WO2013017394A1 - Access control for data or applications of a network - Google Patents

Access control for data or applications of a network Download PDF

Info

Publication number
WO2013017394A1
WO2013017394A1 PCT/EP2012/063808 EP2012063808W WO2013017394A1 WO 2013017394 A1 WO2013017394 A1 WO 2013017394A1 EP 2012063808 W EP2012063808 W EP 2012063808W WO 2013017394 A1 WO2013017394 A1 WO 2013017394A1
Authority
WO
WIPO (PCT)
Prior art keywords
endpoint
status
terminal
access
class
Prior art date
Application number
PCT/EP2012/063808
Other languages
German (de)
French (fr)
Inventor
Monika Maidl
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2013017394A1 publication Critical patent/WO2013017394A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6236Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Definitions

  • the invention relates to a method and a device for regulating access to data or applications of a network. Furthermore, a corresponding system or a computer program product are proposed.
  • the term "cloud computing” describes an approach to provide abstracted information technology (IT) infrastructures (for example computing capacity, data storage, network capacities or even finished software) dynamically adapted to the needs via a network. From the user's point of view, the infrastructure provided seems remote and opaque, as if wrapped in a "cloud”.
  • IT information technology
  • a part of the IT landscape is no longer operated, or (in this context about hardware such as data center, data storage and software) on the user side provided the user at the site, but rented as a service, for example when one or more providers, with the ⁇ se Provider may be located geographically distant.
  • the applications or data are no longer (only) on the local computer or a (corporate) data center, but in the "cloud", hereinafter referred to as cloud.
  • the cloud can be part of the Internet or include this.
  • Cloud computing offers the opportunity to offer network-based applications in new business models. Services in the cloud can be provided at various levels:
  • Cloud Computing uses data centers that are either concentrated in one location or used to provide flexible len services distributed can be interconnected. These machines are running virtual machines. The customers load data (eg pictures) in the
  • the customer gets access to a platform that holds the egg ⁇ nen the infrastructure for the provision of a service as well as certain software components (eg, middleware) environmentally by which services can be created.
  • the service thus created is for example, a Web application ⁇ .
  • a cloud provider (also referred to as a cloud provider) offers a web-based application that the customer uses via his browser.
  • documents or data records can be created or edited by the customer via the browser.
  • the outsourcing of applications and data can pose a security threat, because data and documents are stored in the cloud provider and - depending on the type of cloud or implementation of the service - there also proces ⁇ tet (ie this data is in the cloud accessed).
  • SAML short A Security Assertion Markup Language (SAML short) is be ⁇ known as an XML framework for exchanging authentication and authorization information rungs-. It provides functions to describe and transmit safety-related information. When developing SAML, the following use cases were considered:
  • SAML includes so-called SAML assertions, a SAML protocol, SAML bindings, and profiles.
  • SAML assertions are transferred from an identity provider to a service provider.
  • the SAML assertions is statements ( "Statements") / provider uses the service to determine whether access should be allowed.
  • the following types of statements are used by SAML:
  • Attributes Statements Zusiche ⁇ tion that a subject S has an attribute A with ei ⁇ nem value a has (for a distributed Transakti ⁇ on / authorization).
  • network endpoint assessment Network Endpoint Assessment
  • RFC 5209 An approach for assessing network endpoints (NEA: “Network Endpoint Assessment” here also referred to as network endpoint assessment) according to RFC 5209 is known [http://tools.ietf.Org/html//rfc5209] .
  • network endpoints can be classified and evaluated and it Based on such an assessment, access to networks at OSI layers 2 and 3 can be controlled.
  • corporate networks eg so-called intranets
  • intranets corporate networks
  • the devices gain access to the company network or to what ⁇ separate network within the corporate network the device is connected.
  • ISPs Internet service providers
  • the network end point judgment is not carried out at the application layer, for example, when it is on services of the Internet, for example by means of a network browser ⁇ accessed;
  • access control usually takes place via an authentication by means of user name and password.
  • Such services protect against misuse by requiring users to authenticate themselves (at the application level).
  • a service may be compromised or misused by malicious software running on a user's computer (so-called "malware", including, for example, viruses, Trojans, etc.), with correspondingly negative effects on users and operators.
  • malicious software including, for example, viruses, Trojans, etc.
  • malicious software could be at ⁇ wenderrechner also suitable on the attack the service itself.
  • SAML provides a framework for exchanging authentication and authorization information.
  • the user authenticates with an entity providing a credential or token (e.g., an electronic trademark for access or access).
  • a credential or token e.g., an electronic trademark for access or access
  • This instance is also called a token provider.
  • the token provider may be e.g. to be the user's company (or an independent third party).
  • the user receives a time-limited token (i.e., a SAML assertion) containing identity information, other attributes, and the type of authentication mechanism used.
  • the token has the format of an XML file.
  • a server checks the user's token and grants access if the token could be verified.
  • An infrastructure for a known Network Endpoint Assessment includes:
  • a NEA client which is provided on the user's device and determines the device's properties, eg an update status (patch level) or a virus protection status (eg if an antivirus program is installed and if so in which version this virus Protection program installed or if the correct virus protection program is installed);
  • a NEA server in the network e.g., a RADIUS
  • the object of the invention is to avoid the abovementioned disadvantage and, in particular, to provide a solution in order to increase the security of services that are stored in a network, in particular a cloud, and the data stored there.
  • a method for regulating access to data or applications of a network
  • the authorization information may, for example, be authentication information of a user (at the terminal) or the terminal.
  • the endpoint status is preferably the status of the terminal.
  • access control may be for different data or applications (e.g., programs) that are at least partially stored in or run on the network.
  • the network can be the Internet or any cloud. Access is e.g. from a user terminal (e.g., a computer or a telephone).
  • a user terminal e.g., a computer or a telephone.
  • computers a variety of devices are suitable, e.g. a workstation, a notebook, a portable device, a device with a radio interface
  • ⁇ play can not access, carried out limited access or full access to the resources of the network.
  • the access here also includes, by way of example, access to such resources of the network.
  • access may be regulated depending on the endpoint status and any associated user status (if the user has authenticated at the endpoint).
  • access may be regulated depending on the endpoint status and any associated user status (if the user has authenticated at the endpoint).
  • access may only a specific part of the network, for example certain predefined data and / or applications, depending on the endpoint class and / or the endpoint status.
  • the authorization information can be checked and then the endpoint class can be determined or, conversely, the terminal point class and then the authorization information is checked.
  • the present approach allows service providers to consider not only the identity of the user or the terminal, but also a network endpoint assessment, that is, an endpoint assessment of the user equipment for deciding whether or not access should occur.
  • a network endpoint assessment that is, an endpoint assessment of the user equipment for deciding whether or not access should occur.
  • the service provider can effectively restrict access to such devices that meet a certain specification, e.g. include a particular version of an update software or other program (e.g., an anti-virus program).
  • the endpoint has the status Be ⁇ computationally tists information.
  • the terminal is authenticated to an authorization provisioning entity and
  • the authorization information is provided by the authorization providing entity to the terminal.
  • the authorization information may be, for example, a token that is valid for a predetermined period of time.
  • the authorization deployment instance can be exemplified in the following embodiment as a credential Pro ⁇ vider designated component.
  • the authorization provisioning entity provides the endpoint status to a rating server
  • the endpoint class is determined by the assessment server based on the endpoint status
  • the access control provides an assessment server with the endpoint status
  • the endpoint class is determined by the assessment server based on the endpoint status
  • the endpoint class is provided by the access control assessment server
  • the judging server is preferably an endpoint judging server.
  • the judging server performs a network endpoint judgment according to a classification scheme and determines an endpoint class based on the classification scheme.
  • Example ⁇ as may be divided, the classification scheme in "easy", “medium” and “high”.
  • the endpoint class will play as stored in ⁇ in XML. It is also a further development that the endpoint class is determined based on the endpoint status by means of a classi ⁇ fikations agreement. An assignment of an endpoint status to the endpoint class is determined, for example, by means of a classification agreement.
  • the endpoint status is determined by means of a status agreement.
  • an endpoint status structure can be specified in an XML schema and referred to as a status agreement.
  • An endpoint assessment agreement can be used to define actions for the endpoint assessment client according to a given status agreement.
  • a next development is that a terminal assessment client is executed on the terminal, which determines the endpoint status.
  • the terminal assessment client may initiate, take over, or coordinate the communications described herein with the terminal, the authorization providing entity, and / or the access control.
  • the endpoint status Minim ⁇ least includes the following information:
  • the above object is also achieved by means of a device for regulating access to data or applications. on a network comprising a processing unit which is set up such that
  • An authorization information of a terminal is verifiable and
  • an end ⁇ point class is determined and the access is controlled by the endpoint class.
  • the processing unit may be a processor unit and / or an at least partially hard-wired or logical circuit arrangement, which is set up, for example, such that the method can be carried out as described herein.
  • Said processing unit may be or include any type of processor or computer or computer with correspondingly necessary peripherals (memory, input / output interfaces, input / output devices, etc.).
  • the above explanations regarding the method apply to the device accordingly.
  • the device may be implemented in one component or distributed in several components.
  • angebun ⁇ eg, the Internet
  • Computer network proposed comprising at least one of the devices described herein.
  • the solution presented herein further includes a computer program product directly loadable into a memory of a digital computer comprising program code portions adapted to perform steps of the method described herein. Furthermore, the above-mentioned problem is solved by means of a computer-readable storage medium, eg of any memory, comprising computer-executable instructions (eg in the form of program code) which are suitable for the computer performs steps of the method described herein.
  • FIG. 1 is a schematic diagram illustrating a network endpoint assessment provided to a credential provider
  • Fig. 2 is a schematic diagram based on Fig. 1, wherein the assessment of the endpoint may be performed by an organization associated with the user or terminal of the user (e.g., a company where the user is employed).
  • the present proposal uses the following (functional) components:
  • An endpoint assessment client This is, for example, a program that runs on the user's device and this beur ⁇ shares. Different In ⁇ formations or states can be detected and stored, for example:
  • This information corresponds to a status of the endpoint (here the user's device) and is stored, for example, in a document or in a file. Before ⁇ geous this may be an XML document (XML: Extensible Markup Language to German: “extensible Auszeich ⁇ voltage language”) are used.
  • a structure of endpoint status in an XML Schema (also referred to as a state policy) referred to ⁇ .
  • An endpoint assessment agreement (also referred to as an endpoint assessment policy) may be used to define actions for the endpoint assessment client according to a predetermined status agreement.
  • the end point judgment server performs a network endpoint assessment in accordance with a classification scheme and determines an end point class basie ⁇ rend on the classification scheme.
  • the classification scheme may be divided into "simple”, “medium” and "high”.
  • the endpoint class will vomit chert ⁇ example, in XML.
  • An assignment of an endpoint status at the end ⁇ point class is a classification agreement (also referred to as a classification policy) set.
  • Credential Provider for simplicity's sake:
  • the credential provider receives the endpoint status from the endpoint assessment client running on the device.
  • the credential provider may also be used to obtain the current version of the endpoint assessment agreement from the endpoint assessment server and transmit it to the endpoint assessment client.
  • the credential provider requests a classification of the endpoint status from the endpoint assessment server.
  • the credential provider provides information about the endpoint, for example, by means of a token generated by it.
  • the token designated deputy ⁇ kicking any kind provided by the Credential Provider is available in this example an authority.
  • two options can be distinguished:
  • the credential provider can use the
  • the full endpoint status as determined by the endpoint assessment Client was provided as an XML entry in the token.
  • An access control component An access control component:
  • the access control component of the service receives the token and verifies its signature. If the signature is successfully verified, decides thecontentskon ⁇ troll component if and to what extent access should be granted (in which access may also be an example access to data or applications).
  • access can be restricted.
  • the access can be limited to certain components or data or can be specified that only certain actions are allowed.
  • the decision on the extent of access is based on the information contained in the authorization, e.g. the identity, the authentication status, and / or the endpoint class.
  • an endpoint class "simply” indicate ⁇ that access to a read-only access will be limited and may only be on such components or data that are intended for general public access.
  • Admi ⁇ trators can be obtained to a plurality of or to all components or data by means of an end point class "high" full access.
  • FIG. 1 is a schematic diagram illustrating a network endpoint assessment provided to a credential provider 103.
  • a user authenticates with the credential provider 103 via a user terminal 101.
  • An endpoint judging client 102 running on the user terminal 101 collects information about the status of the operating system and the application programs according to a specification of a status agreement, and transmits an end point status generated therefrom to the credential provider 103.
  • the endpoint assessment client 102 could have requested (and received) the most recent version of an endpoint assessment agreement from the credential provider 103 or from an endpoint assessment server 104.
  • the credential provider 103 provides an endpoint status (eg, as an XML entry) in a token to the user terminal 101.
  • the user terminal 101 sends the token along with a request regarding a service or a program to an access control component 105.
  • the access control component 105 checks the token, extracts the endpoint status, and transmits it to the endpoint judgment server 104.
  • the endpoint assessment server 104 assigns the endpoint status to an endpoint class and transmits that endpoint class to the access control component 105.
  • the access control component 105 makes the decision-making ⁇ on access to a service 106 based on the user's identity, the authentication status and endpoint class.
  • the access control component 105 is for this preference ⁇ , with an access-control store (also referred to as the access-control policy) is configured using the same classification scheme as the end point judgment server 104th
  • the endpoint judgment server 104 is operated, for example, by the service provider who can set the classification scheme and the access control agreement according to his requirements, i. depending on factors that are crucial for the decision on access (and the type of access).
  • Figure 2 is a schematic diagram based on Figure 1 wherein the endpoint assessment may be performed by an organization associated with the user (e.g., a company employing the user).
  • an organization associated with the user e.g., a company employing the user.
  • a user authenticates with the credential provider 103 via a user terminal 101.
  • the end point judging client 101 collects Informatio ⁇ nen on the status of the operating system and the applications training programs according to a specification of the status agreement and transmits an endpoint status generated therefrom to the credential provider 103.
  • the endpoint assessment client 102 could have requested (and received) the most recent version of the endpoint assessment agreement from the credential provider 103 or from the endpoint assessment server 104.
  • the credential provider 103 transmits an endpoint status to the endpoint assessment server and receives the associated endpoint class.
  • the credential provider 103 provides the endpoint class (e.g., as an XML entry) in the token to the user terminal 101.
  • the user terminal 101 sends the token to the access control component 105 together with a request regarding a service or a program.
  • the access control component 105 checks the token and makes the decision about access to a service 106 based on the user's identity, the authentication status, and the endpoint class.
  • the access control component 105 is for this preference ⁇ example configured with the access-control arrangement, which uses the same classification scheme as the end point judgment server 104th
  • the credential provider 103 knows preferably the Klas ⁇ s Budapest Service, that the association between the endpoint status and endpoint class. (Associated with the user) is thus preferably a form of information ⁇ exchange or agreement between the organization and the provider.
  • Organisati ⁇ one can specify which aspects of the device to be considered for the access control ⁇ . This gives the mechanisms Or ⁇ tion additional control over thebocuri-, which is especially for safety-related services and data organizing advantage.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

The invention relates to access control to data and applications, which are stored in a cloud, for example, wherein said access control is based on the identity of a user or terminal and on an "end point status" of the terminal itself. This combines the possibilities of network endpoint assessment (NEA) with data and application programs that are located in the cloud. Thus, a service provider can effectively restrict access to only those devices that fulfill a specific requirement, for example a specific version of actualization software or other program (such as an anti-virus program). This increases security with regard to data processing in the cloud. The approach works for example for document management, and for databases or applications that are migrated into the cloud. The invention can be used for each kind of the distributed data processing, in which the data or applications should be protected from unauthorized access.

Description

Beschreibung description
Zugangsregelung für Daten oder Applikationen eines Netzwerks Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Regelung eines Zugangs zu Daten oder Applikationen eines Netzwerks. Weiterhin werden ein entsprechendes System bzw. ein Computerprogrammprodukt vorgeschlagen. Der Begriff "Cloud Computing" umschreibt einen Ansatz, abstrahierte informationstechnische (IT) Infrastrukturen (z.B. Rechenkapazität, Datenspeicher, Netzwerkkapazitäten oder auch fertige Software) dynamisch an den Bedarf angepasst über ein Netzwerk zur Verfügung zu stellen. Aus Sicht des Nutzers scheint die zur Verfügung gestellte Infrastruktur fern und undurchsichtig, wie in eine "Wolke" gehüllt. Access control for data or applications of a network The invention relates to a method and a device for regulating access to data or applications of a network. Furthermore, a corresponding system or a computer program product are proposed. The term "cloud computing" describes an approach to provide abstracted information technology (IT) infrastructures (for example computing capacity, data storage, network capacities or even finished software) dynamically adapted to the needs via a network. From the user's point of view, the infrastructure provided seems remote and opaque, as if wrapped in a "cloud".
Bei diesem Ansatz wird ein Teil der IT-Landschaft (in diesem Zusammenhang etwa Hardware wie Rechenzentrum, Datenspeicher sowie Software) nicht mehr auf Nutzerseite betrieben oder am Ort des Nutzers bereitgestellt, sondern beispielsweise bei einem oder mehreren Anbietern als Dienst gemietet, wobei die¬ se Anbieter geografisch entfernt angesiedelt sein können. Die Anwendungen oder Daten befinden sich nicht mehr (nur) auf dem lokalen Rechner oder einem (Firmen-) Rechenzentrum, sondern in der "Wolke", nachfolgend bezeichnet als Cloud. Die Cloud kann dabei Teil des Internets sein oder dieses umfassen. In this approach, a part of the IT landscape is no longer operated, or (in this context about hardware such as data center, data storage and software) on the user side provided the user at the site, but rented as a service, for example when one or more providers, with the ¬ se Provider may be located geographically distant. The applications or data are no longer (only) on the local computer or a (corporate) data center, but in the "cloud", hereinafter referred to as cloud. The cloud can be part of the Internet or include this.
Cloud Computing bietet die Möglichkeit, netzbasierte Anwen- düngen in neuen Geschäftsmodellen anzubieten. Dienstleistungen in der Cloud können dabei auf verschiedenen Ebenen zur Verfügung gestellt werden: Cloud computing offers the opportunity to offer network-based applications in new business models. Services in the cloud can be provided at various levels:
(a) Infrastruktur: (a) Infrastructure:
Ein potentieller Kunde "mietet" Rechenleistung, um seine eigenen Dienste zu realisieren. Cloud Computing nutzt hierzu Rechenzentren, die sich entweder konzentriert an einem Ort befinden, oder die zur Erbringung von flexib- len Diensten verteilt zusammengeschaltet sein können. Auf diesen Rechnern werden virtuelle Maschinen ausgeführt. Die Kunden laden Daten (z.B. Bilder) in die A potential customer "rents" computing power to realize his own services. Cloud Computing uses data centers that are either concentrated in one location or used to provide flexible len services distributed can be interconnected. These machines are running virtual machines. The customers load data (eg pictures) in the
Cloud, die Verarbeitung erfolgt ohne Benutzerinteraktion im Rechenzentrum.  Cloud, processing takes place without user interaction in the data center.
(b) Plattform: (b) Platform:
Der Kunde erhält Zugriff auf eine Plattform, die zum ei¬ nen die Infrastruktur für die Erbringung eines Dienstes als auch bestimmte Softwareteile (z.B. Middleware) um- fasst, mit deren Hilfe Dienste erstellt werden können. Der damit erstellte Dienst ist beispielsweise eine Web¬ applikation . The customer gets access to a platform that holds the egg ¬ nen the infrastructure for the provision of a service as well as certain software components (eg, middleware) environmentally by which services can be created. The service thus created is for example, a Web application ¬.
(c) Software: (c) Software:
Ein Cloud-Anbieter (auch bezeichnet als Cloud-Provider) bietet eine netzbasierte Applikation an, die der Kunde mittels seines Browsers nutzt. Dabei können von dem Kun¬ den über den Browser Dokumente oder Datensätze angelegt oder bearbeitet werden. A cloud provider (also referred to as a cloud provider) offers a web-based application that the customer uses via his browser. In this case, documents or data records can be created or edited by the customer via the browser.
Die Auslagerung von Applikationen und Daten kann eine Sicherheitsbedrohung darstellen, denn Daten und Dokumente werden bei dem Cloud-Anbieter gespeichert und - je nach Typ der Cloud bzw. Implementierung des Dienstes - dort auch verarbei¬ tet (d.h. auf diese Daten wird auch in der Cloud zugegriffen) . The outsourcing of applications and data can pose a security threat, because data and documents are stored in the cloud provider and - depending on the type of cloud or implementation of the service - there also proces ¬ tet (ie this data is in the cloud accessed).
Eine Security Assertion Markup Language (kurz SAML) ist be¬ kannt als ein XML-Framework zum Austausch von Authentifizie- rungs- und Autorisierungsinformationen . Sie stellt Funktionen bereit, um sicherheitsbezogene Informationen zu beschreiben und zu übertragen. Bei der Entwicklung von SAML wurden die folgenden Anwendungsfälle berücksichtigt: A Security Assertion Markup Language (SAML short) is be ¬ known as an XML framework for exchanging authentication and authorization information rungs-. It provides functions to describe and transmit safety-related information. When developing SAML, the following use cases were considered:
- Single Sign-on (ein Benutzer ist nach der Anmeldung an einer Webanwendung automatisch auch zur Benutzung von weiteren Anwendungen berechtigt) . - Verteilte Transaktionen (mehrere Benutzer arbeiten gemeinsam an einer Transaktion und teilen sich die Sicherheitsinformationen) . - Single Sign-on (a user is automatically authorized to use other applications after logging on to a web application). - Distributed transactions (multiple users work together on one transaction and share the security information).
- Autorisierungsdienste (die Kommunikation mit einem Dienst läuft über eine Zwischenstation, die die Be¬ rechtigung überprüft) . - authorization services (communication with a service is running via an intermediate station, which checks the loading ¬ emption).
Diese Dienste sollen vor allem für Webservices angeboten werden. SAML umfasst sogenannte SAML-Assertions , ein SAML- Protokoll, SAML-Bindings und Profile.  These services should be offered primarily for web services. SAML includes so-called SAML assertions, a SAML protocol, SAML bindings, and profiles.
Derartige SAML-Assertions werden von einem Identity-Provider zu einem Service-Provider übertragen. Bei den SAML-Assertions handelt es sich um Aussagen ("Statements")/ die der Service- Provider nutzt, um zu entscheiden, ob ein Zugriff zugelassen werden soll. Die folgenden Typen von Aussagen werden von SAML genutzt : Such SAML assertions are transferred from an identity provider to a service provider. The SAML assertions is statements ( "Statements") / provider uses the service to determine whether access should be allowed. The following types of statements are used by SAML:
- Authentifikations-Aussagen ( "Authentication Statements"): Zusicherung einer Authentifizierung für ein Subjekt S zu einer Zeit T mittels einer Methode M (für Single Sign-On) .  Authentication Statements: Assertion of an authentication for a subject S at a time T by means of a method M (for single sign-on).
- Attribut-Aussagen ("Attribute Statements"): Zusiche¬ rung, dass ein Subjekt S über ein Attribut A mit ei¬ nem Wert a verfügt (für eine verteilte Transakti¬ on/Autorisierung) . - Attribute statements ( "attributes Statements"): Zusiche ¬ tion that a subject S has an attribute A with ei ¬ nem value a has (for a distributed Transakti ¬ on / authorization).
- Autorisierations-Entscheidungs-Aussagen ("Authoriza- tion Decision Statements"): Autorisierung bestimmter Ressourcen .  - Authorization Decision Statements: Authorization of certain resources.
Details zu SAML sind z.B. Wikipedia unter Details of SAML are e.g. Wikipedia under
[http : //de . wikipedia .org/wiki/Security_Assertion_Markup_Langu age] entnehmbar. [http: // de. wikipedia.org / wiki / Security_Assertion_Markup_Langu age].
Weiterhin ist ein Ansatz zu Beurteilung von Netzwerk- Endpunkten (NEA: "Network Endpoint Assessment" hier auch be- zeichnet als Netzwerk-Endpunkt-Beurteilung) gemäß RFC 5209 bekannt [http://tools.ietf.Org/html//rfc5209]. Demnach können Netzwerk-Endpunkte klassifiziert und beurteilt werden und es kann basierend auf einer derartigen Einschätzung ein Zugang zu Netzwerken auf OSI-Schicht 2 und 3 gesteuert werden. Furthermore, an approach for assessing network endpoints (NEA: "Network Endpoint Assessment" here also referred to as network endpoint assessment) according to RFC 5209 is known [http://tools.ietf.Org/html//rfc5209] , Thus, network endpoints can be classified and evaluated and it Based on such an assessment, access to networks at OSI layers 2 and 3 can be controlled.
In Firmennetzwerken (z.B. sogenannten Intranets) wird auf diese Art kontrolliert, welche Geräte Zugriff auf das Firmen¬ netzwerk erhalten bzw. zu welchem separaten Netzwerk innerhalb des Firmennetzwerks das Gerät verbunden wird. Corporate networks (eg so-called intranets) is controlled in this way, the devices gain access to the company network or to what ¬ separate network within the corporate network the device is connected.
Internetdienstanbieter (ISP = Internet Service Provider) ver- wenden die Netzwerk-Endpunkt-Beurteilung auf Client-Geräten für den Zugang zum Internet. Die Netzwerk-Endpunkt- Beurteilung erfolgt dabei nicht auf der Anwendungsschicht, z.B. wenn auf Dienste des Internets, z.B. mittels eines Netz¬ browsers, zugegriffen wird; dort (auf Anwendungsschicht) er- folgt die Zugriffskontrolle üblicherweise über eine Authenti- fikation mittels Benutzername und Kennwort. Internet service providers (ISPs) use the network endpoint assessment on client devices to access the Internet. The network end point judgment is not carried out at the application layer, for example, when it is on services of the Internet, for example by means of a network browser ¬ accessed; There (on application layer), access control usually takes place via an authentication by means of user name and password.
Allerdings werden zunehmend Applikationen und Dienste über das Internet bzw. netzbasiert bereitgestellt, insbesondere anhand der eingangs erläuterten Cloud. Hierbei wird Software als ein Dienst z.B. über die Netzwerkschnittstelle des Inter¬ nets angeboten. Derartige Dienste werden vermehrt auch für sicherheitsrelevante, vertrauliche oder persönliche Daten verwendet, z.B. Online-Bankanwendungen. However, applications and services are increasingly being provided via the Internet or network-based, in particular with reference to the cloud explained in the introduction. In this case, software is offered as a service, for example via the network interface of the Internet . Such services are increasingly used for security-related, confidential or personal data, such as online banking applications.
Solche Dienste schützen sich gegen missbräuchliche Verwendung dadurch, dass die Benutzer sich (auf der Anwendungsebene) au- thentisieren müssen. Es besteht aber auch die Möglichkeit, dass ein Dienst durch auf einem Computer des Anwenders ablau- fende schädliche Software (sogenannte "Malware", umfassend z.B. Viren, Trojaner etc.) kompromittiert oder missbräuchlich verwendet wird, mit entsprechend negativen Auswirkungen auf Anwender und Betreiber. Ein Beispiel stellt derartige schäd¬ liche Software dar, die Passwörter oder PINs des Benutzers ausspäht, damit diese später missbräuchlich verwendet werden können. Andererseits könnte schädliche Software auf dem An¬ wenderrechner auch dazu geeignet sein, den Dienst selbst anzugreifen . Während zur Zeit die Authentisierung von Benutzern meist auf einer Eingabe von Benutzername und Passwort basiert, bietet SAML ein Rahmenwerk zum Austausch von Authentifizierungs- und Autorisierungsinformationen . Damit ist es möglich, die Authentifikation eines Benutzers von dem Dienstanbieter auf eine Organisation, der der Benutzer angehört (z.B. eine Firma, für die der Benutzer arbeitet oder bei der er angestellt ist) oder eine unabhängige dritte Partei, zu übertragen. Somit kann sich ein Benutzer durch eine einmalige Authentifikation bei mehreren Systemen und/oder Diensten anmeldet (Single- Sign-On) . Such services protect against misuse by requiring users to authenticate themselves (at the application level). However, there is also the possibility that a service may be compromised or misused by malicious software running on a user's computer (so-called "malware", including, for example, viruses, Trojans, etc.), with correspondingly negative effects on users and operators. One example is such Vermin ¬ friendly software, passwords or PINs spying on the user so that they can be misused later. On the other hand, malicious software could be at ¬ wenderrechner also suitable on the attack the service itself. While user authentication is currently based on username and password input, SAML provides a framework for exchanging authentication and authorization information. Thus, it is possible to transmit the authentication of a user from the service provider to an organization to which the user belongs (eg, a company for which the user works or is employed) or an independent third party. This means that a user can log on to multiple systems and / or services through a single authentication (single sign-on).
Das bekannte SAML-Rahmenwerk funktioniert wie folgt: The well-known SAML framework works as follows:
(a) Der Benutzer authentifiziert sich bei einer Instanz, die einen Berechtigungsnachweis bzw. ein Token (z.B. eine elektronische Marke für einen Zugriff oder Zugang) bereitstellt. Diese Instanz wird auch als Token-Provider bezeichnet. Bei dem Token-Provider kann es sich z.B. um die Firma des Benutzers (oder um eine unabhängige dritte Partei) handeln. Der Benutzer erhält ein zeitlich begrenztes Token (d.h. eine SAML-Assertion) das eine Identitätsinformation, sonstige Attribute und den Typ des verwendeten Authentifikationsmechanismus enthält. Das Token hat beispielsweise das Format einer XML-Datei. (a) The user authenticates with an entity providing a credential or token (e.g., an electronic trademark for access or access). This instance is also called a token provider. The token provider may be e.g. to be the user's company (or an independent third party). The user receives a time-limited token (i.e., a SAML assertion) containing identity information, other attributes, and the type of authentication mechanism used. For example, the token has the format of an XML file.
(b) Der Benutzer fügt das Token einer Anfrage bei (z.B. einer http-Anfrage) , um auf den gewünschten Dienst zugrei¬ fen zu können. (b) The user inserts the token of a request from (eg an http request) to zugrei ¬ fen to the desired service.
(c) Ein Server überprüft das Token des Benutzers und gewährt den Zugriff, falls das Token verifiziert werden konnte.  (c) A server checks the user's token and grants access if the token could be verified.
Eine Infrastruktur für eine bekannte Netzwerk-Endpunkt- Beurteilung (NEA) umfasst: An infrastructure for a known Network Endpoint Assessment (NEA) includes:
(a) einen NEA-Client, der auf dem Gerät des Benutzers vorge- sehen ist und Eigenschaften des Geräts ermittelt, z.B. einen Aktualisierungsstatus (Patch-Level) oder einen Vi- renschutzstatus (z.B. ob ein Virenschutzprogramm installiert ist und ggf. in welcher Version dieses Viren- Schutzprogramm installiert bzw. ob das richtige Viren- schutzprogramm installiert ist) ; (a) a NEA client, which is provided on the user's device and determines the device's properties, eg an update status (patch level) or a virus protection status (eg if an antivirus program is installed and if so in which version this virus Protection program installed or if the correct virus protection program is installed);
(b) einen NEA-Server in dem Netzwerk (z.B. einen RADIUS-(b) a NEA server in the network (e.g., a RADIUS
Server) , der die von dem NEA-Client ermittelten Eigen- schaften erhält, verarbeitet und entscheidet, ob und ggf. welche Art des Zugangs gewährt werden soll. Server), which receives the properties determined by the NEA client, processes and decides whether and, if so, what type of access should be granted.
Hierbei ist es von Nachteil, dass man Dienste im Internet nicht in analoger Weise durch eine Netwerk-Endpunkt- Beurteilung schützen kann. It is disadvantageous that you can not protect services on the Internet in a similar way by a network endpoint assessment.
Die Aufgabe der Erfindung besteht darin, den vorstehend ge¬ nannten Nachteil zu vermeiden und insbesondere eine Lösung zu schaffen, um die Sicherheit von in einem Netzwerk, insbeson- dere einer Cloud, laufenden Diensten und der dort gespeicherten Daten zu erhöhen. The object of the invention is to avoid the abovementioned disadvantage and, in particular, to provide a solution in order to increase the security of services that are stored in a network, in particular a cloud, and the data stored there.
Diese Aufgabe wird gemäß den Merkmalen der unabhängigen Ansprüche gelöst. Bevorzugte Ausführungsformen sind insbesonde- re den abhängigen Ansprüchen entnehmbar. This object is achieved according to the features of the independent claims. Preferred embodiments are in particular the dependent claims.
Zur Lösung der Aufgabe wird ein Verfahren angegeben zur Regelung eines Zugangs auf Daten oder Applikationen eines Netzwerks , To achieve the object, a method is specified for regulating access to data or applications of a network,
- bei dem eine Berechtigungs-Information eines Endgeräts überprüft wird und  - In which an authorization information of a terminal is checked and
- bei dem anhand eines Endpunkt-Status des Endgeräts eine Endpunkt-Klasse bestimmt wird und der Zugang an¬ hand der Endpunkt-Klasse geregelt wird. - In which an end point class is determined based on an endpoint status of the terminal and the access is controlled ¬ hand the endpoint class.
Bei der Berechtigungs-Information kann es sich beispielsweise um eine Authentisierungsinformation eines Benutzers (an dem Endgerät) oder des Endgeräts handeln. Ein Vorteil des vorliegenden Ansatzes besteht darin, es einem Dienstebetreiber zu ermöglichen, nicht nur den Benutzer zu authentisieren, sondern auch ausschließen zu können, dass Be- nutzer mit kompromittierten Geräten auf den Dienst zugreifen und dadurch sich oder den Dienst gefährden. The authorization information may, for example, be authentication information of a user (at the terminal) or the terminal. An advantage of the present approach is that it allows a service operator not only to authenticate the user, but also to exclude Users with compromised devices access the service and thereby endanger themselves or the service.
Bei dem Endpunkt-Status handelt es sich vorzugsweise um den Status des Endgeräts. The endpoint status is preferably the status of the terminal.
Grundsätzlich kann eine solche Regelung des Zugangs für unterschiedliche Daten oder Applikationen (z.B. Programme) erfolgen, die zumindest teilweise in dem Netzwerk gespeichert sind oder dort ablaufen. Bei dem Netzwerk kann es sich um das Internet oder um eine beliebige Cloud handeln. Der Zugriff erfolgt z.B. von einem Benutzerendgerät (z.B. einem Computer oder einem Telefon) . Als Computer kommen eine Vielzahl von Geräten in Frage, z.B. ein Arbeitsplatzrechner, ein Notebook, ein portables Gerät, ein Gerät mit einer FunkschnittstelleIn principle, such access control may be for different data or applications (e.g., programs) that are at least partially stored in or run on the network. The network can be the Internet or any cloud. Access is e.g. from a user terminal (e.g., a computer or a telephone). As computers, a variety of devices are suitable, e.g. a workstation, a notebook, a portable device, a device with a radio interface
(z.B. zu einem Mobilfunknetzwerk und/oder zu einem drahtlosen Netzwerk (WLAN) ) , ein Smartphone, ein Tablet-PC, ein Server, etc . Die Regelung des Zugangs kann dabei in Abhängigkeit von der Endpunkt-Klasse auf unterschiedliche Arten erfolgen: Bei¬ spielsweise kann kein Zugang, limitierter Zugang oder voller Zugang auf die Ressourcen des Netzwerks erfolgen. Der Zugang umfasst hierbei beispielhaft auch einen Zugriff auf derartige Ressourcen des Netzwerks. Bei dem limitierten Zugang kann z.B. abhängig von dem Endpunkt-Status und einem ggf. damit verbundenen Benutzerstatus (sofern sich der Benutzer an dem Endpunkt authentifiziert hat) der Zugang geregelt werden. Insbesondere ist es möglich, dass nur auf einen bestimmten Teil des Netzwerks, z.B. bestimmte vorgegebene Daten und/oder Applikationen ein Zugriff in Abhängigkeit von der Endpunkt- Klasse und/oder dem Endpunkt-Status erfolgt. (eg to a mobile network and / or to a wireless network (WLAN)), a smartphone, a tablet PC, a server, etc. Regulating access can be done depending on the endpoint class in different ways through this: When ¬ play as can not access, carried out limited access or full access to the resources of the network. The access here also includes, by way of example, access to such resources of the network. For limited access, for example, access may be regulated depending on the endpoint status and any associated user status (if the user has authenticated at the endpoint). In particular, it is possible for access to only a specific part of the network, for example certain predefined data and / or applications, depending on the endpoint class and / or the endpoint status.
Hierbei sei ausdrücklich darauf hingewiesen, dass die obigen Merkmale keine zeitliche Abfolge festlegen: So kann z.B. die Berechtigungs-Information überprüft und dann die Endpunkt- Klasse bestimmt werden oder umgekehrt kann zuerst die End- punkt-Klasse bestimmt werden und dann die Berechtigungs- Information überprüft werden. It should be expressly pointed out that the above features do not specify a time sequence: For example, the authorization information can be checked and then the endpoint class can be determined or, conversely, the terminal point class and then the authorization information is checked.
Der vorliegende Ansatz ermöglicht es Dienstanbietern nicht nur die Identität des Benutzers bzw. des Endgeräts, sondern auch eine Netzwerk-Endpunkt-Beurteilung, also eine Endpunktbeurteilung des Benutzergeräts für die Entscheidung, ob ein Zugang erfolgen soll oder nicht, zu berücksichtigen. Damit kann der Dienstanbieter wirksam den Zugriff einschränken auf solche Geräte, die eine bestimmte Vorgabe erfüllen, z.B. eine bestimmte Version einer Aktualisierungssoftware oder ein sonstiges Programm (z.B. ein Virenschutzprogramm) enthalten. The present approach allows service providers to consider not only the identity of the user or the terminal, but also a network endpoint assessment, that is, an endpoint assessment of the user equipment for deciding whether or not access should occur. Thus, the service provider can effectively restrict access to such devices that meet a certain specification, e.g. include a particular version of an update software or other program (e.g., an anti-virus program).
Dienste und Anwendungsprogramme, die derzeit über das Inter¬ net angeboten werden, verfügen über keinerlei Netzwerk- Endpunkt-Beurteilung, sondern verwenden lediglich eine Benut- zer-Authentifikation als Zugangs- bzw. Zugriffskontrolle. Services and applications that are currently available on the Inter ¬ net, have no network endpoint assessment, but use only a user-zer authentication as access or access control.
Eine Weiterbildung ist es, dass der Endpunkt-Status die Be¬ rechtigungs-Information aufweist . A further development is that the endpoint has the status Be ¬ computationally tigungs information.
Eine andere Weiterbildung ist es, dass Another training is that
- das Endgerät bei einer Berechtigungs- Bereitstellungsinstanz authentifiziert wird und the terminal is authenticated to an authorization provisioning entity and
- von der Berechtigungs-Bereitstellungsinstanz dem Endgerät die Berechtigungsinformation bereitgestellt wird . the authorization information is provided by the authorization providing entity to the terminal.
Bei der Berechtigungsinformation kann es sich z.B. um ein To- ken handeln, das für eine vorgegebene Zeitdauer gültig ist. Die Berechtigungs-Bereitstellungsinstanz kann die beispielhaft im nachfolgenden Ausführungsbeispiel als Credential Pro¬ vider bezeichnete Komponente sein. The authorization information may be, for example, a token that is valid for a predetermined period of time. The authorization deployment instance can be exemplified in the following embodiment as a credential Pro ¬ vider designated component.
Insbesondere ist es eine Weiterbildung, dass In particular, it is a training that
- von der Berechtigungs-Bereitstellungsinstanz einem Beurteilungs-Server der Endpunkt-Status bereitge¬ stellt wird, - von dem Beurteilungs-Server basierend auf dem Endpunkt-Status die Endpunkt-Klasse bestimmt wird,the authorization provisioning entity provides the endpoint status to a rating server, the endpoint class is determined by the assessment server based on the endpoint status,
- die Endpunkt-Klasse der Berechtigungs- Bereitstellungsinstanz bereitgestellt wird, - the endpoint class of the authorization deployment instance is deployed,
- dem Endgerät von der Berechtigungs- - the terminal of the authorization
Bereitstellungsinstanz die Endpunkt-Klasse und die Berechtigungs-Information bereitgestellt werden,Deployment instance the endpoint class and the authorization information are provided
- von dem Endgerät die Endpunkt-Klasse und die Berech¬ tigungs-Information an eine Zugangskontrolle übermit- telt werden und Be from the terminal end point of the class and the calculation ¬ tigungs information to an access control übermit- telt and -
- von der Zugangskontrolle basierend auf der Endpunkt- Klasse und der Berechtigungs-Information der Zugang des Endgeräts geregelt wird.  - is controlled by the access control based on the endpoint class and the authorization information access of the terminal.
Auch ist es eine Weiterbildung, dass Also, it is a continuing education that
- von dem Endgerät der Endpunkt-Status und die Berech¬ tigungs-Information an eine Zugangskontrolle übermit¬ telt werden, - are from the terminal the endpoint status and calculation ¬ tigungs information to an access control übermit ¬ telt,
- von der Zugangskontrolle einem Beurteilungs-Server der Endpunkt-Status bereitgestellt wird,  - the access control provides an assessment server with the endpoint status,
- von dem Beurteilungs-Server basierend auf dem Endpunkt-Status die Endpunkt-Klasse bestimmt wird, the endpoint class is determined by the assessment server based on the endpoint status,
- von dem Beurteilungs-Server der Zugangskontrolle die Endpunkt-Klasse bereitgestellt wird, the endpoint class is provided by the access control assessment server,
- von der Zugangskontrolle basierend auf der Endpunkt- Klasse und der Berechtigungs-Information der Zugang des Endgeräts geregelt wird.  - is controlled by the access control based on the endpoint class and the authorization information access of the terminal.
Bei dem Beurteilungs-Server handelt es sich vorzugsweise um einen Endpunkt-Beurteilungs-Server. Der Beurteilungs-Server führt eine Netzwerk-Endpunkt-Beurteilung entsprechend eines Klassifikations-Schemas durch und bestimmt eine Endpunkt- Klasse basierend auf dem Klassifikations-Schema. Beispiels¬ weise kann das Klassifikations-Schema unterteilt sein in "einfach", "mittel" und "hoch". Die Endpunkt-Klasse wird bei¬ spielsweise in XML gespeichert. Ferner ist es eine Weiterbildung, dass mittels einer Klassi¬ fikations-Vereinbarung die Endpunkt-Klasse basierend auf dem Endpunkt-Status ermittelt wird. Eine Zuordnung eines Endpunkt-Status zu der Endpunkt-Klasse wird beispielsweise mittels einer Klassifikations- Vereinbarung festgelegt. The judging server is preferably an endpoint judging server. The judging server performs a network endpoint judgment according to a classification scheme and determines an endpoint class based on the classification scheme. Example ¬ as may be divided, the classification scheme in "easy", "medium" and "high". The endpoint class will play as stored in ¬ in XML. It is also a further development that the endpoint class is determined based on the endpoint status by means of a classi ¬ fikations agreement. An assignment of an endpoint status to the endpoint class is determined, for example, by means of a classification agreement.
Im Rahmen einer zusätzlichen Weiterbildung wird der Endpunkt- Status anhand einer Status-Vereinbarung bestimmt. As part of additional training, the endpoint status is determined by means of a status agreement.
So kann eine Struktur des Endpunktstatus in einem XML-Schema festgelegt sein und als eine Status-Vereinbarung bezeichnet werden. Eine Endpunkt-Beurteilungs-Vereinbarung kann verwen- det werden, um Aktionen für den Endpunkt-Beurteilungs-Client zu definieren entsprechend einer vorgegebenen Status- Vereinbarung . For example, an endpoint status structure can be specified in an XML schema and referred to as a status agreement. An endpoint assessment agreement can be used to define actions for the endpoint assessment client according to a given status agreement.
Eine nächste Weiterbildung besteht darin, dass auf dem Endge- rät ein Endgerät-Beurteilungs-Client ausgeführt wird, der den Endpunkt-Status bestimmt. A next development is that a terminal assessment client is executed on the terminal, which determines the endpoint status.
Insbesondere kann der Endgerät-Beurteilungs-Client die hier beschriebenen Kommunikationen mit dem Endgerät, der Berechti- gungs-Bereitstellungsinstanz und/oder der Zugangskontrolle veranlassen, übernehmen oder koordinieren. In particular, the terminal assessment client may initiate, take over, or coordinate the communications described herein with the terminal, the authorization providing entity, and / or the access control.
Eine Ausgestaltung ist es, dass der Endpunkt-Status mindes¬ tens eine der folgenden Informationen umfasst: One embodiment is that the endpoint status Minim ¬ least includes the following information:
- Status und/oder Version einer Software,  - status and / or version of software,
- Status und/oder Version eines Virenschutzprogramms , - status and / or version of an anti-virus program,
- Zustand und/oder Version eines Betriebssystems - State and / or version of an operating system
- Zustand und/oder Version einer Anwendung, die auf dem Gerät installiert ist oder dort ausgeführt wird.  - State and / or version of an application installed or running on the device.
Die vorstehende Aufgabe wird auch gelöst mittels einer Vor¬ richtung zur Regelung eines Zugangs auf Daten oder Applikati- onen eines Netzwerks umfassend eine Verarbeitungseinheit, die derart eingerichtet ist, dass The above object is also achieved by means of a device for regulating access to data or applications. on a network comprising a processing unit which is set up such that
- eine Berechtigungs-Information eines Endgeräts überprüfbar ist und  - An authorization information of a terminal is verifiable and
- anhand eines Endpunkt-Status des Endgeräts eine End¬ punkt-Klasse bestimmt wird und der Zugang anhand der Endpunkt-Klasse geregelt wird. - Based on an endpoint status of the terminal an end ¬ point class is determined and the access is controlled by the endpoint class.
Die Verarbeitungseinheit kann insbesondere eine Prozessorein- heit und/oder eine zumindest teilweise fest verdrahtete oder logische Schaltungsanordnung sein, die beispielsweise derart eingerichtet ist, dass das Verfahren wie hierin beschrieben durchführbar ist. Besagte Verarbeitungseinheit kann jede Art von Prozessor oder Rechner oder Computer mit entsprechend notwendiger Peripherie (Speicher, Input/Output- Schnittstellen, Ein-Ausgabe-Geräte, etc.) sein oder umfassen. In particular, the processing unit may be a processor unit and / or an at least partially hard-wired or logical circuit arrangement, which is set up, for example, such that the method can be carried out as described herein. Said processing unit may be or include any type of processor or computer or computer with correspondingly necessary peripherals (memory, input / output interfaces, input / output devices, etc.).
Die vorstehenden Erläuterungen betreffend das Verfahren gelten für die Vorrichtung entsprechend. Die Vorrichtung kann in einer Komponente oder verteilt in mehreren Komponenten ausgeführt sein. Insbesondere kann auch ein Teil der Vorrichtung über eine Netzwerkschnittstelle (z.B. das Internet) angebun¬ den sein. Weiterhin wird zur Lösung der Aufgabe ein System oder einThe above explanations regarding the method apply to the device accordingly. The device may be implemented in one component or distributed in several components. In particular, can also be a part of the apparatus via a network interface to be angebun ¬ (eg, the Internet). Furthermore, to solve the problem, a system or a
Computernetzwerk vorgeschlagen umfassend mindestens eine der hier beschriebenen Vorrichtungen. Computer network proposed comprising at least one of the devices described herein.
Die hierin vorgestellte Lösung umfasst ferner ein Computer- programmprodukt , das direkt in einen Speicher eines digitalen Computers ladbar ist, umfassend Programmcodeteile die dazu geeignet sind, Schritte des hier beschriebenen Verfahrens durchzuführen . Weiterhin wird das oben genannte Problem gelöst mittels eines computerlesbaren Speichermediums, z.B. eines beliebigen Speichers, umfassend von einem Computer ausführbare Anweisungen (z.B. in Form von Programmcode) die dazu geeignet sind, dass der Computer Schritte des hier beschriebenen Verfahrens durchführt . The solution presented herein further includes a computer program product directly loadable into a memory of a digital computer comprising program code portions adapted to perform steps of the method described herein. Furthermore, the above-mentioned problem is solved by means of a computer-readable storage medium, eg of any memory, comprising computer-executable instructions (eg in the form of program code) which are suitable for the computer performs steps of the method described herein.
Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden schematischen Beschreibung von Ausführungsbeispielen, die im Zusammenhang mit den Zeichnungen näher erläutert werden. Dabei können zur Übersichtlichkeit gleiche oder gleich wirkende Elemente mit gleichen Bezugszei¬ chen versehen sein. The above-described characteristics, features, and advantages of this invention, as well as the manner in which they will be achieved, will become clearer and more clearly understood in connection with the following schematic description of exemplary embodiments which will be described in detail in conjunction with the drawings. Identical or functionally identical elements may be provided with the same Bezugszei ¬ chen for clarity.
Es zeigen: Fig.l ein schematisches Diagramm zur Veranschaulichung einer einem Credential-Provider bereitgestellten Netzwerk-Endpunkt-Beurteilung; FIG. 1 is a schematic diagram illustrating a network endpoint assessment provided to a credential provider; FIG.
Fig.2 ein schematisches Diagramm basierend auf Fig.l, wobei die Beurteilung des Endpunkts von einer Organisation durchgeführt werden kann, der der Benutzer bzw. das Endgerät des Benutzers zugeordnet ist (z.B. von einer Firma, bei der der Benutzer angestellt ist) . Der vorliegende Vorschlag nutzt insbesondere die folgenden (funktionalen) Komponenten: Fig. 2 is a schematic diagram based on Fig. 1, wherein the assessment of the endpoint may be performed by an organization associated with the user or terminal of the user (e.g., a company where the user is employed). In particular, the present proposal uses the following (functional) components:
(A) Einen Endpunkt-Beurteilungs-Client: Hierbei handelt es sich beispielsweise um ein Programm, das auf dem Gerät des Benutzers abläuft und dieses beur¬ teilt. Dabei können beispielsweise unterschiedliche In¬ formationen oder Zustände festgestellt und gespeichert werden : (A) An endpoint assessment client: This is, for example, a program that runs on the user's device and this beur ¬ shares. Different In ¬ formations or states can be detected and stored, for example:
- Status und/oder Version einer Software (auch bezeichnet als "Patch-Level"),  - status and / or version of software (also referred to as "patch level"),
- Status und/oder Version eines Virenschutzprogramms , - status and / or version of an anti-virus program,
- Zustand und/oder Version eines Betriebssystems - Zustand und/oder Version einer Anwendung, die auf dem Gerät installiert ist oder dort ausgeführt wird. - State and / or version of an operating system - State and / or version of an application installed or running on the device.
Diese Information entspricht einem Status des Endpunkts (hier des Geräts des Benutzers) und wird beispielsweise in ein Dokument oder in einer Datei abgespeichert. Vor¬ teilhaft kann hierfür ein XML-Dokument (XML: Extensible Markup Language, zu Deutsch: "erweiterbare Auszeich¬ nungssprache") verwendet werden. This information corresponds to a status of the endpoint (here the user's device) and is stored, for example, in a document or in a file. Before ¬ geous this may be an XML document (XML: Extensible Markup Language to German: "extensible Auszeich ¬ voltage language") are used.
So kann eine Struktur des Endpunktstatus in einem XML- Schema festgelegt sein und als eine Status-Vereinbarung (auch bezeichnet als eine Status-Policy) bezeichnet wer¬ den . As may be determined and as a status agreement, a structure of endpoint status in an XML Schema (also referred to as a state policy) referred to ¬.
Eine Endpunkt-Beurteilungs-Vereinbarung (auch bezeichnet als eine Endpunkt-Beurteilungs-Policy) kann verwendet werden, um Aktionen für den Endpunkt-Beurteilungs-Client zu definieren entsprechend einer vorgegebenen Status- Vereinbarung . An endpoint assessment agreement (also referred to as an endpoint assessment policy) may be used to define actions for the endpoint assessment client according to a predetermined status agreement.
(B) Einen Endpunkt-Beurteilungs-Server: (B) An endpoint assessment server:
Der Endpunkt-Beurteilungs-Server führt eine Netzwerk- Endpunkt-Beurteilung entsprechend eines Klassifikations- Schemas durch und bestimmt eine Endpunkt-Klasse basie¬ rend auf dem Klassifikations-Schema. Beispielsweise kann das Klassifikations-Schema unterteilt sein in "einfach", "mittel" und "hoch". The end point judgment server performs a network endpoint assessment in accordance with a classification scheme and determines an end point class basie ¬ rend on the classification scheme. For example, the classification scheme may be divided into "simple", "medium" and "high".
Die Endpunkt-Klasse wird beispielsweise in XML gespei¬ chert. Eine Zuordnung eines Endpunkt-Status zu der End¬ punkt-Klasse wird durch eine Klassifikations- Vereinbarung (auch bezeichnet als eine Klassifikations- Policy) festgelegt. The endpoint class will vomit chert ¬ example, in XML. An assignment of an endpoint status at the end ¬ point class is a classification agreement (also referred to as a classification policy) set.
(C) Eine Instanz zur Bereitstellung einer Berechtigung (C) An instance to provide a permission
und/oder eines Token ( "Berechtigungs- Bereitstellungsinstanz", fortan der Einfachheit halber bezeichnet als "Credential-Provider" ) : and / or a token ("authorization Provisioning Instance ", hereafter referred to as" Credential Provider "for simplicity's sake):
Es wird vorgeschlagen, einen gemäß des SAML-Rahmenwerks bekannten Token-Provider (siehe Einleitung) zu erweitern, so dass dieser eine Berechtigung bzw. ein Token bereitstellt betreffend die Identität und die Authenti- fikation eines Benutzers, wie sie z.B. für einen Single- Sign-On-Mechanismus benötigt wird. Hierzu werden für den Credential-Provider insbesondere die folgenden Aufgaben vorgesehen : It is proposed to extend a token provider known from the SAML framework (see Introduction) so that it provides a token or token regarding the identity and authentication of a user, as described e.g. is needed for a single sign-on mechanism. In particular, the following tasks are provided for the credential provider:
- Der Credential Provider erhält den Endpunkt-Status von dem Endpunkt-Beurteilungs-Client, der auf dem Ge- rät ausgeführt wird. Der Credential Provider kann auch dazu eingesetzt werden, die aktuelle Version der Endpunkt-Beurteilungs-Vereinbarung von dem Endpunkt- Beurteilungs-Server zu beziehen und zu dem Endpunkt- Beurteilungs-Client zu übermitteln. The credential provider receives the endpoint status from the endpoint assessment client running on the device. The credential provider may also be used to obtain the current version of the endpoint assessment agreement from the endpoint assessment server and transmit it to the endpoint assessment client.
- Der Credential Provider fordert eine Klassifikation des Endpunkt-Status von dem Endpunkt-Beurteilungs- Server an. - Der Credential Provider stellt eine Information über den Endpunkt z.B. mittels eines von ihm generierten Token bereit. Hierbei bezeichnet das Token stellver¬ tretend jedwede Art einer Berechtigung, die in diesem Beispiel von dem Credential Provider zur Verfügung gestellt wird. Es können insbesondere zwei Optionen unterschieden werden: The credential provider requests a classification of the endpoint status from the endpoint assessment server. The credential provider provides information about the endpoint, for example, by means of a token generated by it. Here, the token designated deputy ¬ kicking any kind provided by the Credential Provider is available in this example an authority. In particular, two options can be distinguished:
Einerseits kann der Credential Provider die On the one hand, the credential provider can use the
Endpunkt-Klasse wie er sie von dem Endpunkt- Beurteilungs-Server erhalten hat, in Form eines XML-Eintrags in dem Token bereitstellen. Provide the endpoint class as received from the endpoint assessment server in the form of an XML entry in the token.
Andererseits kann der vollständige Endpunkt- Status, wie er von dem Endpunkt-Beurteilungs- Client erhalten wurde, als XML-Eintrag in dem Token bereitgestellt werden. On the other hand, the full endpoint status as determined by the endpoint assessment Client was provided as an XML entry in the token.
Eine Zugangskontrollkomponente: An access control component:
Die Zugangskontrollkomponente des Dienstes erhält das Token und überprüft dessen Signatur. Ist die Signatur erfolgreich verifiziert, entscheidet die Zugangskon¬ trollkomponente ob und ggf. in welchem Umfang ein Zugang gewährt werden soll (bei dem Zugang kann es sich auch um einen Zugriff z.B. auf Daten oder Applikationen handeln) . The access control component of the service receives the token and verifies its signature. If the signature is successfully verified, decides the Zugangskon ¬ troll component if and to what extent access should be granted (in which access may also be an example access to data or applications).
Insbesondere kann der Zugang mit Einschränkungen belegt werden. Beispielsweise kann der Zugang auf bestimmte Komponenten oder Daten beschränkt werden bzw. kann vorgegeben werden, dass nur bestimmte Aktionen erlaubt sind. Die Entscheidung über den Umfang des Zugangs basiert auf den in der Berechtigung enthaltenen Informationen, z.B. der Identität, dem Authentifizierungsstatus und/oder der Endpunkt-Klasse. In particular, access can be restricted. For example, the access can be limited to certain components or data or can be specified that only certain actions are allowed. The decision on the extent of access is based on the information contained in the authorization, e.g. the identity, the authentication status, and / or the endpoint class.
Beispielsweise kann eine Endpunkt-Klasse "einfach" an¬ zeigen, dass der Zugang auf einen lesenden Zugriff beschränkt werden soll und nur auf solche Komponenten oder Daten erfolgen darf, die für einen allgemeinen öffentlichen Zugriff bestimmt sind. Andererseits können Admi¬ nistratoren mittels einer Endpunkt-Klasse "hoch" vollen Zugriff zu einer Vielzahl von oder zu allen Komponenten oder Daten erhalten. For example, an endpoint class "simply" indicate ¬ that access to a read-only access will be limited and may only be on such components or data that are intended for general public access. On the other hand Admi ¬ trators can be obtained to a plurality of or to all components or data by means of an end point class "high" full access.
Falls das Token einen Endpunkt-Status anstelle einer Endpunkt-Klasse enthält, übermittelt die Zugangskon¬ trollkomponente beispielsweise den Endpunkt-Status an den Endpunkt-Beurteilungs-Server um die entsprechende Endpunkt-Klasse für diesen Endpunkt zu erhalten. Fig.l zeigt ein schematisches Diagramm zur Veranschaulichung einer einem Credential-Provider 103 bereitgestellten Netzwerk-Endpunkt-Beurteilung . If the token contains an endpoint status instead of an endpoint class that Zugangskon ¬ troll component transmitted, for example to obtain the endpoint status to the end point judgment server to the appropriate endpoint class for this endpoint. FIG. 1 is a schematic diagram illustrating a network endpoint assessment provided to a credential provider 103.
Nachfolgend werden einzelne Schritte dieser Netzwerk- Endpunkt-Beurteilung erläutert; die nachfolgend nummerierten Schritte (1) bis (5) finden sich entsprechend auch in der Fig.1. In the following, individual steps of this network endpoint assessment are explained; the numbered steps (1) to (5) below are correspondingly also found in FIG.
(1) Ein Benutzer authentifiziert sich über ein Benutzerend¬ gerät 101 bei dem Credential-Provider 103. (1) A user authenticates with the credential provider 103 via a user terminal 101.
(2) Ein auf dem Benutzerendgerät 101 ablaufender Endpunkt- Beurteilungs-Client 102 sammelt Informationen über den Status des Betriebssystems und der Anwendungsprogramme entsprechend einer Vorgabe einer Status-Vereinbarung und übermittelt einen daraus generierten Endpunkt-Status an den Credential-Provider 103. (2) An endpoint judging client 102 running on the user terminal 101 collects information about the status of the operating system and the application programs according to a specification of a status agreement, and transmits an end point status generated therefrom to the credential provider 103.
Zuvor könnte optional der Endpunkt-Beurteilungs-Client 102 die neueste Version einer Endpunkt-Beurteilungs- Vereinbarung von dem Credential-Provider 103 oder von einem Endpunkt-Beurteilungs-Server 104 angefordert (und erhalten) haben. Previously, optionally, the endpoint assessment client 102 could have requested (and received) the most recent version of an endpoint assessment agreement from the credential provider 103 or from an endpoint assessment server 104.
(3) Der Credential-Provider 103 stellt einen Endpunkt-Status (z.B. als XML-Eintrag) in einem Token dem Benutzerendge¬ rät 101 bereit. (3) The credential provider 103 provides an endpoint status (eg, as an XML entry) in a token to the user terminal 101.
(4) Das Benutzerendgerät 101 sendet das Token zusammen mit einer Anfrage betreffend einen Dienst oder ein Programm an eine Zugangskontrollkomponente 105. (4) The user terminal 101 sends the token along with a request regarding a service or a program to an access control component 105.
(5) Die Zugangskontrollkomponente 105 überprüft das Token, extrahiert den Endpunkt-Status und übermittelt diesen an den Endpunkt-Beurteilungs-Server 104. Der Endpunkt-Beurteilungs-Server 104 ordnet den Endpunkt-Status einer Endpunkt-Klasse zu und übermittelt diese Endpunkt-Klasse an die Zugangskontrollkomponente 105. (5) The access control component 105 checks the token, extracts the endpoint status, and transmits it to the endpoint judgment server 104. The endpoint assessment server 104 assigns the endpoint status to an endpoint class and transmits that endpoint class to the access control component 105.
(6) Die Zugangskontrollkomponente 105 trifft die Entschei¬ dung über den Zugang zu einem Dienst 106 basierend auf der Identität des Benutzers, dem Authentifikations- Status und der Endpunkt-Klasse. (6) The access control component 105 makes the decision-making ¬ on access to a service 106 based on the user's identity, the authentication status and endpoint class.
Die Zugangskontrollkomponente 105 ist hierfür vorzugs¬ weise mit einer Zugangs-Kontroll-Vereinbarung (auch bezeichnet als Zugangs-Kontroll-Policy) konfiguriert, die das gleiche Klassifikations-Schema verwendet wie der Endpunkt-Beurteilungs-Server 104. The access control component 105 is for this preference ¬, with an access-control store (also referred to as the access-control policy) is configured using the same classification scheme as the end point judgment server 104th
Der Endpunkt-Beurteilungs-Server 104 wird beispielsweise von dem Dienstanbieter betrieben, der das Klassifikations-Schema und die Zugangs-Kontroll-Vereinbarung entsprechend seinen Anforderungen vorgegeben kann, d.h. in Abhängigkeit von Faktoren, die für die Entscheidung über den Zugang (und die Art des Zugangs) entscheidend sind. The endpoint judgment server 104 is operated, for example, by the service provider who can set the classification scheme and the access control agreement according to his requirements, i. depending on factors that are crucial for the decision on access (and the type of access).
Fig.2 zeigt ein schematisches Diagramm basierend auf Fig.l, wobei die Beurteilung des Endpunkts von einer Organisation durchgeführt werden kann, der der Benutzer zugeordnet ist (z.B. von einer Firma, bei der der Benutzer angestellt ist) . Figure 2 is a schematic diagram based on Figure 1 wherein the endpoint assessment may be performed by an organization associated with the user (e.g., a company employing the user).
Nachfolgend werden einzelne Schritte dieser Netzwerk- Endpunkt-Beurteilung erläutert; die nachfolgend nummerierten Schritte (1) bis (5) finden sich entsprechend auch in der Fig.2. In the following, individual steps of this network endpoint assessment are explained; the numbered steps (1) to (5) below are correspondingly also found in FIG.
(1) Ein Benutzer authentifiziert sich über ein Benutzerend¬ gerät 101 bei dem Credential-Provider 103. (1) A user authenticates with the credential provider 103 via a user terminal 101.
(2) Der Endpunkt-Beurteilungs-Client 101 sammelt Informatio¬ nen über den Status des Betriebssystems und der Anwen- dungsprogramme entsprechend einer Vorgabe der Status- Vereinbarung und übermittelt einen daraus generierten Endpunkt-Status an den Credential-Provider 103. (2) The end point judging client 101 collects Informatio ¬ nen on the status of the operating system and the applications training programs according to a specification of the status agreement and transmits an endpoint status generated therefrom to the credential provider 103.
Zuvor könnte optional der Endpunkt-Beurteilungs-Client 102 die neueste Version der Endpunkt-Beurteilungs- Vereinbarung von dem Credential-Provider 103 oder von dem Endpunkt-Beurteilungs-Server 104 angefordert (und erhalten) haben. Previously, optionally, the endpoint assessment client 102 could have requested (and received) the most recent version of the endpoint assessment agreement from the credential provider 103 or from the endpoint assessment server 104.
(3) Der Credential-Provider 103 übermittelt einen Endpunkt- Status an den Endpunkt-Beurteilungs-Server und erhält die zugehörige Endpunkt-Klasse. (3) The credential provider 103 transmits an endpoint status to the endpoint assessment server and receives the associated endpoint class.
(4) Der Credential-Provider 103 stellt die Endpunkt-Klasse (z.B. als XML-Eintrag) in dem Token dem Benutzerendgerät 101 bereit. (4) The credential provider 103 provides the endpoint class (e.g., as an XML entry) in the token to the user terminal 101.
(5) Das Benutzerendgerät 101 sendet das Token zusammen mit einer Anfrage betreffend einen Dienst oder ein Programm an die Zugangskontrollkomponente 105. (5) The user terminal 101 sends the token to the access control component 105 together with a request regarding a service or a program.
(6) Die Zugangskontrollkomponente 105 überprüft das Token und trifft die Entscheidung über den Zugang zu einem Dienst 106 basierend auf der Identität des Benutzers, dem Authentifikations-Status und der Endpunkt-Klasse. (6) The access control component 105 checks the token and makes the decision about access to a service 106 based on the user's identity, the authentication status, and the endpoint class.
Die Zugangskontrollkomponente 105 ist hierfür vorzugs¬ weise mit der Zugangs-Kontroll-Vereinbarung konfiguriert, die das gleiche Klassifikations-Schema verwendet wie der Endpunkt-Beurteilungs-Server 104. The access control component 105 is for this preference ¬ example configured with the access-control arrangement, which uses the same classification scheme as the end point judgment server 104th
Um eine Zugangs-Kontroll-Vereinbarung, die eine Information "Endpunkt-Klasse" verwendet, erstellen zu können, kennt der Credential-Provider 103 vorzugsweise die Klas¬ sifikations-Vereinbarung, d.h. die Zuordnung zwischen dem Endpunkt-Status und der Endpunkt-Klasse. Somit besteht vorzugsweise eine Form des Informations¬ austausches oder einer Vereinbarung zwischen der Organisation (der der Benutzer zugeordnet ist) und dem Anbieter . To create an access-control agreement, which uses information "endpoint class", the credential provider 103 knows preferably the Klas ¬ sifikations agreement, that the association between the endpoint status and endpoint class. (Associated with the user) is thus preferably a form of information ¬ exchange or agreement between the organization and the provider.
Ein Vorteil dieser Option besteht darin, dass die Organisati¬ on vorgeben kann, welche Aspekte des Geräts für die Zugangs¬ kontrolle berücksichtigt werden sollen. Damit erhält die Or¬ ganisation zusätzliche Kontrolle über die Sicherheitsmecha- nismen, was insbesondere für sicherheitsrelevante Dienste und Daten der Organisation von Vorteil ist. One advantage of this option is that the Organisati ¬ one can specify which aspects of the device to be considered for the access control ¬. This gives the mechanisms Or ¬ tion additional control over the Sicherheitsmecha-, which is especially for safety-related services and data organizing advantage.
Hier werden beispielhaft zwei Optionen zur Beurteilung von Endpunkten, die auf über das Internet bereitgestellte Dienste zugreifen, beschrieben. Eine weitere Möglichkeit besteht dar¬ in, dass der Provider den Endpunkt-Beurteilungs-Server betreibt und die Organisation das Klassifikations-Schema und die Klassifikations-Vereinbarung bestimmt, die von dem Endpunkt-Beurteilungs-Server umgesetzt werden soll. By way of example, two options for assessing endpoints accessing services provided over the Internet are described herein. Another possibility is ¬ in that the provider operates the endpoint judgment server and the organization, the classification scheme and the classification agreement intended to be implemented from the end point judgment server.
Obwohl die Erfindung im Detail durch das mindestens eine ge¬ zeigte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht darauf eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen. Although the invention in detail by a ge ¬ showed embodiment has been illustrated and described in detail at least, so the invention is not limited to this and other variations can be derived therefrom by the skilled artisan without departing from the scope of the invention.

Claims

Patentansprüche claims
1. Verfahren zur Regelung eines Zugangs auf Daten oder Applikationen eines Netzwerks, 1. A method for regulating access to data or applications of a network,
- bei dem eine Berechtigungs-Information eines Endgeräts überprüft wird und  - In which an authorization information of a terminal is checked and
- bei dem anhand eines Endpunkt-Status des Endgeräts eine Endpunkt-Klasse bestimmt wird und der Zugang an¬ hand der Endpunkt-Klasse geregelt wird. - In which an end point class is determined based on an endpoint status of the terminal and the access is controlled ¬ hand the endpoint class.
2. Verfahren nach Anspruch 1, bei dem der Endpunkt-Status die Berechtigungs-Information aufweist. 2. The method of claim 1, wherein the endpoint status comprises the entitlement information.
3. Verfahren nach Anspruch 2, 3. The method according to claim 2,
- bei dem das Endgerät bei einer Berechtigungs- Bereitstellungsinstanz authentifiziert wird, in which the terminal is authenticated to an authorization provisioning entity,
- bei dem von der Berechtigungs-Bereitstellungsinstanz dem Endgerät die Berechtigungsinformation bereitgestellt wird. in which the authorization information is provided to the terminal by the authorization providing entity.
4. Verfahren nach Anspruch 3, 4. The method according to claim 3,
- bei dem von der Berechtigungs-Bereitstellungsinstanz einem Beurteilungs-Server der Endpunkt-Status bereitgestellt wird,  in which the authorization provisioning entity provides the endpoint status to a rating server,
- bei dem von dem Beurteilungs-Server basierend auf dem Endpunkt-Status die Endpunkt-Klasse bestimmt wird, in which the endpoint class is determined by the assessment server based on the endpoint status,
- bei dem die Endpunkt-Klasse der Berechtigungs- Bereitstellungsinstanz bereitgestellt wird, - where the endpoint class of the authorization deployment instance is deployed,
- bei dem dem Endgerät von der Berechtigungs- Bereitstellungsinstanz die Endpunkt-Klasse und die Berechtigungs-Information bereitgestellt werden, in which the endpoint class and the authorization information are provided to the terminal by the authorization provisioning entity,
- bei dem von dem Endgerät die Endpunkt-Klasse und die Berechtigungs-Information an eine Zugangskontrolle übermittelt werden und - in which the end-point class and the authorization information are transmitted from the terminal to an access control, and
- bei dem von der Zugangskontrolle basierend auf der Endpunkt-Klasse und der Berechtigungs-Information der Zugang des Endgeräts geregelt wird. - in which the access control of the terminal based on the endpoint class and the authorization information, the access of the terminal is regulated.
5. Verfahren nach Anspruch 3, 5. The method according to claim 3,
- bei dem von dem Endgerät der Endpunkt-Status und die Berechtigungs-Information an eine Zugangskontrolle übermittelt werden,  in which the terminal transmits the endpoint status and the authorization information to an access control,
- bei dem von der Zugangskontrolle einem Beurteilungs- Server der Endpunkt-Status bereitgestellt wird, - providing access point to an assessment server's endpoint status,
- bei dem von dem Beurteilungs-Server basierend auf dem Endpunkt-Status die Endpunkt-Klasse bestimmt wird,in which the endpoint class is determined by the assessment server based on the endpoint status,
- bei dem von dem Beurteilungs-Server der Zugangskontrolle die Endpunkt-Klasse bereitgestellt wird,in which the endpoint class is provided by the access control assessment server,
- bei dem von der Zugangskontrolle basierend auf der Endpunkt-Klasse und der Berechtigungs-Information der Zugang des Endgeräts geregelt wird. - in which the access control of the terminal based on the endpoint class and the authorization information, the access of the terminal is regulated.
6. Verfahren nach einem der Ansprüche 4 oder 5, bei dem 6. The method according to any one of claims 4 or 5, wherein
mittels einer Klassifikations-Vereinbarung die Endpunkt- Klasse basierend auf dem Endpunkt-Status ermittelt wird.  Using a classification agreement, the endpoint class is determined based on the endpoint status.
7. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der Endpunkt-Status anhand einer Status-Vereinbarung bestimmt wird. 7. The method according to any one of the preceding claims, wherein the endpoint status is determined based on a status agreement.
8. Verfahren nach einem der vorhergehenden Ansprüche, bei dem auf dem Endgerät ein Endgerät-Beurteilungs-Client ausgeführt wird, der den Endpunkt-Status bestimmt. 8. The method according to any one of the preceding claims, wherein on the terminal, a terminal assessment client is executed, which determines the end point status.
9. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der Endpunkt-Status mindestens eine der folgenden Informationen umfasst: 9. The method of claim 1, wherein the endpoint status comprises at least one of the following information:
- Status und/oder Version einer Software,  - status and / or version of software,
- Status und/oder Version eines Virenschutzprogramms , - status and / or version of an anti-virus program,
- Zustand und/oder Version eines Betriebssystems - State and / or version of an operating system
- Zustand und/oder Version einer Anwendung, die auf dem Gerät installiert ist oder dort ausgeführt wird.  - State and / or version of an application installed or running on the device.
10. Vorrichtung zur Regelung eines Zugangs auf Daten oder Applikationen eines Netzwerks umfassend eine Verarbei¬ tungseinheit, die derart eingerichtet ist, dass - eine Berechtigungs-Information eines Endgeräts überprüfbar ist und 10. A device for controlling an access to data or applications on a network comprising a proces ¬ processing unit which is set up such that - An authorization information of a terminal is verifiable and
- anhand eines Endpunkt-Status des Endgeräts eine End¬ punkt-Klasse bestimmt wird und der Zugang anhand der Endpunkt-Klasse geregelt wird. - Based on an endpoint status of the terminal an end ¬ point class is determined and the access is controlled by the endpoint class.
System oder Computernetzwerk umfassend mindestens eine Vorrichtung gemäß Anspruch 10. System or computer network comprising at least one device according to claim 10.
Computerprogrammprodukt, das direkt in einen Speicher eines digitalen Computers ladbar ist, umfassend Pro¬ grammcodeteile die dazu geeignet sind, Schritte des Ver fahrens gemäß einem der Ansprüche 1 bis 9 durchzuführen A computer program product directly loadable into a memory of a digital computer, comprising program code Pro ¬ parts which are capable of driving to perform the steps of the Ver according to any of claims 1 to 9
PCT/EP2012/063808 2011-08-04 2012-07-13 Access control for data or applications of a network WO2013017394A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102011080467A DE102011080467A1 (en) 2011-08-04 2011-08-04 Access control for data or applications of a network
DE102011080467.6 2011-08-04

Publications (1)

Publication Number Publication Date
WO2013017394A1 true WO2013017394A1 (en) 2013-02-07

Family

ID=46516747

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2012/063808 WO2013017394A1 (en) 2011-08-04 2012-07-13 Access control for data or applications of a network

Country Status (2)

Country Link
DE (1) DE102011080467A1 (en)
WO (1) WO2013017394A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10686957B2 (en) * 2018-05-30 2020-06-16 Konica Minolta, Inc. Image processing apparatus and method of controlling the same

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9208299B2 (en) * 2013-03-09 2015-12-08 Intel Corporation Secure user authentication with improved one-time-passcode verification
US9313203B2 (en) 2013-03-15 2016-04-12 Symantec Corporation Systems and methods for identifying a secure application when connecting to a network
DE102013018596A1 (en) 2013-11-07 2015-05-07 Phoenix Contact Gmbh & Co. Kg Network system, coupling unit and method for operating a network system
CN106657214A (en) * 2016-09-14 2017-05-10 广东欧珀移动通信有限公司 Data migration method and terminal
EP3767505B1 (en) * 2019-07-18 2022-08-24 Siemens Aktiengesellschaft Method and system for providing security information for an application container for an industrial edge device

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011091313A1 (en) * 2010-01-22 2011-07-28 Interdigital Patent Holdings, Inc. Method and apparatus for trusted federated identity management and data access authorization

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011091313A1 (en) * 2010-01-22 2011-07-28 Interdigital Patent Holdings, Inc. Method and apparatus for trusted federated identity management and data access authorization

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
GEORGE COKER ET AL: "Principles of remote attestation", INTERNATIONAL JOURNAL OF INFORMATION SECURITY, SPRINGER, BERLIN, DE, vol. 10, no. 2, 23 April 2011 (2011-04-23), pages 63 - 81, XP019905825, ISSN: 1615-5270, DOI: 10.1007/S10207-011-0124-7 *
KAIN M ET AL: "SAML 2.0, ein Tutorium- Teil 1: Theorie", vol. 5/2007, 31 May 2007 (2007-05-31), pages 55 - 59, XP002598178, Retrieved from the Internet <URL:http://www.acando.de/Global/GER/fachartikel_ger/kain_keller_JS_05_07.pdf> [retrieved on 20100826] *
SANGSTER SYMANTEC H KHOSRAVI INTEL M MANI AVAYA K NARAYAN CISCO SYSTEMS J TARDO NEVIS NETWORKS P: "Network Endpoint Assessment (NEA): Overview and Requirements; rfc5209.txt", 20080601, 1 June 2008 (2008-06-01), XP015057204, ISSN: 0000-0003 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10686957B2 (en) * 2018-05-30 2020-06-16 Konica Minolta, Inc. Image processing apparatus and method of controlling the same

Also Published As

Publication number Publication date
DE102011080467A1 (en) 2013-02-07

Similar Documents

Publication Publication Date Title
DE112011101729B4 (en) Management of resource access
DE60205289T2 (en) System and method for secure radio transmission of configuration data
DE602004012870T2 (en) METHOD AND SYSTEM FOR USER AUTHENTICATION IN A USER-PROVIDER ENVIRONMENT
DE60308692T2 (en) METHOD AND SYSTEM FOR USER-DEFINED AUTHENTICATION AND UNIQUE REGISTRATION IN A FEDERALIZED ENVIRONMENT
DE60220718T2 (en) METHOD AND SYSTEM FOR SAFE TREATMENT OF ELECTRONIC BUSINESS ON THE INTERNET
DE112020000538T5 (en) FINE-GRAINED TOKEN-BASED ACCESS CONTROL
DE112012002741T5 (en) Identity and authentication procedures for the security of a cloud computing platform
DE112012003977T5 (en) Non-intrusive method and apparatus for automatically distributing security rules in a cloud environment
DE602004012300T2 (en) METHOD AND DEVICES FOR SCALABLE SAFE REMOTE DESKTOP ACCESS
DE102007012749A1 (en) Method and system for providing services to terminals
WO2013017394A1 (en) Access control for data or applications of a network
EP3764614B1 (en) Distributed authentication system
DE10296804T5 (en) Method and system for authorizing access to resources on a server
DE112011102224B4 (en) Identity mediation between client and server applications
DE102011077218B4 (en) Access to data stored in a cloud
WO2020229537A1 (en) Method for selectively configuring a container, and network arrangement
EP2575385A1 (en) Method for initializing and/or activation of at least one user account, for carrying out a transaction, and terminal
DE102014204344B4 (en) Authentication device, authentication system and authentication method
DE102012007217A1 (en) Information technology method for safe handling and safe processing of sensitive data for social security number, involves performing translation of sensitive data on placeholder data and vice versa to use services of private cloud
DE112021005026T5 (en) PERSISTENT SOURCE VALUES FOR ASSUMED ALTERNATIVE IDENTITIES
WO2008006889A2 (en) Method and arrangement for creating networks for accessing a public network
DE202016008055U1 (en) Secure configuration of cloud compute nodes
DE102005050336B4 (en) Method and arrangement for operating a security gateway
DE602004009570T2 (en) Policy and attribute-based access to a resource
DE202022101783U1 (en) Intelligent management system for securely connecting multiple mobile payment applications against security breaches

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12735870

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 12735870

Country of ref document: EP

Kind code of ref document: A1