this way it can be excluded that data packets are manipulated by attack software within the infrastructure, which enables the use of conventional layer 3 technology at this point.
Figur 8 verdeutlicht in Erweiterung der Variante aus Figur 7 die Möglichkeit, n Network Operation Center NOC1 bis NOCn, insbesondere deren Network Safes 5.1 bis 5.n, miteinander zu synchronisieren, wobei n eine beliebige ganze Zahl sein soll.FIG. 8 illustrates, as an extension of the variant from FIG. 7, the possibility of synchronizing n network operation centers NOC1 to NOCn, in particular their network safes 5.1 to 5.n, with n being an arbitrary integer.
Anhand der Figuren 7 und 8 wurden Beispiele dargelegt, bei denen sämtliche Infrastrukturbereiche der Network Operation Center (NOC) miteinander synchronisiert sind. Es versteht sich jedoch, dass bei anderen Varianten auch vorgesehen sein kann, dass je nach Nutzungssituation bzw. Zugangssituation zu den Network Operation Centern (NOC) auch nur einzelne Network Safes oder diese verbindende Server etc. über mehrere Network Operation Center (NOC) syn- chronisiert bzw. verteilt sind. So kann es für einen Application Service Customer (ASC) oder einen Application Service Provider (ASP) genügen, wenn ihm ein Network Safe nur in einer entsprechend geringeren Anzahl von Network Operation Centern (NOC) zur Verfügung steht.Examples were set out in FIGS. 7 and 8 in which all the infrastructure areas of the Network Operation Center (NOC) are synchronized with one another. However, it goes without saying that, in the case of other variants, it can also be provided that, depending on the usage situation or access situation to the network operation centers (NOC), only individual network safes or servers connecting them etc. are syncronized over several network operation centers (NOC). are chronized or distributed. It may be enough for an Application Service Customer (ASC) or an Application Service Provider (ASP) if a Network Safe is only available to them in a correspondingly smaller number of Network Operation Centers (NOC).
Betreibt ein Application Service Customer (ASC) beispielsweise nur einen Kno- tenpunkt, so kann ihm ein einziges Network Operation Center (NOC), auf das er zugreifen kann, genügen. Ebenso kann es genügen, dass ein Application Service Provider (ASP) nur über einen einzigen Knotenpunkt auf das zugehörige Network Operation Center (NOC) und damit Services administriert, die allerdings dann trotzdem auf mehrere Network Operation Center (NOC) verteilt sein können. Figur 9 zeigt ein schematisches Blockschaltbild eines bevorzugten Beispiels einer technischen Realisierung der Kernarchitektur des Network Operation Center (NOC) 1 aus Figur 1.For example, if an Application Service Customer (ASC) operates only one node, a single Network Operation Center (NOC) that it can access can suffice. It may also be sufficient that an Application Service Provider (ASP) only administers the associated Network Operation Center (NOC) and thus services via a single node, which, however, can still be distributed across several Network Operation Centers (NOC). FIG. 9 shows a schematic block diagram of a preferred example of a technical implementation of the core architecture of the Network Operation Center (NOC) 1 from FIG. 1.
Im Hinblick auf mittlere Skalierbarkeit, wird als erste Kernkomponente 26 ein Mo- dularer Multilayer Switches Catalyst 6506 der Firma CISCO Systems Inc. Im Access-Bereich wurde eine Anbindung der Kunden durch X.21 Standleitungen 3 angenommen. Für den Application Service Infrastructure Access Router (ASI- AR) 7 kommt auf Seite des Network Operation Center (NOC) 1 als zweite Kernkomponente 27 ein Multifunktionaler Hochleistungsrouter CISCO 7206 VXR und kundenseitig als dritte Kernkomponente 28 jeweils ein CISCO 2610 mit den entsprechenden X.21 -Adaptern zum Einsatz. Der gesamte Access Bereich, speziell der kundenseitige Router 28, steht unter der Verantwortung des Betreibers des Network Operation Center (NOC) 1.With regard to medium scalability, a modular multilayer switch Catalyst 6506 from CISCO Systems Inc. is assumed as the first core component 26. In the access area, a connection of the customers by X.21 dedicated lines 3 was assumed. For the Application Service Infrastructure Access Router (ASI-AR) 7 on the part of the Network Operation Center (NOC) 1 there is a multifunctional high-performance router CISCO 7206 VXR as second core component 27 and a CISCO 2610 with the corresponding X.21 as third core component 28 Adapters for use. The entire access area, especially the customer-side router 28, is the responsibility of the operator of the Network Operation Center (NOC) 1.
Der Dial-In Bereich, über den sich ein mobiler User 29 über ein Telekommunika- tionsnetz 30 einwählen kann, wird durch eine Komponente 31 in Form eines Modularen Mulitservice Router CISCO 3620 abgedeckt. Hinzu kommen diverse kleinere Komponenten und ein Terminalserver zur manipulationssicheren Ankopp- lung der Geräte an das Out-Of-Band Management Netzwerk, die jedoch in Figur 9 nicht dargestellt sind. Der Router des Dial-In Bereichs nutzt den Authentifizie- rungsserver (ACE/KEON), der im Zusammenhang mit dem anhand von Figur 10 beschriebenen Secure Internet Gateways abgebildet ist.The dial-in area, via which a mobile user 29 can dial in via a telecommunications network 30, is covered by a component 31 in the form of a modular multiservice router CISCO 3620. In addition, there are various smaller components and a terminal server for tamper-proof coupling of the devices to the out-of-band management network, but these are not shown in FIG. 9. The router of the dial-in area uses the authentication server (ACE / KEON), which is shown in connection with the Secure Internet Gateway described with reference to FIG.
Als weitere Komponenten stehen noch ein Internetdienste-Server 32, eine Unix- Firewall 33, ein Viren-Scanner 35 sowie ein Security-Server 36 zur Verfügung, welche mit der ersten Kernkomponente 26 verbunden sind.An Internet service server 32, a Unix firewall 33, a virus scanner 35 and a security server 36 are also available as further components, which are connected to the first core component 26.
Die vorstehend genannten Kommunikationsbeschränkungen werden im wesentlichen aus einer Kombination VLAN- und lOS-basierter Access Lists realisiert.The communication restrictions mentioned above are essentially realized from a combination of VLAN and IOS-based access lists.
Die Network Safes 5 sind als so genannte virtuelle LAN's realisiert (in der Terminologie der Firma CISCO Systems Inc. kurz VLAN's genannt), die mit der ersten Kernkomponente 26 verbunden sind. An die Network Safes 5 ist jeweils ein ent- sprechender Applikationsserver 36 angeschlossen. Die ursprüngliche Idee bestand darin, auch standortübergreifend zur Realisierung der Network Safes derartige virtuelle LAN's (VLAN's) einzusetzen. Eine derartige Realisierung hätte jedoch folgende Nachteile gehabt: Bei Network Safes, die mit zwei Servern an unterschiedlichen Standorten bestückt worden wären, wäre der Router trotz so genanntem Auto-State-Feature nicht in der Lage gewesen, auf eine Verbindungsstörung zwischen beiden Standorten zu reagieren. Im Juli 2000 wurden zudem durch das SANS Institute Sicherheitsmängel bei der Implementierung Switch-(bzw. Router)-übergreifender VLAN's festgestellt (siehe hierzu "http://www.sans.org/newlook/resources/IDFAQ/vlan.htm").The network safes 5 are implemented as so-called virtual LANs (in the terminology of the company CISCO Systems Inc. for short VLANs), which are connected to the first core component 26. A respective application server 36 is connected to the network safes 5. The original idea was to use virtual LANs (VLANs) of this kind across locations to implement the network safes. However, such an implementation would have had the following disadvantages: In the case of network safes that would have been equipped with two servers at different locations, the router would not have been able to react to a connection failure between the two locations despite the so-called auto-state feature. In July 2000, the SANS Institute also identified security deficiencies in the implementation of cross-switch (or router) VLANs (see "http://www.sans.org/newlook/resources/IDFAQ/vlan.htm").
Der Einsatz von VLAN's bleibt daher auf die Realisierung von Network Safes innerhalb eines Network Operation Center (NOC) beschränkt. Die standortübergreifende Realisierung von Network Safes erfolgt, wie oben bereits dargestellt, mit konventionellen Routing-Techniken.The use of VLANs is therefore limited to the implementation of network safes within a network operation center (NOC). The cross-location realization of network safes takes place, as already shown above, with conventional routing techniques.
Figur 10 zeigt ein bevorzugtes Ausführungsbeispiel für einen so genannten Secu- re Internet Gateway 37, der die Aufgabe hat, die erfindungsgemäße Netzwerkarchitektur kontrolliert und gesichert mit dem klassischen Internet zu verbinden. Auch hier kommt, allerdings mit höchster Priorität unter Sicherheitsaspekten optimierte, State-of-the-Art Technologie zum Einsatz. Generell ist aus Sicherheitsgründen zwischen der erfindungsgemäßen Netzwerkarchitektur und dem klassi- sehen Internet keine direkte Verbindung möglich. Die Verbindungen erfolgen ausschließlich über sogenannte Application Level Gateways, die durch ein mehrstufiges Firewallkonzept geschützt werden. Zur Verhinderung des unbemerkten Verbindungsaufbaus durch sogenannte Trojaner, erfolgt die Nutzung der WEB- Proxies generell mittels Authentifizierung.FIG. 10 shows a preferred exemplary embodiment for a so-called Secure Internet Gateway 37, which has the task of connecting the network architecture according to the invention in a controlled and secure manner to the classic Internet. Here too, state-of-the-art technology is used, but with the highest priority in terms of security. For security reasons, no direct connection is generally possible between the network architecture according to the invention and the classic Internet. The connections are made exclusively via so-called application level gateways, which are protected by a multi-level firewall concept. To prevent the unnoticed connection from being established by so-called Trojans, the WEB proxies are generally used by means of authentication.
Die Nutzung der durch das Secure Internet Gateway 37 bereitgestellten Services erfolgt in Form eines separaten Network Safes. Der Kunde, also der betreffende Application Service Customer (ASC) oder Application Service Provider (ASP), kann damit frei entscheiden, ob er diese Form der Verbindung mit dem klassischen Internet nutzen möchte. The services provided by the Secure Internet Gateway 37 are used in the form of a separate network safe. The customer, i.e. the relevant Application Service Customer (ASC) or Application Service Provider (ASP), can thus freely decide whether they want to use this form of connection with the classic Internet.

Claims

Patentansprüche claims
1. Kommunikationsnetzwerk mit einer ersten Servergruppe, mindestens einer zweiten Servergruppe und einem ersten Kommunikationsweg zwischen der ersten und der zweiten Servergruppe,1. Communication network with a first server group, at least one second server group and a first communication path between the first and the second server group,
dadurch gekennzeichnet, dasscharacterized in that
der erste Kommunikationsweg ein Verbindungsmodul zum Aufbauen und Aufrechterhalten einer ersten Kommunikationsverbindung umfasst undthe first communication path comprises a connection module for establishing and maintaining a first communication connection and
das Verbindungsmodul derart ausgestaltet ist, dass es die Nutzung eines in der ersten Servergruppe vorhandenen Service durch die zweite Server- gruppe ermöglicht, nicht aber die Nutzung eines in der zweiten Servergruppe vorhandenen Service durch die erste Servergruppe.the connection module is designed in such a way that it enables the second server group to use a service available in the first server group, but not the first server group to use a service available in the second server group.
2. Kommunikationsnetzwerk nach Anspruch 1 dadurch gekennzeichnet, dass mindestens noch eine dritte Servergruppe und ein Kommunikationsweg zwischen der ersten und der dritten Servergruppe vorhanden ist,2. Communication network according to claim 1, characterized in that at least a third server group and a communication path between the first and the third server group is present,
dass das Verbindungsmodul den Aufbau und das Aufrechterhalten einerthat the connection module building and maintaining one
Kommunikationsverbindung zwischen der ersten Servergruppe und der dritten Servergruppe ermöglicht, undAllows communication link between the first server group and the third server group, and
dass das Verbindungsmodul derart ausgestaltet ist, dass es die Nutzung eines in der ersten Servergruppe vorhandenen Service durch die zweite und die dritte Servergruppe ermöglicht, nicht aber die Nutzung eines in der zweiten oder dritten Servergruppe vorhandenen Service durch eine der beiden anderen Servergruppen.that the connection module is designed in such a way that it enables the use of a service available in the first server group by the second and third server groups, but not the use of a service available in the second or third server group by one of the two other server groups.
3. Kommunikationsnetzwerk nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass den Servergruppen Identifikationen zugeordnet sind, die nicht durch Software zu manipulieren sind.3. Communication network according to one of claims 1 or 2, characterized in that the server groups are assigned identifications that are not to be manipulated by software.
4. Kommunikationsnetzwerk nach Anspruch 3, dadurch gekennzeichnet, dass das Kommunikationsmodul eine Prüfmodul zum Überprüfen der Identifikation einer Servergruppe umfasst. 4. Communication network according to claim 3, characterized in that the communication module comprises a test module for checking the identification of a server group.
5. Kommunikationsnetzwerk nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass jede Servergruppe genau einen Server beinhaltet.5. Communication network according to one of claims 1 to 4, characterized in that each server group contains exactly one server.
6. Kommunikationsverfahren zum Durchführen einer Kommunikation in einem Kommunikationsnetzwerk nach einem der Ansprüche 1 bis 5, dadurch ge- kennzeichnet, dass die Servergruppen Daten über den oder die Kommunikationswege austauschen und dass das Kommunikationsmodul über die Berechtigung, auf den Service einer Servergruppe zuzugreifen, entscheidet.6. Communication method for carrying out communication in a communication network according to one of claims 1 to 5, characterized in that the server groups exchange data via the communication path (s) and that the communication module decides on the authorization to access the service of a server group.
7. Kommunikationsverfahren nach Anspruch 6, dadurch gekennzeichnet dass den Daten von der jeweils sendenden Servergruppe die Identifikation dieser Servergruppe mitgegeben wird und dass das Kommunikationsmodul eine Überprüfung der Identifikation vornimmt und anhand der Identifikation über die Berechtigung, auf den Service einer Servergruppe zuzugreifen, entscheidet.7. Communication method according to claim 6, characterized in that the data of the respective sending server group is given the identification of this server group and that the communication module carries out a check of the identification and decides on the basis of the identification of the authorization to access the service of a server group.
8. Kommunikationsverfahren nach Anspruch 6 oder 7, dadurch gekennzeichnet, das Kommunikationsmodul beim Zugriff auf den Service des ersten Servers „Source Network Adress Translation (S-NAT)" einsetzt.8. Communication method according to claim 6 or 7, characterized in that the communication module uses "source network address translation (S-NAT)" when accessing the service of the first server.
9. Kommunikationsverfahren nach Anspruch 6 oder 7, dadurch gekennzeichnet, dass das Kommunikationsmodul beim Zugriff auf den Service des ers- ten Servers ein „Connection Tracking Modul" einsetzt.9. Communication method according to claim 6 or 7, characterized in that the communication module uses a "connection tracking module" when accessing the service of the first server.
10. Kommunikationsverfahren nach einem der Ansprüche 6 bis 9, dadurch gekennzeichnet, dass das Kommunikationsmodul nur die Übertragung von Daten mit verifizierter Serveridentifikationen zulässt.10. Communication method according to one of claims 6 to 9, characterized in that the communication module only allows the transmission of data with verified server identifications.
1 1 . Kommunikationsverfahren nach Anspruch 10, dadurch gekennzeichnet, dass die Verifikation der Serveridentifikationen auf den Servern dediziert zugeordneten Zugangswegen beruht.1 1. Communication method according to claim 10, characterized in that the verification of the server identifications is based on the servers assigned dedicated access paths.
12. Kommunikationsmodul zur Verwendung in einem Kommunikationsnetzwerk nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass es ein Kommunikationsprotokoll umfasst, dass die Identifikation von Servern oder Servergruppen beinhaltet. 12. Communication module for use in a communication network according to one of claims 1 to 5, characterized in that it is a Communication protocol includes that identifies servers or server groups.
EP02754937A 2001-07-31 2002-07-25 Secure network architecture Withdrawn EP1470685A1 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE10137573 2001-07-31
DE10137573 2001-07-31
PCT/EP2002/008293 WO2003015372A1 (en) 2001-07-31 2002-07-25 Secure network architecture

Publications (1)

Publication Number Publication Date
EP1470685A1 true EP1470685A1 (en) 2004-10-27

Family

ID=7693914

Family Applications (1)

Application Number Title Priority Date Filing Date
EP02754937A Withdrawn EP1470685A1 (en) 2001-07-31 2002-07-25 Secure network architecture

Country Status (3)

Country Link
EP (1) EP1470685A1 (en)
DE (1) DE10234562B4 (en)
WO (1) WO2003015372A1 (en)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU3099295A (en) * 1994-08-09 1996-03-07 Shiva Corporation Apparatus and method for restricting access to a local computer network
US5922074A (en) * 1997-02-28 1999-07-13 Xcert Software, Inc. Method of and apparatus for providing secure distributed directory services and public key infrastructure
US6055236A (en) * 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation
AU1442701A (en) * 1999-10-28 2001-05-08 Jp Morgan Chase Bank Secured session sequencing proxy system supporting multiple applications and method therefor
DE19962937A1 (en) * 1999-12-24 2001-06-28 Raven Pack Ag Method of presenting data that is stored in a data storage device of data server to user has at least one data path used over which control data associated with selection of data is sent

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO03015372A1 *

Also Published As

Publication number Publication date
DE10234562A1 (en) 2003-02-20
WO2003015372A1 (en) 2003-02-20
DE10234562B4 (en) 2008-07-24

Similar Documents

Publication Publication Date Title
DE69836271T2 (en) MULTI-STAGE FIREWALL SYSTEM
DE60019997T2 (en) Secure communication with mobile computers
DE19740547B4 (en) Apparatus and method for ensuring secure communication between a requesting entity and a serving entity
DE69928504T2 (en) Providing secure access to network services
DE10393628B4 (en) System and method for integrating mobile networking with security-based virtual private network systems (VPNS)
DE69731965T2 (en) ACCESS TO COMPUTER EQUIPMENT FROM OUTSIDE THROUGH A FIREWALL
DE60315521T2 (en) Intersections of virtual private networks based on certificates
DE60212289T2 (en) Management of Private Virtual Networks (VPN)
DE60203433T2 (en) External access to a secured device in a private network
DE60213391T2 (en) Personal firewall with position detection
DE102016124383B4 (en) Computer system architecture and computer network infrastructure comprising a plurality of such computer system architectures
DE60111089T2 (en) Method and apparatus for analyzing one or more firewalls
DE19741239C2 (en) Generalized security policy management system and procedures
DE60121755T2 (en) IPSEC PROCESSING
DE60201716T2 (en) Method and apparatus for protecting e-commerce site against distributed denial-of-service attacks
EP1417820B1 (en) Method and computer system for securing communication in networks
DE112004000125T5 (en) Secure client-server communication system
DE69734179T2 (en) Method and device for limiting access to private information in domain name systems by means of information filtering
DE10234562B4 (en) Secure network architecture
DE60127187T2 (en) SYSTEM AND METHOD FOR PROVIDING SERVICES IN VIRTUAL PRIVATE NETWORKS
DE19645006B4 (en) Process for communication between processes
EP1699181A1 (en) Method and System for automatic configuration of a subnet inside a network
DE60031004T2 (en) ELECTRONIC SECURITY SYSTEM AND METHOD FOR A COMMUNICATION NETWORK
DE102019120112B4 (en) Electrical network switching
EP2436166B1 (en) Service interface

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

PUAJ Public notification under rule 129 epc

Free format text: ORIGINAL CODE: 0009425

17P Request for examination filed

Effective date: 20040607

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LI LU MC NL PT SE SK TR

AX Request for extension of the european patent

Extension state: AL LT LV MK RO SI

32PN Public notification

Free format text: MITTEILUNG NACH REGEL 109 UND 110 EPUE (F. 1226 VOM 05.08.04)

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: AGHA, ABOLHASSAN

Owner name: HOEHRE, MICHAEL

RIN1 Information on inventor provided before grant (corrected)

Inventor name: AGHA, ABOLHASSAN

Inventor name: HOEHRE, MICHAEL

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20060201