[go: up one dir, main page]

DE10132648A1 - Authentifizierung,-verfahren und -system - Google Patents

Authentifizierung,-verfahren und -system

Info

Publication number
DE10132648A1
DE10132648A1 DE2001132648 DE10132648A DE10132648A1 DE 10132648 A1 DE10132648 A1 DE 10132648A1 DE 2001132648 DE2001132648 DE 2001132648 DE 10132648 A DE10132648 A DE 10132648A DE 10132648 A1 DE10132648 A1 DE 10132648A1
Authority
DE
Germany
Prior art keywords
authentication
access
data
data processing
processing network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE2001132648
Other languages
English (en)
Inventor
Wolfgang Kurz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
INDEVIS IT CONSULTING AND SOLU
Original Assignee
INDEVIS IT CONSULTING AND SOLU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by INDEVIS IT CONSULTING AND SOLU filed Critical INDEVIS IT CONSULTING AND SOLU
Priority to DE2001132648 priority Critical patent/DE10132648A1/de
Publication of DE10132648A1 publication Critical patent/DE10132648A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung betrifft eine Authentifizierungsvorrichtung zur Feststellung der Zugangsberechtigung in ein Datenverarbeitungsnetzwerk mit einer Gateway-Einrichtung zur Herstellung bzw. Aufrechterhaltung einer verschlüsselten Internetverbindung von einem Datenverarbeitungsnetzwerk zu einer externen Serverstation, in der individuelle Authentifizierungsvergleichsdaten abgelegt sind, wobei die Serverstation zum Vergleich von über die verschlüsselte Internetverbindung übersendeten Daten mit den abgelegten Authentifizierungsvergleichsdaten und zur Aussendung eines Zugangssignals ausgelegt ist. Die Authentifizierungsvorrichtung weist weiterhin zumindest eine Überprüfungseinrichtung auf, die mit der Gateway-Einrichtung verbunden ist und derart ausgestaltet ist, daß sie bei einer Benutzeranfrage zunächst zur Überprüfung der Zugangsberechtigung vom Benutzer zur Verfügung gestellte persönliche Authentifizierungsdaten an die Gateway-Einrichtung leitet, um dieser zu ermöglichen, eine verschlüsselte Internetanfrage an die externe Serverstation zu richten, und nur im Falle der Übereinstimmung der persönlichen Authentifizierungsdaten mit in der externen Serverstation abgelegten Authentifizierungsvergleichsdaten den Zugang zum Datenverarbeitungsnetzwerk zu ermöglichen. Die Erfindung betrifft weiterhin eine Serverstation zum Einsatz mit der erfindungsgemäßen Authentifizierungsvorrichtung, ein Authentifizierungssystem, das aus einer erfindungsgemäßen Authentifizierungsvorrichtung und einer ...

Description

  • Die Erfindung betrifft eine Authentifizierungsvorrichtung, ein Authentifizierungsverfahren, ein Authentifizierungssystem und eine damit einsetzbare Serverstation zur Feststellung der Zugangsberechtigung in ein Datenverarbeitungsnetzwerk.
  • Die meisten erfolgreich auf dem Markt operierenden Unternehmen verfügen über eine mehr oder weniger ausgeprägte EDV-Infrastruktur. In den letzten Jahren haben sich die Ansprüche und Möglichkeiten der EDV-Systeme stark gewandelt. Vor wenigen Jahren war es das Hauptziel eines Unternehmensnetzwerkes, teure Ressourcen wie Drucker und Festplatten gemeinsam zu nutzen. Unternehmenswichtige Daten waren immer in Papierform vorhanden, die Netzwerke wurden lediglich lokal genutzt, ein Datenaustausch über öffentliche Netze fand nicht statt.
  • Heute verfügen nahezu alle Unternehmen über E-Mail und Internetzugang. Unternehmenswichtige Daten befinden sich in technisch komplexen Datenbanken und sind nur über eine funktionierende EDV erreichbar. Die Vernetzung beschränkt sich nicht mehr auf den lokalen Standort, vielmehr werden Außenstellen, Zulieferer und Partner in die EDV-Infrastruktur mit einbezogen. Unternehmensdaten müssen, um mit der wirtschaftlichen Entwicklung Schritt zu halten, überall verfügbar sein.
  • Große Unternehmen beweisen schon seit Jahren, daß die globale Vernetzung und der Austausch von Daten über die Grenzen des Unternehmens hinaus möglich ist. Das Bedürfnis, wichtige Unternehmensdaten über öffentliche Netze, wie z. B. das Internet, verfügbar zu machen, wird in den nächsten Jahren auch im Mittelstand stark zunehmen.
  • Die Weiterentwicklungen von Groupware, Enterprise-Ressource-Planning- Systemen (ERP), Datenbanken und Messaging-Systemen bestätigen diesen Trend. All diese Systeme wurden in der jüngsten Vergangenheit mit Web-Schnittstellen bzw. Internetschnittstellen ausgestattet bzw. die Web-Funktionalität deutlich verbessert. Ziel dieser Entwicklung ist der Schutz von Daten gegenüber unberechtigtem Zugriff und damit die ortsungebundene Verfügbarkeit von Daten.
  • Immer sensiblere Daten werden der Informationstechnik anvertraut. Von der Verlässlichkeit und Sicherheit der Informationstechnik hängt dabei ab, ob zentrale Unternehmensbereiche sowie deren Steuerung funktionieren.
  • Um die mit dem Einsatz der Informationstechnik verbundenen Risiken hinreichend zu minimieren bzw. auszuschalten, müssen Sicherheitsfunktionen als integraler Bestandteil moderner Informationstechnik geschaffen werden.
  • Um die Vorteile einer optimierten Wertschöpfungskette im Rahmen der ortsungebundenen Verfügbarkeit von Daten nutzen zu können, werden in Zukunft vermehrt Mitarbeiter, Lieferanten, Geschäftspartner und Kunden von externen Standorten (von Zuhause, vom Kunden, mobil, . . .) auf Firmennetzwerke und ihre Daten zugreifen.
  • Sogenannte Firewalls, Access Router und VPNs (virtual private network) sollen den unberechtigten Zugriff von außen auf sensible Unternehmensdaten verhindern.
  • Trotzdem bedarf es eines wirkungsvollen Sicherheitssystems, um sich einerseits zuverlässig gegen unberechtigten Eintritt in das Firmennetzwerk von außen zu schützen, und um andererseits den Anwender mit den eigenen Sicherheitsrichtlinien nicht zu überfordern.
  • Auch im lokalen Firmennetzwerk selbst ist erhöhte Datensicherheit wünschenswert. Zu denken ist hier an die Erlangung vertraulicher Informationen, das Kopieren/Löschen von Kundendaten, Kopieren/Löschen von Firmeninformationen oder das beabsichtigte oder unbeabsichtigte Beenden oder Außerkraftsetzen des Systems durch Mitarbeiter, Kunden oder ehemalige Mitarbeiter.
  • Dazu werden oftmals Passwortsysteme eingesetzt, die jedoch ebenfalls einen Schwachpunkt darstellen können.
  • Das Front-End des Systems enthält die Software für die Schnittstelle zu den Kunden und anderen Diensten wie z. B. E-Mail-Dienste und externe Login- Verbindungen für Mitarbeiter oder Kunden über die Homepage eines Unternehmens. Die Back-End-Datenbank beinhaltet geistiges Eigentum, Kundeninformationen, Produktbestände und andere unternehmenseigene, sensible Daten. Um die oben beschriebenen Vorteile der Verfügbarkeit von Daten zu haben, ist eine sichere, funktionierende Verbindung von Front- und Back-End notwendig.
  • Diese Systeme - intern sowie extern - können aber in der Regel durch Eingabe eines Benutzernamens und Passwortes im Extremfall komplett administriert und somit umgangen werden. Passwörter werden in dem Moment, in dem Zugriff auf Unternehmensdaten von einem öffentlichen Netzwerk (Internet) aus ermöglicht werden soll, zu einem enormen Sicherheitsrisiko. Der Administrator bzw. Systemverantwortliche muß einerseits für den Zugriff auf das Firmennetzwerk Passwörter vergeben, die nicht zu erraten sind, andererseits muss er vermeiden, daß diese "schwierigen" Passwörter vom Benutzer notiert werden. Aber selbst ein "schwieriges" oder zufälliges Passwort stellt keine Sicherheit dar. Es gibt viele Möglichkeiten, Passwörter bei der Eingabe auszuspionieren und sich so unberechtigten Zugriff auf Unternehmensdaten zu verschaffen.
  • Verschiedene Anbieter von Sicherheitslösungen haben auf diese Problematik reagiert und verschiedene Lösungen entwickelt.
  • Eine grundlegende Rolle in der Netzwerksicherheit kommt der Authentizität des Benutzers, also dem Nachweis der Identität, zu. Nur wenn diese sichergestellt ist, können sichere Transaktionen im Intra- oder Internet realisiert werden.
  • Dazu werden bei bekannten Lösungen in den einzelnen Unternehmen Sicherheitsserver betrieben. Authentifizierungsdaten werden an den Sicherheitsserver gegeben und der Zugang nur dann ermöglicht, wenn die Authentifizierung erfolgreich ist. Die Unternehmen betreiben also jeweils ein eigenes Sicherheitssystem.
  • Solche eigenen Sicherheitssysteme können nur effektiv und ausreichend kostengünstig in großen Unternehmen arbeiten. Jedoch sind Authentifizierungssysteme auch in kleinen und mittelständischen Unternehmen wünschenswert. Mit wirtschaftlich vertretbaren Kosten können Unternehmen aus diesem Kreis ihre Daten jedoch nicht schützen und gleichzeitig dennoch, z. B. über das Internet, extern verfügbar machen.
  • Aufgabe der vorliegenden Erfindung ist es daher, eine Authentifizierungsvorrichtung, ein Authentifizierungsverfahren, ein Authentifizierungssystem und eine Serverstation anzugeben, die eine Authentifizierung für die Überprüfung der Zugangsberechtigung zu einem Netzwerk wirtschaftlich günstig auch für kleinere Anwender anzugeben, die kostengünstig sind und dennoch einen hohen Sicherheitsstandard garantieren können.
  • Diese Aufgabe wird mit einer Authentifizierungsvorrichtung mit den Merkmalen des Anspruches 1, einem Authentifizierungsverfahren mit den Merkmalen des Anspruches 8, einem Authentifizierungssystem mit den Merkmalen des Anspruches 7 und einer Serverstation mit den Merkmalen des Anspruches 6 gelöst. Bevorzugte Ausgestaltungen sind Gegenstand der jeweiligen Unteransprüche.
  • Die erfindungsgemäße Authentifizierungsvorrichtung zur Feststellung der Zugangsberechtigung in einem Datenverarbeitungsnetzwerk weist eine Gateway- Einrichtung auf, die zur Herstellung bzw. Aufrechterhaltung einer Internetverbindung zur Versendung verschlüsselter Daten von dem Datenverarbeitungsnetzwerk zu einer externen Serverstation dient, in der Authentifizierungsvergleichsdaten, vorzugsweise Passworte, Benutzernamen, PIN-Nummern und/oder Zugangscodes abgelegt sind, wobei die Serverstation zum Vergleich von über die verschlüsselte Internetverbindung von der Gateway-Einrichtung übersendete Daten mit den abgelegten Authentifizierungsvergleichsdaten und zur Aussendung eines Zugangssignales ausgelegt ist. Die erfindungsgemäße Authentifizierungsvorrichtung weist weiterhin eine Überprüfungseinrichtung auf, die mit der Gateway-Einrichtung verbunden ist und derart ausgestaltet ist, daß sie bei einer Benutzeranfrage auf Zugang zum Datenverarbeitungsnetzwerk zunächst zur Überprüfung der Zugangsberechtigung vom anfragenden Benutzer zur Verfügung gestellte persönliche Authentifizierungsdaten, vorzugsweise bestehend aus einem Passwort, einem Benutzernamen, einer PIN-Nummer und/oder einem Zugangsschlüssel an die Gateway- Einrichtung leitet, um dieser zu ermöglichen, eine verschlüsselte Internetabfrage an die externe Serverstation zu richten, und nur im Falle der Übereinstimmung der persönlichen Authentifizierungsdaten mit in der externen Serverstation abgelegten Authentifizierungsvergleichsdaten bei Erhalt eines von dieser erzeugten Zugangssignales den Zugang zum Datenverarbeitungsnetzwerk zu ermöglichen.
  • Die erfindungsgemäße Authentifizierungsvorrichtung ermöglicht also eine Abfrage, ob die vom Benutzer zur Verfügung gestellten persönlichen Authentifizierungsdaten zum Zugang berechtigen oder nicht. Die entsprechenden Authentifizierungsvergleichsdaten sind jedoch nicht im Datenverarbeitungsnetzwerk selbst notwendig, sondern werden bei einer externen Serverstation abgefragt. Es sind keine hohen Investitionen für Kauf, Implementierung und Administration von Sicherheitssystemen notwendig. Mehrere Unternehmen können sich eine hochwertige Sicherheitsressource im Outsourcingbetrieb teilen.
  • Bei dem Datenverarbeitungsnetzwerk kann es sich z. B. um einen Webserver handeln. Bei einer besonders vorteilhaften Ausgestaltung überprüft die Authentifizierungsvorrichtung jedoch die Zugangsberechtigung zu einem lokalen Datenverarbeitungsnetzwerk, wie es z. B. in einem Unternehmen implementiert ist.
  • Die Authentifizierungsvergleichsdaten sind individuell für das Datenverarbeitungsnetz und ggf. für die einzelnen Benutzer des jeweiligen Datenverarbeitungsnetzes. Für verschiedene Benutzer des Datenverarbeitungsnetzes können verschiedene Authentifizierungsvergleichsdaten abgelegt sein, die den Zugriff auf unterschiedliche Teile des Datenverarbeitungsnetzes erlauben.
  • Die Authentifizierungsvergleichsdaten können zeitlich veränderlich sein, so daß ein Benutzer abhängig von dem Zugriffszeitpunkt andere persönliche Authentifizierungsdaten zur Verfügung stellen muß.
  • Zur Verschlüsselung der Internetabfrage an die Serverstation weist z. B. die Gateway-Einrichtung oder die Überprüfungseinrichtung entsprechende Verschlüsselungsmittel auf.
  • Die Gateway-Einrichtung und die Überprüfungseinrichtung können in einer Einheit zusammengefaßt sein. Um mehrere Überprüfungseinheiten, die von verschiedenen Punkten aus angesprochen werden können, zur Verfügung zu haben, kann vorteilhafterweise vorgesehen sein, daß die Gateway-Einrichtung und die Überprüfungseinrichtung über das Datenverarbeitungsnetzwerk selbst miteinander verbunden sind.
  • Zumindest eine der Überprüfungseinrichtungen kann vorteilhafterweise mit dem Datenverarbeitungsnetzwerk derart verbunden sein, daß sie Benutzerzugangsberechtigungsanfragen aus dem Datenverarbeitungsnetzwerk selbst erhalten kann.
  • Diese Ausgestaltung ermöglicht eine Sicherung der internen Daten gegenüber beabsichtigtem oder unbeabsichtigtem Angriff z. B. von innerhalb eines Unternehmens. Bevor aus dem Datenverarbeitungsnetzwerk eine Anfrage z. B. an eine Speichereinheit gestattet wird, wird über die erfindungsgemäße Authentifizierungsvorrichtung eine Zugangsberechtigungsanfrage an die externe Serverstation gerichtet, um die Authentifizierung zu bestätigen.
  • Um sich gegen externe unberechtigte Zugriffe auf das Datenverarbeitungsnetzwerk und den darin implementierten Speicher zu schützen, ist es vorteilhaft, wenn die Überprüfungseinrichtung eine Schnittstelle für externe Benutzerzugangsanfragen umfaßt. So kann von einem Benutzer extern auf das Datenverarbeitungsnetz und die im darin ggf. implementierten Speicher abgelegten Daten zugegriffen werden. Der Benutzer richtet z. B. über das Internet oder über eine Telefonleitung eine Anfrage an die Überwachungseinrichtung, um Zugang zu dem Datenverarbeitungsnetz zu erhalten. Die Überprüfungseinheit schickt die vom Benutzer zur Verfügung gestellten persönlichen Authentifizierungsdaten an die Gateway-Einrichtung, die eine entsprechende verschlüsselte Internetanfrage an die externe Serverstation richtet. Ergibt sich durch Vergleich der persönlichen Authentifizierungsdaten mit Authentifizierungsvergleichsdaten, die in der Serverstation abgelegt sind, die Zugangsberechtigung, so erhält die Gateway-Einrichtung das entsprechende Zugangssignal, gibt dies an die Überprüfungseinheit weiter, die dem Benutzer dann den externen Zugriff auf das Datenverarbeitungsnetz gestattet.
  • Eine solche externe Benutzeranfrage kann z. B. von einem Webserver in einem öffentlichen Netz (z. B. dem Internet) erfolgen.
  • Eine erfindungsgemäße Serverstation zum Einsatz mit einer erfindungsgemäßen Authentifizierungsvorrichtung weist Speichermittel zur Ablage von Authentifizierungsvergleichsdaten, vorzugsweise Passwörtern, Benutzernamen, PIN-Nummern und/oder Zugangsschlüsseln, auf. Weiterhin ist eine Schnittstelle zu einer Internetverbindung vorgesehen, die verschlüsselte Daten aus einer Internetverbindung empfangen kann. Die erfindungsgemäße Serverstation weist weitherhin einen Prozessor zum Entschlüsseln der Daten und zum Vergleich der über die Schnittstelle erhaltenen persönlichen Authentifizierungsdaten mit den in den Speichermitteln abgelegten Authentifizierungsvergleichsdaten auf. Schließlich umfaßt die erfindungsgemäße Serverstation eine Signalerzeugungseinrichtung zur Erzeugung eines Zugangssignales, wenn die persönlichen Authentifizierungsdaten und Authentifizierungsvergleichsdaten übereinstimmen, sowie zur Weitergabe des Zugangssignales an die Schnittstelle. Dieses Zugangssignal kann ebenfalls verschlüsselt sein.
  • Die erfindungsgemäße externe Serverstation ermöglicht für mehrere Datenverarbeitungsnetzwerke die Überprüfung der Zugangsberechtigung eines Nutzers, der auf die Einrichtungen eines Datenverarbeitungsnetzes zugreifen möchte. Die erfindungsgemäße Serverstation kann für mehrere Datenverarbeitungsnetze eingesetzt werden, so daß diese nicht jeweils eigene Sicherheitsserver benötigen. Mit der erfindungsgemäßen Serverstation lassen sich die oben bereits mit Bezug zur erfindungsgemäßen Authentifizierungsvorrichtung geschilderten Vorteile erreichen.
  • Ein erfindungsgemäßes Authentifizierungssystem umfaßt eine erfindungsgemäße Authentifizierungsvorrichtung und eine erfindungsgemäße Serverstation.
  • Bei einem erfindungsgemäßen Authentifizierungsverfahren wird eine Benutzeranfrage, die persönliche Authentifizierungsdaten, vorzugsweise ein Passwort, einen Benutzernamen, eine PIN-Nummer und/oder einen Zugangsschlüssel, umfaßt, an ein Datenverarbeitungsnetzwerk in einer Überprüfungseinrichtung aufgenommen und zu einer Gateway-Einrichtung des Datenverarbeitungsnetzwerkes geleitet. Von der Gateway-Einrichtung werden die Daten der Benutzeranfrage verschlüsselt über eine Internetverbindung an eine externe Serverstation weitergegeben. Die Verschlüsselung kann z. B. in der Gateway-Einrichtung oder der Überprüfungseinrichtung erfolgen. Die externe Serverstation entschlüsselt die persönlichen Authentifizierungsdaten und vergleicht sie mit für das anfragende Datenverarbeitungsnetzwerk individuell gespeicherten Authentifizierungsvergleichsdaten. Im Fall der Übereinstimmung der Daten wird ein Zugangssignal ggf. verschlüsselt über eine Internetverbindung an die Gateway-Einrichtung gesendet. Die Gateway-Einrichtung übermittelt das Signal an die Überprüfungseinheit, die im Falle der vorhandenen Zugangsberechtigung dem Benutzer den Zugang zum Datenverarbeitungsnetzwerk gestattet.
  • Mit dem erfindungsgemäßen Authentifizierungsverfahren kann eine Authentifizierung auf kostengünstige und einfache Weise durchgeführt werden, wie sie bereits oben mit Bezug zu der erfindungsgemäßen Authentifizierungsvorrichtung beschrieben ist.
  • In der erfindungsgemäßen Serverstation befindet sich ein Speicher, in dem die individuellen Authentifizierungsvergleichsdaten für die einzelnen Datenverarbeitungsnetzwerke zur Authentifizierung hinterlegt sind. Ohne die richtigen Authentifizierungsdaten, z. B. Zugangsschlüssel, erhält weder ein Nutzer aus dem Datenverarbeitungsnetzwerk, noch ein externer Anwender Zugang zu den im Datenverarbeitungsnetzwerk gespeicherten Daten.
  • Weitere Einzelheiten und Vorteile der Erfindung werden nachfolgend anhand der in den Zeichnungen dargestellten Ausführungsbeispiele erläutert. Es zeigt dabei in schematischer Darstellung
  • Fig. 1 ein Sicherheitsnetzwerk mit einer Serverstation im Internet und
  • Fig. 2 ein Detail eines redundant ausgelegten Sicherheitsnetzwerkes.
  • Der Betrieb eines erfindungsgemäßen Authentifizierungssystemes mit einer erfindungsgemäßen Authentifizierungsvorrichtung und einer erfindungsgemäßen Serverstation wird zunächst allgemein beschrieben.
  • Die Sicherheitsserverstation (Security-Server) 10 ist die Management-Konsole. Sie überprüft die eingehenden Authentifizierungsanfragen und teilt der anfragenden Instanz mit, ob der Zugriff berechtigt ist oder nicht. Der Security-Server 10 ist auf verschiedenen Betriebssystemplattformen lauffähig und überprüft die Authentifizierungsdaten, insbesondere die Zugangsschlüssel. Er ist dazu ausgelegt, zehntausende Benutzer zeitgleich zu verwalten und zu bedienen.
  • Der Security-Server 10 wird zentral platziert. Möchte ein User 12, 13, 14 auf das Unternehmensnetzwerk 1 zugreifen, findet eine Abfrage über die Überprüfungseinheit 3 (Security-Agent) auf den Security-Server statt.
  • Die Überprüfungseinheit 3 (Security-Agent) fungiert als Zugangspunkt beim Kunden zum Security-ASP (Applicatin-Service-Provider)-Netzwerk. Sie ermöglicht die Zugangskontrolle von Firmennetzwerken, Web-Anwendungen und Betriebssystemen. Sie steht zwischen dem Benutzer 12, 13, 14 (User) und einer geschützten Ressource 4, 5, 6 und ermöglicht die Authentifizierung durch den Security-Server 10. Die Security-Agenten 3 können unternehmensspezifisch angepaßt werden und ausgewählte Bereiche der Organisation schützen.
  • Jeder Benutzer benötigt einen entsprechenden Zugangsschlüssel zum Netzwerk 1. Ein Zugang zum Netzwerk wird nur bei korrekter Anwendung des Zugangsschlüssels gewährt. Der Schlüssel muß im Besitz der Person sein.
  • Die zu sendenden Zugangscodes zwischen User 12, 13, 14 und Security-Server 10 sind ggf. verschlüsselt, ebenso die Zugangsschlüsselinformationen, Agenten/Server-Kommunikation, die Serverdatenbank und ggf. der Dialog mit einer Fernwartungsstation.
  • Die Authentifizierung erfolgt benutzerfreundlich, benötigt nur wenige Schritte und erfolgt innerhalb weniger Sekunden. Die dazu notwendige Software kann auf jedem zu sichernden Netzwerk installiert werden.
  • Der Benutzer 12, 13, 14 wird auf seinem Rechner vom Security-Agenten 3 aufgefordert, sich in einer Eingabemaske mit Benutzernamen und PIN oder Schlüsseldaten zu authentifizieren, um Zugang zum Unternehmensnetzwerk 1 zu erhalten. Danach erfolgt eine Abfrage 9 über das Internet an den Security-Server 10, ob die Zugangsdaten mit dem Benutzer übereinstimmen und der Netzwerkzugang wird ggf. gewährt.
  • Der Security-Server 10 befindet sich also nicht im lokalen Netz (LAN) 1. Um einen lokalen Zugang zum Netzwerk 1 zu erhalten, erfolgt eine Authentifizierung gegen das Internet auf dem Security-Server 10.
  • Die beim Kunden installierte Gateway-Einrichtung 8 baut eine hoch verschlüsselte Datenleitung 9 zum Security-Server 10 auf. Der Security-Agent 3 übermittelt nun die vom Anwender 12, 13, 14 eingegebenen Daten in verschlüsselter Form an den Security-Server 10. Diese über das Internet bestehende Verbindung 9 ist redundant ausgelegt, so daß der Dienst auch bei Ausfall eines Internet-Service-Providers verfügbar bleibt.
  • In der Datenbank des Security-Servers 10 läßt sich jeder Anwender eindeutig identifizieren. Durch den verschlüsselten Zugang zum lokalen Netzwerk erhält der jeweilige User-Rechner einen "Antwortcode" und wird an das lokale Netzwerk 1 angemeldet.
  • Diese Form der Authentifizierung läßt sich beliebig oft in verschiedene Netzwerkstrukturen im lokalen Netzwerk einbauen. Somit können genau definierte Bereiche im Zugang wirksam beschränkt werden.
  • Die Funktionsweise der erfindungsgemäßen Auführungsform, die in den Figuren dargestellt ist, wird im folgenden im Detail erläutert.
  • In Fig. 1 ist ein Sicherheits-ASP-Netzwerk 1 dargestellt. Das Kunden-LAN 1 (Local Area Network) stellt ein Netzwerk beispielhaft dar. Die darin enthaltenen Clientrechner 2 haben über den Security-Agenten 3 Zugriff auf die Daten im Mainframe 4, in der Database 5 oder dem Webserver 6. Der Security-Agent 6 startet über das Intranet 7 eine Abfrage über die Security-Gateway 8 durch einen verschlüsselten Datentunnel durch das Internet 9 auf dem Security-Server 10, der durch eine Firewall 11 geschützt ist. Der Security-Server 10 stellt die Authentizität des Clients 2 fest und ermöglicht durch Rücksendung eines Zugangscodes an den Security- Agent 3 im LAN 1 dem Client 2 den Zugang zu den Datenservern 4, 5 und 6 über das Intranet 7.
  • Remote-User 12 (mobile Mitarbeiter) haben die Möglichkeit, über eine SSL (Secure Socket Layer)-Leitung 15 durch das Internet 16 eine Verbindung zum Security- Agent 3 aufzubauen, sich dort über das Intranet 7 und die Security-Gateway 8 über den verschlüsselten Datentunnel 9 durch das Internet auf dem Security-Server 10, der durch eine Firewall 11 geschützt ist, zu authentifizieren, um über den RAS (Remote Access Server) 17 über das Intranet 7 Zugang zu den Datenservern 4, 5 und 6 zu erhalten.
  • Andere Remote-User 13 (mobile Mitarbeiter) haben die Möglichkeit, über ein Dial- Up-Network 19 (Telefonleitungsnetzwerk) eine Verbindung zum Security-Agent 3 aufzubauen, sich dort über das Intranet 7 und die Security-Gateway 8 über den verschlüsselten Datentunnel 9 durch das Internet auf dem Security-Server 10, der durch eine Firewall 11 geschützt ist, zu authentifizieren, um über ein VPN (Virtual Private Network) 19 über das Intranet 7 Zugang zu den Datenservern 4, 5 und 6 zu erhalten.
  • Internet-User 14 (z. B. Kunden) haben die Möglichkeit, über das Internet 16 eine Verbindung zum Security-Agent 3 aufzubauen, sich dort über das Intranet 7 und die Security-Gateway 8 über den verschlüsselten Datentunnel 9 durch das Internet auf dem Security-Server 10, der durch eine Firewall 11 geschützt ist, zu authentifizieren, um über das Intranet 7 Zugang zu den Datenservern 4, 5 und 6 zu erhalten.
  • Fig. 2 zeigt ein redundant ausgelegtes Sicherheits-ASP-Netzwerk. Die Nutzer im jeweiligen LAN 20 erhalten nur Netzwerkzugang, wenn sie sich authentifizieren. Der Authentifizierungsvorgang erfolgt wie in Fig. 1 detailliert beschrieben über eine Gateway 21 an den Security-Server 22 und 23. Der Security-Server ist jeweils ein redundant ausgelegter Cluster-Server 24. Die Security-Server sind über ein VPN (Virtual Private Network) 25 miteinander verbunden. Wenn einer der Security- Server 23 oder 24 ausfällt, übernimmt der jeweils andere Security-Server 24 oder 23 den Authentifizierungsdienst, um weiterhin eine erfolgreiche Authentifizierung der Nutzer 20 am Security-Server 23 oder 24 zu ermöglichen. Die Security-Server 23 und 24 werden über eine Security-Server-Management-Konsole 26 verwaltet.
  • Mit der Erfindung ist es möglich, sich intern am Client-Rechner für den Zugriff auf ein LAN (Local Area Network) zu authentifizieren. Dabei wird zusätzlich die Möglichkeit für den Kunden geboten, sich extern von jedem beliebigen internetfähigen Rechner über die eigene Homepage oder ein Dial-Up-Network am Firmennetzwerk mittels einer "Strong User Authentication" (Zwei-Faktoren-Authentifizierung) anzumelden und so die Sicherheitslücke der statischen Passwörter (Ein-Faktor- Authentifizierung) zu umgehen. Der Zugriff auf geschützte Internetinhalte mittels schwacher Passwörter ist damit erschwert.
  • Die Security-Authentifizierung im ASP (Application Service Provider)-Betrieb stellt eine signifikante Verbesserung im Security-Markt dar. Eine Benutzerauthentifizierung war bisher nur lokal möglich. Im ASP-Betrieb teilen sich zahlreiche Unternehmen ein hochwertiges System zur Benutzerauthentifizierung. Im Rahmen von Outsourcing wird die Autorisierungsinstanz (Authentisierungsserver) von mehreren Unternehmen genutzt. Die Zugangsdaten werden über das Internet in höchst verschlüsselten Datenleitungen in Sekundenbruchteilen zum Security-Server übermittelt. Erst bei Übereinstimmung und Abgleich mit der Serverdatenbank von Benutzername, PIN und/oder Zugangsschlüssel wird dem Benutzer Zugang zu seinem Netzwerk gewährt.

Claims (10)

1. Authentifizierungsvorrichtung zur Feststellung der Zugangsberechtigung zu einem Datenverarbeitungsnetzwerk (1) mit
einer Gateway-Einrichtung (8) zur Herstellung bzw. Aufrechterhaltung einer Internetverbindung (9) zum verschlüsselten Datentransport von dem Datenverarbeitungsnetzwerk (1) zu einer externen Serverstation (10), in der individuelle Authentifizierungsvergleichsdaten, vorzugsweise Passworte, Benutzernamen, PIN-Nummern und/oder Zugangsschlüssel, abgelegt sind, wobei die Serverstation zum Vergleich von über die verschlüsselte Internetverbindung von der Gateway-Einrichtung (8) übersendeten Daten mit den abgelegten Authentifizierungsvergleichsdaten und zur Aussendung eines Zugangssignales ausgelegt ist,
zumindest einer Überprüfungseinrichtung (3), die mit der Gateway- Einrichtung (8) verbunden ist und derart ausgestaltet ist, daß sie bei einer Benutzerzugangsanfrage auf Zugang zum Datenverarbeitungsnetzwerk (1) zunächst zur Überprüfung der Zugangsberechtigung vom Benutzer zur Verfügung gestellte persönliche Authentifizierungsdaten, vorzugsweise bestehend aus einem Passwort, einem Benutzernamen, einer PIN-Nummer und/oder einem Zugangsschlüssel, an die Gateway- Einrichtung (8) leitet, um dieser zu ermöglichen, eine verschlüsselte Internetabfrage an die externe Serverstation (10) zu richten, und nur bei Erhalt eines von dieser erzeugten Zugangssignales im Falle der Übereinstimmung der persönlichen Authentifizierungsdaten mit in der externen Serverstation (10) abgelegten Authentifizierungsvergleichsdaten den Zugang zum Datenverarbeitungsnetzwerk (1) zu ermöglichen.
2. Authentifizierungsvorrichtung nach Anspruch 1, bei der die Gateway- Einrichtung (8) und die zumindest eine Überprüfungseinrichtung (3) über das Datenverarbeitungsnetzwerk (1) miteinander verbunden sind.
3. Authentifizierungsvorrichtung nach einem der Ansprüche 1 oder 2, bei der die zumindest eine Überprüfungseinrichtung (3) derart mit dem Datenverarbeitungsnetzwerk (1) verbunden ist, daß sie Benutzeranfragen aus dem Datenverarbeitungsnetzwerk (1) erhalten kann.
4. Authentifizierungsvorrichtung nach einem der Ansprüche 1 bis 3, bei der die zumindest eine Überprüfungseinrichtung (3) eine Schnittstelle für externe Benutzeranfragen umfaßt.
5. Authentifizierungsvorrichtung nach einem der Ansprüche 1 bis 4, die der Feststellung der Zugangsberechtigung zu einem lokalen Datenverarbeitungsnetzwerk (LAN) dient.
6. Serverstation zum Einsatz mit einer Authentifizierungsvorrichtung nach einem der Ansprüche 1 bis 5, mit
Speichermitteln zur Ablage von Authentifizierungsvergleichsdaten, vorzugsweise bestehend aus Passwörtern, Benutzernamen, PIN-Nummern und/oder Zugangsschlüsseln,
einer Schnittstelle zu einer lnternetverbindung (9) zum Empfang verschlüsselter persönlicher Authentifizierungsdaten,
einem Prozessor zum Entschlüsseln und Vergleichen von über die Schnittstelle erhaltenen persönlichen Authentifizierungsdaten mit in den Speichermitteln abgelegten Authentifizierungsvergleichsdaten, und
einer Signalerzeugungseinrichtung zur Erzeugung eines Zugangssignales, wenn die persönlichen Authentifizierungsdaten mit Authentifizierungsvergleichsdaten in den Speichermitteln übereinstimmen, und dessen Weitergabe an die Schnittstelle.
7. Authentifizierungssystem bestehend aus einer Authentifizierungsvorrichtung nach einem der Ansprüche 1 bis 5 und einer Serverstation nach Anspruch 6.
8. Authentifizierungsverfahren, bei dem eine Benutzeranfrage an ein Datenverarbeitungsnetzwerk (1), die persönliche Authentifizierungsdaten, vorzugsweise ein Passwort, einen Benutzernamen, eine PIN-Nummer und/oder einen Zugangsschlüssel umfaßt, in einer Überprüfungseinrichtung (3) aufgenommen wird und zu einer Gateway-Einrichtung (8) des Datenverarbeitungsnetzwerkes (1) geleitet wird, von der Gateway-Einrichtung (8) verschlüsselt an eine Internetverbindung (9) weitergegeben wird, die die persönlichen Authentifizierungsdaten an eine externe Serverstation (10) weitergibt, und die externe Serverstation (10) die persönlichen Authentifizierungsdaten mit individuellen gespeicherten Authentifizierungsvergleichsdaten vergleicht und nur im Falle von deren Übereinstimmung ein Zugangssignal an eine Internetverbindung (9) weitergibt, die das Zugangssignal an die Gateway-Einrichtung (8) übermittelt, die das Zugangssignal an die Überprüfungseinheit (3) gibt, die daraufhin dem Benutzer (12, 13, 14) den Zugang zum Datenverarbeitungsnetzwerk (1) ermöglicht.
9. Authentifizierungsverfahren nach Anspruch 8, bei dem die Überprüfungseinrichtung (3) Benutzeranfragen aus dem Datenverarbeitungsnetzwerk (1) und/oder externe Benutzeranfragen an die Gateway-Einrichtung weiterleitet.
10. Authentifizierungsverfahren nach einem der Ansprüche 8 oder 9, bei dem die Zugangsberechtigung zu einem lokalen Datenverarbeitungsnetzwerk (LAN) geprüft wird.
DE2001132648 2001-07-05 2001-07-05 Authentifizierung,-verfahren und -system Withdrawn DE10132648A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2001132648 DE10132648A1 (de) 2001-07-05 2001-07-05 Authentifizierung,-verfahren und -system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2001132648 DE10132648A1 (de) 2001-07-05 2001-07-05 Authentifizierung,-verfahren und -system

Publications (1)

Publication Number Publication Date
DE10132648A1 true DE10132648A1 (de) 2003-01-16

Family

ID=7690739

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2001132648 Withdrawn DE10132648A1 (de) 2001-07-05 2001-07-05 Authentifizierung,-verfahren und -system

Country Status (1)

Country Link
DE (1) DE10132648A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006042953A1 (de) * 2006-09-13 2008-03-27 Siemens Ag Steuereinrichtung

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006042953A1 (de) * 2006-09-13 2008-03-27 Siemens Ag Steuereinrichtung

Similar Documents

Publication Publication Date Title
DE19960977B4 (de) System für ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Datenabruf
DE19960978B4 (de) Verfahren zum Steuern des Zugriffs auf in einem Datenarchivsystem gespeicherte elektronische Datendateien
DE60119834T2 (de) Verfahren und System für gesicherte Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel
DE69835416T2 (de) Verfahren zur sicheren ausführung eines fernmeldebefehls
DE60214632T2 (de) Multidomäne Berechtigung und Authentifizierung
DE602004003518T2 (de) Verfahren und System zum legalen Abfangen von Paketvermittlungsnetzwerkdiensten
EP3764614B1 (de) Verteiltes authentifizierungssystem
EP1290530B1 (de) Verschlüsseln von abzuspeichernden daten in einem iv-system
DE60220718T2 (de) Verfahren und system zur sicheren behandlung von elektronischen geschäften im internet
DE112018003825T5 (de) Blockchain-berechtigungsprüfung mittels hard/soft-token-überprüfung
DE202009019188U1 (de) Authentifizierung von sicheren Transaktionen
WO2003013167A1 (de) Vorrichtung zur digitalen signatur eines elektronischen dokuments
EP1777907B1 (de) Vorrichtungen und Verfahren zum Durchführen von kryptographischen Operationen in einem Server-Client-Rechnernetzwerksystem
DE102011077218A1 (de) Zugriff auf in einer Cloud gespeicherte Daten
EP3596709A1 (de) Verfahren zur zugangskontrolle
WO2002095637A2 (de) Verfahren zum erbringen von diensten in einem datenübertragungsnetz und zugehörige komponenten
DE60122828T2 (de) Vorrichtung und Verfahren zur Erzeugung eines Unterschriftszertifikats in einer Infrastruktur mit öffentlichen Schlüsseln
DE60300661T2 (de) Initialisierung der Sicherheitsinformation in einem Netzwerkgerät
EP3376419A1 (de) System und verfahren zum elektronischen signieren eines dokuments
DE102013105781A1 (de) Verfahren zur Adressierung, Authentifizierung und sicheren Datenspeicherung in Rechnersystemen
EP3958527A1 (de) Authentisierung eines kommunikationspartners an einem gerät
DE10251408A1 (de) Sicherer und vermittelter Zugriff für E-Dienste
DE10132648A1 (de) Authentifizierung,-verfahren und -system
EP2723111B1 (de) Mehrfaktor-Authentifikation für mobile Endgeräte
DE60205176T2 (de) Vorrichtung und Verfahren zur Benutzerauthentisierung

Legal Events

Date Code Title Description
8139 Disposal/non-payment of the annual fee