NO322668B1 - Fremgangsmate for a sikre aksess gjennom en stasjon til minst en tjener, samt anordning for utforelse av fremgangsmaten - Google Patents

Fremgangsmate for a sikre aksess gjennom en stasjon til minst en tjener, samt anordning for utforelse av fremgangsmaten Download PDF

Info

Publication number
NO322668B1
NO322668B1 NO19975115A NO975115A NO322668B1 NO 322668 B1 NO322668 B1 NO 322668B1 NO 19975115 A NO19975115 A NO 19975115A NO 975115 A NO975115 A NO 975115A NO 322668 B1 NO322668 B1 NO 322668B1
Authority
NO
Norway
Prior art keywords
security
application
application server
server
user
Prior art date
Application number
NO19975115A
Other languages
English (en)
Other versions
NO975115D0 (no
NO975115L (no
Inventor
Alain Sigaud
Original Assignee
Cp8 Technologies
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cp8 Technologies filed Critical Cp8 Technologies
Publication of NO975115D0 publication Critical patent/NO975115D0/no
Publication of NO975115L publication Critical patent/NO975115L/no
Publication of NO322668B1 publication Critical patent/NO322668B1/no

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

Foreliggende oppfinnelse angår en fremgangsmåte for å sikre en stasjons aksess til minst en tjener samt et apparat som gjennomfører fremgangsmåten.
Behovet for å sikre kommunikasjon mellom tjenere og stasjoner i kommuni-kasjonsnettverk er kjent, spesielt når denne kommunikasjonen inkluderer sensitiv informasjon for applikasjoner som kjøres ved stasjonen i samarbeid med tjeneren. Hittil har sikringen hovedsaklig bestått i å legge til, meilom applikasjonen og kom-munikasjonsprotokollene i nettverket, deier av et beskyttelsesprogram. Disse programmene var installert både i terminalen og i tjeneren. Ulempen med en slik metode er at den krever modifikasjon av applikasjonene eller telekommunika-sjonen og en programdel som utgjør grensesnittet mellom beskyttelsesprogram-met selv og den spesifikke applikasjonen. For hver applikasjon er det således nød-vendig å utvikle et spesifikt programgrensesnitt. Dessuten må, så lenge terminalen er koblet til et flertjenemettverk, hver tjener sikres. Programmeringstiden som er nødvendig for å sikre hver tjener vil utgjøre en stor belastning på utgiftsbudsjettet som er nødvendig for å sikre en applikasjon.
Målet med oppfinnelsen er å foreslå en fremgangsmåte for sikring som ikke nødvendiggjør modifikasjon av applikasjonsprogrammene som kjøres i terminalene eller modifikasjon av tjenerne.
Dette målet oppnås ved fremgangsmåten som definert i krav 1.
Andre karakteristika er definert i kravene 2-6.
Et annet mål med oppfinnelsen er å foreslå en anordning som muliggjør å iverksette fremgangsmåten.
Dette oppnås med anordningen son definert i krav 7
Andre karakteristika defineres i krav 8 og 9.
Ifølge en annen karakteristikk lagrer sikkerhetsprosessoren, i en annen tabell i et minne, en liste over applikasjonene som prosesseres av prosessoren, operasjonene som skal utføres som funksjon av tilkoblingstypen, sikkerhetsskriptene som skal kjøres, tilgangsrettighetene til brukerne som defineres ved en sort liste, en hvit liste og en abonnentliste og prosedyren for autorisering av aksess til fjemtjenerne.
Et annet mål med oppfinnelsen er å foreslå en anordning som gjør det mulig å gjennomføre denne fremgangsmåten.
Dette målet oppnås ved det faktum at anordningen tillater fremgangsmåten å gjennomføres mellom, på den ene siden, en terminal hvor det er installert sikker-hetsprogramvare som styrer utvekslingen med kortet og en kortleser ved terminalen så vel som utvekslingen med en flersesjons-, flerportskommunikasjonsprotokoll, og på den andre siden en sikkerhetsprosessor, karakterisert ved at sikkerhetsprosessoren inkluderer anordninger for å etablere og kontrollere kommunikasjon mellom stasjonen og en tjener som er valgt av prosessoren avhengig av applikasjonen som ønskes av stasjonen.
Ifølge en annen karakteristikk gjør anordningen for å etablere og kontrollere kommunikasjon det mulig enten å etablere direkte kommunikasjon mellom terminalen og tjeneren, eller å etablere kommunikasjon mellom terminalen og tjeneren etter å ha etablert en sikkerhetssesjon som styres av en sikkerhetsanordning som omfatter en mikroprosessor som er utstyrt med de nødvendige minneanordninger og som kommuniserer med SAM sikkerhetskontrollmoduler (SAM=Security Application Module) som gjør at sikkerhetsskriptene kan kjøres, som bestemt av en hovedprosessor som kjører programmene for kommunikasjonstjeneren og sikkerhetsdriveren.
Ifølge en karakteristikk utgjøres anordningene for å etablere kommunikasjon av to lokale nettverkskort som for eksempel Ethernet- eller Tokenring-kort, hvor det ene er koblet til stasjonen mens det andre er koblet til tjeneren og kommuniserer med stasjonen og tjeneren ved å anvende flersesjons-, flerportskom-munikasjonsprotokollen.
Andre karakteristikker og fordeler ved foreliggende oppfinnelse vil bli klarere ved lesing av den følgende beskrivelse, som er gjort med henvisning til de ved-føyde tegningene, hvor: Figur 1 er et skjematisk diagram over anordningen som gjennomfører sik-ringsprosessen; Figur 2A viser dialogboksen som styres av sikkerhetsprogramvaren i terminalen; Figur 2B viser en annen dialogboks som angir at det ikke sitter noe kort i leseren; Figur 2C viser en annen dialogboks som anmoder om brukerens personlige identifikasjonsnummer; Figur 2D viser en annen dialogboks som gjør det mulig å velge måltjener; Figur 2E viser en annen dialogboks som gjør det mulig å skrive inn en tegnstreng;
Figur 2F viser hovedvinduet.
Oppfinnelsen vil nå bli beskrevet i sammenheng med figurene 1 og 2. Oppfinnelsen er installert i et nettverk som utgjøres av terminaler (2) som kommuniserer gjennom et nettverk som utgjøres av tilkoblinger (42,40,41) med en eller flere tjenere (30,31). Terminalene kan enten være koblet sammen lokalt til tjenerens nettverk eller de kan være bærbare mikrodatamaskiner som kobles sammen via telekommunikasjonsnettverk av hvilken som helst type - ledningsbundet nettverk, GSM, ISDN. Mange applikasjoner kjøres på nettverk som dette, så som fjerntermi-nal-applikasjonstjenester, for eksempel Telnet, ellerfiloverføringsprogrammer, så som FTP, eller protokoller som anvendes av INTERNETT, så som HTTP eller en hvilken som helst annen kjent applikasjon. Nettverket utgjøres av lokale nettverkskort, for eksempel Ethernet-kort (23), i datamaskinen i terminalen som drives med en telekommunikasjonsprotokoll av flersesjons-, flerport-typen så som for eksempel TCP/IP-protokollen. Hver tjener (30, 31) inkluderer også et Ethernet-kort (302, 312) og en tilhørende TCP/IP-protokoll (301, 311). For å sikre nettverket når dette inkluderer mange tjenere, er det nok å legge inn, ved tilkoblingsnoden mellom tjenerne som er plassert i samme område som tjenerne, en sikkerhetsprosessor (1) som fører en dialog med en eller flere terminaler (2) i nettverket. Hver av terminalene (2) er utstyrt med en sikkerhetsapplikasjon som utgjøres av programvare (27) og en fysisk tilkobling (20) med en leser (21) for bærbare objekter (22). Disse bærbare objektene (22) kan være chip-kort eller PCMCIA-kort.
Sikkerhetsprosessoren (1) utgjøres av en sentralprosesseringsenhet (14) som omfatter et PC (personlig datamaskin)-kort med det tilhørende minnean-ordningene og kommuniserer via en buss (11) med et første nettverkskort av Ethemet-typen (13) som er koblet til hver av tjenerne (30, 31) henholdsvis med forbindelsene (40, 41) og med et andre nettverkskort av Ethemet-typen (12) som er koblet til terminalen med en forbindelse (42). Bussen (11) kommuniserer også med et sikkerhetsapplikasjonskort (15) som omfatter en prosesseringsenhet, minneanordninger som ikke vises og SAM sikkerhetskontrollmoduler (151,152). Installasjonen kan inkludere n kort, som hvert omfatter n SAM sikkerhetskontrollmoduler (151,152). Disse SAM-modulene (151,152) gjør det mulig å utføre, i samband med leseren (21) og det bærbare objektet, sikkerhetsfunksjoner så som autentifikasjon, sertifisering, beregning av kodingsnøkler osv., mens de sikrer de grunnleggende hemmelige nøklene. Disse sikkerhetsfunksjonene anvender også informasjon som er inneholdt i chip-kortet eller i det bærbare objektet (22) som er koblet via leseren (21) til sikkerhetsapplikasjonen (27) i terminalen (2). Prosesseringsenheten (14) driver et flerprosesseringsoperativsystem (173), for eksempel av typen OS2, for å la sikkerhetsprosessoren (1) utføre mange opp-gaver samtidig. Hvert Ethernet-kort (12,13) inkluderer programvare som gjør det mulig å implementere telekommunikasjonsprotokollen som er spesifikk for nettverket, så som TCP/IP-protokollen (131,121). I tillegg til operativsystemet, driver prosesseringsenheten (14) en kommunikasjonstjener (172) som inkluderer et grensesnitt (1721) for å prosessere kommunikasjon mellom det første kortet (13) og det andre kortet (12) ved å anvende TCP/IP-nettverksprotokollen. Formålet med denne kommunikasjonstjeneren (172) er å bestemme hvorvidt forbindelsen mellom det andre Ethernet-kortet (12) og det første kortet (13) som er koblet til tjeneren kan opprettes direkte eller om denne forbindelsen kun kan opprettes etter gjennomføring av en sikkerhetsprosedyre. Denne avgjørelsen tas ved å lese en fil APPLI.INI som er lagret i et minne (16) og som omfatter en korrespondansetabell mellom applikasjonen og i hvert fall sikkerhetsskriptet som skal gjennomføres. Dersom det er nødvendig med gjennomføring kaller denne kommunikasjonstjeneren en sikkerhetsdriver (171) som starter opp sikkerhetsapplikasjonskortet (15) i sikkerhetsprosessoren (1), for således å muliggjøre gjennomføring av sikkerhetsfunksjonene. Sikkerhetsdriveren MS muliggjør å konfigurere sikkerhetsnett-verket, bestemme listen over applikasjoner som prosesseres av sikkerhetsprosessoren, bestemme hvilke operasjoner som utføres, bestemme sikkerhetsskriptene som skal gjennomføres, bestemme tilgangsrettighetene til brukerne og autoriseringsprosedyren. Sikkerhetsapplikasjonen (27) som er installert i terminalen driver også et operativsystem av typen med skjermvinduer, så som Windows (registrert varemerke) programvare. Når sikkerhetsprogramvaren (27) er lastet inn i stasjonen, lar denne stasjonen, gjennom å opprette et hovedvindu (figur 2F) som vises etter oppstart av sikkerhetsapplikasjonen, brukeren av terminalen aktivere sikkerhetsforbindelsen, deaktivere sikkerhetsforbindelsen eller å gå ut av applikasjonen. Som vist i figur 2F, gjøres valget av en av de tre funksjonene ved å velge den ønskede funksjonen og deretter aktivere den ved å klikke på musa eller å trykke på ENTER-tasten på tastaturet. Brukeren kobles til det sikrede nettverket ved å angi sikkerhetsprosessorens (1) IP-adresse og portnummer som er tilordnet applikasjonen han ønsker å anvende (for eksempel X for sikkerhetsapplikasjonen, 21 for FTP-applikasjonen, 23 for Telnet osv.). Sikkerhetsprosessoren (1) søker i en tabell etter sikkerhetsskriptet som er assosiert med portnummeret som ble sendt av stasjonen og etablerer deretter kommunikasjon med sikkerhetsapplikasjonen (27) for å gjennomføre sikkerhetsskriptet som mer spesifikt inkluderer autentifikasjon av det bærbare brukerobjektet (22) og identifikasjon av brukeren gjennom hans personlige identifikasjonsnummer (PIN). Eventuelt kan sikkerhetsprosessoren (1) vise listen over applikasjoner ved stasjonen, med dem som brukeren får lov til anvende på hvite lister og de som han ikke får lov til å anvende på sorte lister. Brukeren velger da et tjener/applikasjonspar via tastaturet eller musa. Når sikkerhetsskriptet kjører normalt, starter brukeren de valgte applikasjonene (Telnet, FTP, HTTP osv.) ved å aktivere valget. Sikkerhetsprosessoren (1) mottar fra terminalen (2) et portnummer som er tilordnet applikasjonen, bestemmer appli-kasjonstjenerens IP-adresse fra sine tabeller og etablerer forbindelsen med den ønskede applikasjonstjeneren. Når forbindelsen mellom terminalen (2) og en av tjenerne (30, 31) er etablert, kontrollerer sikkerhetsprosessoren applikasjons-kjøringene ved å utføre periodiske sikkerhetssjekker i terminalen (2). Dersom det oppdages ureglementerte sikkerhetsforhold (så som et fjernet kort, en uvirksom periode, feil signaturberegning, osv.), avbryter sikkerhetsprosessoren (1) koblingen til fjerntjeneren og terminerer sikkerhetskjøringen.
Det kan anvendes en rekke forskjellige sikkerhetsskript, og valget av hvilket skript som skal aktiveres gjøres som funksjon av portnummeret til applikasjonen som er angitt i tilkoblingsdataene. Denne portnummer- og tilhørende skript-infor-masjonen ligger på en fil LOGON.CAM som utgjør deler av en tabell (161) i masselageret (16) i sikkerhetsprosessoren (1). Aktiveringen av en sikkerhetstilkobling starter en innloggingsskript som gjør det mulig å utføre en eller flere blant følgende operasjoner: vising og opptak av data; verifikasjon av kilde- og mål-IP-adresser; tilgangskontroll ved passord; tilgangskontroll ved hjelp av et smartkort som gjør det mulig å utføre identifikasjon av kortholderen, autentifikasjon ved å anvende en SAM-sikkerhetsmodul, kryptering, signatur, sertifikatberegning, lesing og skriving av informasjon, kortfjerningssjekk og verifikasjon av brukerens rettigheter til å aksessere fjerntjeneren i de sorte listene, de hvite listene og abonnements-listene, hvilke tilgangsrettigheter og lister utgjør deler av tabellen T (161); verifikasjon av rettighetene til å anvende de forskjellige tjenestene i TCP/IP-telekommunikasjonsprotokollen; og verifikasjon av datoer og tidspunkter som er autorisert for brukeren eller for aksess til den valgte maskinen. Disse autoriserte datoene og tidspunktene ligger i en tabell som inkluderer tidspunktene i kolonner og identi-teten til brukerne eller maskinene i rader. Til slutt lar en personlig meny som vises på skjermen brukeren velge blant applikasjonene eller fjerntjenerne han har lov til å benytte. Filen APPLI.INI gjør det mulig å lagre i minnet (16), og identifisere, på grunnlag av applikasjonen, sikkerhetsskriptet som skal aktiveres så vel som akti-veringstiden, hvilket gjør det mulig, i henhold til skriptet og den valgte aktiverings-tiden, å kjøre et skript periodisk som funksjon av den valgte fjemtjenerens applikasjon. Det periodiske skriptet verifiserer at fjernbrukeren faktisk er den som har blitt klarert ved anmode kortet i terminalen å eksekvere elektroniske datasignaturer
(tilfeldige tall) som velges av skriptet. Skriptet er ansvarlig for å verifisere, ved å anvende SAM, at disse signaturene er utstedt av et kort som har de riktige hemmelige nøklene. Denne prosessen gjør det mulig å sikre mot, blant annet, tyveri av IP-adresser utført av en uvedkommen anordning i nettverket. Når brukeren har valgt fjerntjener og applikasjon, mottar sikkerhetsprosessoren applikasjonens portnummer og anvender en lokal fil til å åpne en tilkobling med fjerntjeneren som er valgt av sikkerhetsprosessoren. Tjeneren som velges av sikkerhetsprosessoren kan være en annen enn den som er angitt av brukeren. Brukeren vil da kommunisere gjennom sikkerhetsprosessoren. Denne kommunikasjonen sendes til stasjonen (2) via portnummeret. Til slutt gjør sikkerhetsprosessoren det mulig, ved å anvende sikkerhetsdriveren (171), å lagre, i masselageret (16), en journal (162) over forbindelsene som lagrer et sekvensielt tilkoblingsnummer, tilkoblingsdatoer og start/sluttider, kildens IP-adresse og portnummer, identifikatoren til sikkerhetsobjektet som anvendes, navnet på den valgte fjerntjeneren, målets IP-adresse,
portnummeret, mengden av data som ble utvekslet mellom stasjonen og tjeneren under applikasjonssesjonen og eksekveringsregelen. Sikkerhetsapplikasjonen (27) omfatter en presentasjonsmodul (271) som gjør det mulig å anvende vindus- og dialogbokssystemet i operativsystemet Windows for å vise en første dialogboks (figur 2A) som ber brukeren om å taste inn et passord og deretter validere dette ordet eller å avbryte operasjonen, hvilket deaktiverer sikkerhetstilkobling. Bruker-grensesnittet gjør det også mulig å vise en andre dialogboks (figur 2B) som gir meldingene «intet kort i leseren» og «Vennligst sett inn kortet», så vel som en tredje dialogboks (figur 2C) som lar brukeren taste inn sitt personlige identifikasjonsnummer, med knapper for å aktivere eller avbryte prosedyren. Til slutt gjør den fjerde dialogboksen det mulig å velge måltjener ved å la brukeren velge fra et rullevindu med de mulige tjenerne i nettverket. Det finnes to andre dialogbokser, en som viser meldinger som mottas fra sikkerhetsprosessoren, mens en annen boks (figur 2E) gjør det mulig å be om at det tastes inn en tegnstreng. Det forstås at aksessen med dette er sikret, og forholdene for tilgangsprosedyrene kan velges av den som er ansvarlig for sikkerheten, mens sikkerhetsforbindelsens periodisitet hindrer en inntrenger i å kople seg på ved et gitt tidspunkt ved å utgi seg for å være en annen ved terminalen som er koblet til nettverket siden dersom han ikke har tilgangsnøklene til terminalen, gjenkjennes han ikke av sikkerhetsprosedyrene og de avbryter kjøringen. Til slutt har denne løsningen den fordelen at den er usynlig for protokollen til applikasjonene som kjøres på tilkoblingen. Installasjonen av sikkerhetssystemet utføres derfor uten å modifisere applikasjonen i terminalene og tjenerne.
Under installasjon av sikkerhetsprogramvaren (27) og sikkerhetsprosessoren (1) definerer installatøren, i en oppstartsfii (SERVER.INI), en sikkerhetsfor-sinkelse som lar prosessoren (1) avslutte sikkerhetsforbindelsen som er etablert med en klientstasjon dersom det ikke har vært noen applikasjonstilkobling under den forut bestemte forsinkelse, og en inaktivitetsforsinkelse som lar prosessoren avslutte sikkerhetsforbindelsen og applikasjonsforbindelsen som er etablert med en klientstasjon dersom det ikke har vært noen datautveksling i applikasjonsfor-bindelsene under den forut bestemte forsinkelse.
Andre modifikasjoner med bakgrunn i fagpersoners kunnskap er også med i oppfinnelsens tankegang.

Claims (9)

1. Fremgangsmåte for å muliggjøre sikker aksess til minst en applikasjonstjener (30) for å sikre aksessene fra brukerstasjoner (2) og til minst en applikasjonstjener gjennom et nettverk (42) med en flersesjons-, flerportstelekommunikasjonsprotokoll, som bruker en sikkerhetsprosessor (1) koblet mellom brukerstasjonene (2) som skal beskyttes under utførelsen av applikasjonssesjoner og applikasjonstjener(e) (30,31) som skal beskyttes, karakterisert ved at den omfatter følgende trinn : - et trinn med systematisk etablering av en parallell sikkerhetssesjon under applikasjonskjøringen mellom for det første en av brukerstasjonene (2) og for det andre sikkerhetsprosessoren (1) idet sikkerhetstjeneren velger serveren/serverne (30,31) avhengig av applikasjonen krevd av brukerstasjonen(2); og - et trinn med periodisk oppstart av sikkerhetskontroller av brukerstasjonen (2).
2. Fremgangsmåten for å muliggjøre sikker aksess til minst en applikasjonstjener ifølge krav 1, karakterisert ved at trinnet for systematisk etablering av en sikkerhetssesjon omfatter følgende trinn: - overføring fra brukerstasjonen (2), gjennom nettverket, av en IP-kilde-adresse og minst ett portnummer som er tilordnet applikasjonen som ønskes av brukerstasjonen (2); - et søk etter sikkerhetsscenario som assosieres med applikasjonen utføres av sikkerhetsprosessoren (1); • etablering av sikkerhetssesjonen mellom sikkerhetsprosessoren (1) og brukerstasjonen (2); - et søk, utført av sikkerhetsprosessoren (1), i en lokal fil etter navnet og adressen til applikasjonstjeneren (30) som anvendes for applikasjonen og åpning av en forbindelse med applikasjonstjeneren (30) ved å kommunisere en IP-adresse og et portnummer.
3. Fremgangsmåten for å muliggjøre sikker aksess til minst en applikasjonstjener (30,31) ifølge krav 2, karakterisert ved at scenarioet som hører til en applikasjon består i å direkte opprette forbindelsen mellom brukerstasjonen (2) og applikasjonstjeneren (30) som er valgt av sikkerhetsprosessoren (1).
4. Fremgangsmåten for å muliggjøre sikker aksess til minst en applikasjonstjener (30,31) ifølge krav 2, karakterisert ved at sikkerhetsscenarioet som skal opprettes og defineres i en lagret tabell, gir muligheten til å velge en eller flere blant følgende funksjoner, brukerautentifisering, brukeridentifikasjon, verifikasjon av brukerens rettigheter, sertifisering, beregning av kodenøkler, beregning av signatur, verifikasjon av bru-kerprofiler for å frembringe selektiv aksess til applikasjoner som ønskes av applikasjonstjeneren (30).
5. Fremgangsmåten for å muliggjøre sikker aksess til minst en applikasjonstjener (30,31) ifølge krav 2, karakterisert ved at sikkerhetsprosessoren (1) lagrer en journal (162) i et minne (16) som omfatter et sekvensielt tilkoblingsnummer, tidspunktene for for-bindelsenes begynnelse og slutt, kildens IP-adresse og minst ett portnummer, identifikatoren for sikkerhetsobjektet som anvendes, navnet på den valgte applikasjonstjeneren (30), målets IP-adresse og portnummer og eksekveringstilstand.
6. Fremgangsmåten for å muliggjøre sikker aksess til minst en applikasjonstjener (30,31) ifølge et av de ovenfor stående kravene, karakterisert ved at sikkerhetsprosessoren (1) i en arbeidstabell (161) i et minne (16) lagrer listen over applikasjonene som er prosessert av prosessoren, operasjonene som skal utføres som funksjon av tilkoblingstypen, sikkerhets-scenarioene som skal opprettes, brukernes tilgangsrettighetene som bestemmes ved en liste med applikasjoner eller applikasjonstjenere (30,31) som brukerstasjonen (2) har lov til å bruke, én liste med applikasjoner eller applikasjonstjenere (30,31) som brukerstasjonen (2) ikke har lov til å bruke, og en abonne-mentsliste, som autorisasjonen forespør for aksess til applikasjonstjenerne.
7. Anordning som omfatter en sikkerhetsprosessor (1), for å sikre aksess fra en brukerstasjon (2) til minst en applikasjonstjener (30,31) gjennom et nettverk (42) som anvender en flersesjons-, flerportstelekommunikasjonsprotokoll, sikker-hetsprogramvare (27) som er installert i stasjonen for å styre utvekslinger med et bærbart objekt og en leser for et bærbart objekt (21) knyttet til brukerstasjonen og utvekslingene med en flersesjons, flerportskommunikasjonsprotokoll (24), karakterisert ved at sikkerhetsprosessoren (1) omfatter midler (12,13) for å etablere kommunikasjonen mellom brukerstasjonen (2) og en eller flere applika-sjonsservere (30,31) valgt av prosessoren avhengig av applikasjonen som fore-spørres fra brukerstasjonen (2), idet sikkerhetsprosessoren (1) også omfatter midler for å kontrollere (14,15, 172,171) kommunikasjonen og systematisk setter opp sikkerhetssesjonen med brukerstasjonen (2) parallelt med applikasjonssesjonen og midler til å utløse periodiske sikkerhetskontroller.
8. Anordningen ifølge krav 7, karakterisert ved at midlene for å etablere og kontrollere kommunikasjonen mellom brukerstasjonen (2) og en eller flere applikasjonstjener (30) kan brukes til enten å etablere direkte kommunikasjon mellom stasjonen (2) og applikasjonstjeneren (30) eller å etablere kommunikasjon mellom stasjonen og tjeneren etter å ha etablert sikkerhetssesjonen som kontrolleres av en sikkerhetsanordning (15) som omfatter en mikroprosessor som er utstyrt med de nødvendige minner og som kommuniserer med sikkerhetstilgangsmoduler (151,152) som gjør det mulig å kjøre sikkerhetsscenarios som er valgt av en hovedprosessor (14) som kjører kommunikasjonstjener- (172) og sikkerhetsdriver- (171)-programmer.
9. Anordningen ifølge krav 7 eller 8, karakterisert ved at midlene for å etablere kommunikasjon (12, 13) utgjøres av to telekommunikasjonskort, ett koblet til brukerstasjonen (2) og det andre koblet til applikasjonstjeneren (30) og kommuniserer med brukerstasjonen (2) og applikasjonstjeneren (30) ved å anvende flersesjons-, flerportskommunika-sjonsprotokollen.
NO19975115A 1996-03-07 1997-11-06 Fremgangsmate for a sikre aksess gjennom en stasjon til minst en tjener, samt anordning for utforelse av fremgangsmaten NO322668B1 (no)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR9602901A FR2745967B1 (fr) 1996-03-07 1996-03-07 Procede de securisation des acces d'une station a au moins un serveur et dispositif mettant en oeuvre le procede
PCT/FR1997/000371 WO1997033415A1 (fr) 1996-03-07 1997-03-03 Procede de securisation des acces d'une station a au moins un serveur et dispositif mettant en oeuvre le procede

Publications (3)

Publication Number Publication Date
NO975115D0 NO975115D0 (no) 1997-11-06
NO975115L NO975115L (no) 1998-01-06
NO322668B1 true NO322668B1 (no) 2006-11-20

Family

ID=9489968

Family Applications (1)

Application Number Title Priority Date Filing Date
NO19975115A NO322668B1 (no) 1996-03-07 1997-11-06 Fremgangsmate for a sikre aksess gjennom en stasjon til minst en tjener, samt anordning for utforelse av fremgangsmaten

Country Status (14)

Country Link
US (1) US6657956B1 (no)
EP (1) EP0826281B1 (no)
JP (1) JPH10506744A (no)
KR (1) KR100453320B1 (no)
CN (1) CN1143495C (no)
AR (1) AR006137A1 (no)
AU (1) AU712487B2 (no)
BR (1) BR9702120A (no)
DE (1) DE69729356T2 (no)
FR (1) FR2745967B1 (no)
HK (1) HK1009687A1 (no)
NO (1) NO322668B1 (no)
TW (1) TW305093B (no)
WO (1) WO1997033415A1 (no)

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7366900B2 (en) * 1997-02-12 2008-04-29 Verizon Laboratories, Inc. Platform-neutral system and method for providing secure remote operations over an insecure computer network
US7062781B2 (en) * 1997-02-12 2006-06-13 Verizon Laboratories Inc. Method for providing simultaneous parallel secure command execution on multiple remote hosts
KR19990086998A (ko) * 1997-11-10 1999-12-15 피터 에프. 킹 무선 데이터 네트워크에서 보안된 경량 거래를 위한 방법 및 시스템
FR2782435B1 (fr) * 1998-08-13 2000-09-15 Bull Cp8 Procede de communication entre une station d'utilisateur et un reseau, notamment de type internet, et architecture de mise en oeuvre
US6961748B2 (en) * 1998-10-27 2005-11-01 Murrell Stephen J Uniform network access
JP2000187645A (ja) 1998-12-22 2000-07-04 Fujitsu Ltd 情報提供システム及び方法
GB2350971A (en) 1999-06-07 2000-12-13 Nokia Mobile Phones Ltd Security Architecture
FR2797968B1 (fr) * 1999-08-24 2001-10-12 Schlumberger Systems & Service Dispositif et procede de chargement de commandes dans une carte a circuit integre
KR100465301B1 (ko) * 1999-11-22 2005-01-13 엘지전자 주식회사 유닉스 서버를 위한 사용자 인증 인터페이스 시스템 및 그 방법
US7343441B1 (en) * 1999-12-08 2008-03-11 Microsoft Corporation Method and apparatus of remote computer management
US20020065874A1 (en) * 2000-11-29 2002-05-30 Andrew Chien Method and process for virtualizing network interfaces
EP1356653B1 (en) * 2001-01-24 2011-07-20 Broadcom Corporation Method for processing multiple security policies applied to a data packet structure
US20020194499A1 (en) * 2001-06-15 2002-12-19 Audebert Yves Louis Gabriel Method, system and apparatus for a portable transaction device
US8209753B2 (en) 2001-06-15 2012-06-26 Activcard, Inc. Universal secure messaging for remote security tokens
US20040218762A1 (en) 2003-04-29 2004-11-04 Eric Le Saint Universal secure messaging for cryptographic modules
US8751647B1 (en) 2001-06-30 2014-06-10 Extreme Networks Method and apparatus for network login authorization
US7363354B2 (en) * 2001-11-29 2008-04-22 Nokia Corporation System and method for identifying and accessing network services
US7325065B1 (en) * 2001-12-21 2008-01-29 Aol Llc, A Delaware Limited Liability Company Identifying unauthorized communication systems using a system-specific identifier
JP3861765B2 (ja) * 2002-07-31 2006-12-20 オンキヨー株式会社 Avシステム
US20040221174A1 (en) * 2003-04-29 2004-11-04 Eric Le Saint Uniform modular framework for a host computer system
US20050050324A1 (en) * 2003-07-07 2005-03-03 David Corbett Administrative system for smart card technology
US7568107B1 (en) * 2003-08-20 2009-07-28 Extreme Networks, Inc. Method and system for auto discovery of authenticator for network login
FR2863425B1 (fr) * 2003-12-04 2006-02-10 Gemplus Card Int Procede et systeme de configuration automatique d'appareil dans un reseau de communication
US20050138380A1 (en) * 2003-12-22 2005-06-23 Fedronic Dominique L.J. Entry control system
US7907935B2 (en) 2003-12-22 2011-03-15 Activcard Ireland, Limited Intelligent remote device
JP2005276122A (ja) * 2004-03-26 2005-10-06 Fujitsu Ltd アクセス元認証方法及びシステム
US8046578B1 (en) * 2004-04-14 2011-10-25 Hewlett-Packard Development Comopany, L.P. System and method for providing HTML authentication using an access controller
US7725716B2 (en) * 2004-06-28 2010-05-25 Japan Communications, Inc. Methods and systems for encrypting, transmitting, and storing electronic information and files
US7760882B2 (en) * 2004-06-28 2010-07-20 Japan Communications, Inc. Systems and methods for mutual authentication of network nodes
US20060026268A1 (en) * 2004-06-28 2006-02-02 Sanda Frank S Systems and methods for enhancing and optimizing a user's experience on an electronic device
EP1826969A4 (en) * 2004-12-15 2011-03-23 Junko Suginaka DEVICE PROVIDING CONNECTION SERVICE TO A NETWORK
US7716316B2 (en) * 2005-03-29 2010-05-11 Microsoft Corporation Methods and systems for performing remote diagnostics
US20060294588A1 (en) * 2005-06-24 2006-12-28 International Business Machines Corporation System, method and program for identifying and preventing malicious intrusions
US20070156691A1 (en) * 2006-01-05 2007-07-05 Microsoft Corporation Management of user access to objects
DE102007005638B4 (de) * 2007-02-05 2014-10-09 Siemens Aktiengesellschaft Verfahren zur Autorisierung des Zugriffs auf mindestens eine Automatisierungskompente einer technischen Anlage
KR20100095243A (ko) * 2009-02-20 2010-08-30 삼성전자주식회사 Drm 모듈의 동작 제한 방법 및 그 장치
WO2012162351A1 (en) * 2011-05-23 2012-11-29 Mastercard International, Inc. Combicard transaction method and system having an application parameter update mechanism
US20160308838A1 (en) * 2013-12-20 2016-10-20 Hewlett Packard Enterprise Development Lp Digital switchboard
FR3041130B1 (fr) * 2015-09-15 2019-11-22 Ingenico Group Gestion d'un affichage d'une vue d'une application sur un ecran d'un dispositif electronique de saisie de donnees, procede, dispositif et produit programme d'ordinateur correspondants
US10630654B2 (en) 2017-03-22 2020-04-21 Microsoft Technology Licensing, Llc Hardware-accelerated secure communication management

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS60171559A (ja) * 1984-02-17 1985-09-05 Hitachi Ltd システム不正使用防止方式
JPH0752434B2 (ja) * 1989-02-21 1995-06-05 日本電気株式会社 タイムシェアリングシステムにおける運用管理方式
US5577209A (en) * 1991-07-11 1996-11-19 Itt Corporation Apparatus and method for providing multi-level security for communication among computers and terminals on a network
FR2686755A1 (fr) * 1992-01-28 1993-07-30 Electricite De France Procede de chiffrement de messages transmis entre reseaux interconnectes, appareil de chiffrement et dispositif de communication de donnees chiffrees mettant en óoeuvre un tel procede.
US5276735A (en) * 1992-04-17 1994-01-04 Secure Computing Corporation Data enclave and trusted path system
US5416842A (en) * 1994-06-10 1995-05-16 Sun Microsystems, Inc. Method and apparatus for key-management scheme for use with internet protocols at site firewalls
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US5757924A (en) * 1995-09-18 1998-05-26 Digital Secured Networks Techolognies, Inc. Network security device which performs MAC address translation without affecting the IP address
US5602918A (en) * 1995-12-22 1997-02-11 Virtual Open Network Environment Corp. Application level security system and method

Also Published As

Publication number Publication date
KR19990008382A (ko) 1999-01-25
DE69729356T2 (de) 2005-11-03
US6657956B1 (en) 2003-12-02
JPH10506744A (ja) 1998-06-30
HK1009687A1 (en) 1999-09-10
TW305093B (en) 1997-05-11
AU712487B2 (en) 1999-11-11
AU1930997A (en) 1997-09-22
EP0826281A1 (fr) 1998-03-04
CN1143495C (zh) 2004-03-24
NO975115D0 (no) 1997-11-06
AR006137A1 (es) 1999-08-11
DE69729356D1 (de) 2004-07-08
WO1997033415A1 (fr) 1997-09-12
NO975115L (no) 1998-01-06
CN1181857A (zh) 1998-05-13
BR9702120A (pt) 1999-01-26
EP0826281B1 (fr) 2004-06-02
FR2745967B1 (fr) 1998-04-17
FR2745967A1 (fr) 1997-09-12
KR100453320B1 (ko) 2005-04-19

Similar Documents

Publication Publication Date Title
NO322668B1 (no) Fremgangsmate for a sikre aksess gjennom en stasjon til minst en tjener, samt anordning for utforelse av fremgangsmaten
US7555655B2 (en) Apparatus, system, and method for generating and authenticating a computer password
EP1042744B1 (en) Remote access-controlled communication
EP1177654B1 (en) Method and system for authenticating users
US7886346B2 (en) Flexible and adjustable authentication in cyberspace
CA2591968C (en) Authentication device and/or method
US8234696B2 (en) Method and system for providing a one time password to work in conjunction with a browser
US8869238B2 (en) Authentication using a turing test to block automated attacks
EP1955252A1 (en) Human factors authentication
US20040168090A1 (en) System and method for delegating a user authentication process for a networked application to an authentication agent
US20080244720A1 (en) Portable Device For Clearing Access
WO2012162815A1 (en) Proxy based network communications
US7581111B2 (en) System, method and apparatus for transparently granting access to a selected device using an automatically generated credential
CA3148185A1 (en) Multi-factor authentication using confidant verification of user identity
KR101108660B1 (ko) 인증 시스템
CN100432979C (zh) 跨网络统一用户注册信息的方法
JP2007200217A (ja) ログイン代行システムおよびログイン代行サーバ
US7441122B2 (en) Method for providing secure access to a digital resource
EP1164457B1 (en) Authentication method of portable terminal
KR20050051985A (ko) 아바타 시스템 및 아바타 생성 방법
CN116962088B (zh) 登录认证方法、零信任控制器及电子设备
KR100386891B1 (ko) 클라이언트/서버 시스템 및 분산처리 방법
KR970010034B1 (ko) 원격 사용자 정보전송 방법
CA2221881C (fr) Procede de securisation des acces d'une station a au moins un serveur et dispositif mettant en oeuvre le procede
JP2001344210A (ja) 携帯端末の認証方法

Legal Events

Date Code Title Description
MM1K Lapsed by not paying the annual fees