[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

WO2013017394A1 - Zugangsregelung für daten oder applikationen eines netzwerks - Google Patents

Zugangsregelung für daten oder applikationen eines netzwerks Download PDF

Info

Publication number
WO2013017394A1
WO2013017394A1 PCT/EP2012/063808 EP2012063808W WO2013017394A1 WO 2013017394 A1 WO2013017394 A1 WO 2013017394A1 EP 2012063808 W EP2012063808 W EP 2012063808W WO 2013017394 A1 WO2013017394 A1 WO 2013017394A1
Authority
WO
WIPO (PCT)
Prior art keywords
endpoint
status
terminal
access
class
Prior art date
Application number
PCT/EP2012/063808
Other languages
English (en)
French (fr)
Inventor
Monika Maidl
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2013017394A1 publication Critical patent/WO2013017394A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6236Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Definitions

  • the invention relates to a method and a device for regulating access to data or applications of a network. Furthermore, a corresponding system or a computer program product are proposed.
  • the term "cloud computing” describes an approach to provide abstracted information technology (IT) infrastructures (for example computing capacity, data storage, network capacities or even finished software) dynamically adapted to the needs via a network. From the user's point of view, the infrastructure provided seems remote and opaque, as if wrapped in a "cloud”.
  • IT information technology
  • a part of the IT landscape is no longer operated, or (in this context about hardware such as data center, data storage and software) on the user side provided the user at the site, but rented as a service, for example when one or more providers, with the ⁇ se Provider may be located geographically distant.
  • the applications or data are no longer (only) on the local computer or a (corporate) data center, but in the "cloud", hereinafter referred to as cloud.
  • the cloud can be part of the Internet or include this.
  • Cloud computing offers the opportunity to offer network-based applications in new business models. Services in the cloud can be provided at various levels:
  • Cloud Computing uses data centers that are either concentrated in one location or used to provide flexible len services distributed can be interconnected. These machines are running virtual machines. The customers load data (eg pictures) in the
  • the customer gets access to a platform that holds the egg ⁇ nen the infrastructure for the provision of a service as well as certain software components (eg, middleware) environmentally by which services can be created.
  • the service thus created is for example, a Web application ⁇ .
  • a cloud provider (also referred to as a cloud provider) offers a web-based application that the customer uses via his browser.
  • documents or data records can be created or edited by the customer via the browser.
  • the outsourcing of applications and data can pose a security threat, because data and documents are stored in the cloud provider and - depending on the type of cloud or implementation of the service - there also proces ⁇ tet (ie this data is in the cloud accessed).
  • SAML short A Security Assertion Markup Language (SAML short) is be ⁇ known as an XML framework for exchanging authentication and authorization information rungs-. It provides functions to describe and transmit safety-related information. When developing SAML, the following use cases were considered:
  • SAML includes so-called SAML assertions, a SAML protocol, SAML bindings, and profiles.
  • SAML assertions are transferred from an identity provider to a service provider.
  • the SAML assertions is statements ( "Statements") / provider uses the service to determine whether access should be allowed.
  • the following types of statements are used by SAML:
  • Attributes Statements Zusiche ⁇ tion that a subject S has an attribute A with ei ⁇ nem value a has (for a distributed Transakti ⁇ on / authorization).
  • network endpoint assessment Network Endpoint Assessment
  • RFC 5209 An approach for assessing network endpoints (NEA: “Network Endpoint Assessment” here also referred to as network endpoint assessment) according to RFC 5209 is known [http://tools.ietf.Org/html//rfc5209] .
  • network endpoints can be classified and evaluated and it Based on such an assessment, access to networks at OSI layers 2 and 3 can be controlled.
  • corporate networks eg so-called intranets
  • intranets corporate networks
  • the devices gain access to the company network or to what ⁇ separate network within the corporate network the device is connected.
  • ISPs Internet service providers
  • the network end point judgment is not carried out at the application layer, for example, when it is on services of the Internet, for example by means of a network browser ⁇ accessed;
  • access control usually takes place via an authentication by means of user name and password.
  • Such services protect against misuse by requiring users to authenticate themselves (at the application level).
  • a service may be compromised or misused by malicious software running on a user's computer (so-called "malware", including, for example, viruses, Trojans, etc.), with correspondingly negative effects on users and operators.
  • malicious software including, for example, viruses, Trojans, etc.
  • malicious software could be at ⁇ wenderrechner also suitable on the attack the service itself.
  • SAML provides a framework for exchanging authentication and authorization information.
  • the user authenticates with an entity providing a credential or token (e.g., an electronic trademark for access or access).
  • a credential or token e.g., an electronic trademark for access or access
  • This instance is also called a token provider.
  • the token provider may be e.g. to be the user's company (or an independent third party).
  • the user receives a time-limited token (i.e., a SAML assertion) containing identity information, other attributes, and the type of authentication mechanism used.
  • the token has the format of an XML file.
  • a server checks the user's token and grants access if the token could be verified.
  • An infrastructure for a known Network Endpoint Assessment includes:
  • a NEA client which is provided on the user's device and determines the device's properties, eg an update status (patch level) or a virus protection status (eg if an antivirus program is installed and if so in which version this virus Protection program installed or if the correct virus protection program is installed);
  • a NEA server in the network e.g., a RADIUS
  • the object of the invention is to avoid the abovementioned disadvantage and, in particular, to provide a solution in order to increase the security of services that are stored in a network, in particular a cloud, and the data stored there.
  • a method for regulating access to data or applications of a network
  • the authorization information may, for example, be authentication information of a user (at the terminal) or the terminal.
  • the endpoint status is preferably the status of the terminal.
  • access control may be for different data or applications (e.g., programs) that are at least partially stored in or run on the network.
  • the network can be the Internet or any cloud. Access is e.g. from a user terminal (e.g., a computer or a telephone).
  • a user terminal e.g., a computer or a telephone.
  • computers a variety of devices are suitable, e.g. a workstation, a notebook, a portable device, a device with a radio interface
  • ⁇ play can not access, carried out limited access or full access to the resources of the network.
  • the access here also includes, by way of example, access to such resources of the network.
  • access may be regulated depending on the endpoint status and any associated user status (if the user has authenticated at the endpoint).
  • access may be regulated depending on the endpoint status and any associated user status (if the user has authenticated at the endpoint).
  • access may only a specific part of the network, for example certain predefined data and / or applications, depending on the endpoint class and / or the endpoint status.
  • the authorization information can be checked and then the endpoint class can be determined or, conversely, the terminal point class and then the authorization information is checked.
  • the present approach allows service providers to consider not only the identity of the user or the terminal, but also a network endpoint assessment, that is, an endpoint assessment of the user equipment for deciding whether or not access should occur.
  • a network endpoint assessment that is, an endpoint assessment of the user equipment for deciding whether or not access should occur.
  • the service provider can effectively restrict access to such devices that meet a certain specification, e.g. include a particular version of an update software or other program (e.g., an anti-virus program).
  • the endpoint has the status Be ⁇ computationally tists information.
  • the terminal is authenticated to an authorization provisioning entity and
  • the authorization information is provided by the authorization providing entity to the terminal.
  • the authorization information may be, for example, a token that is valid for a predetermined period of time.
  • the authorization deployment instance can be exemplified in the following embodiment as a credential Pro ⁇ vider designated component.
  • the authorization provisioning entity provides the endpoint status to a rating server
  • the endpoint class is determined by the assessment server based on the endpoint status
  • the access control provides an assessment server with the endpoint status
  • the endpoint class is determined by the assessment server based on the endpoint status
  • the endpoint class is provided by the access control assessment server
  • the judging server is preferably an endpoint judging server.
  • the judging server performs a network endpoint judgment according to a classification scheme and determines an endpoint class based on the classification scheme.
  • Example ⁇ as may be divided, the classification scheme in "easy", “medium” and “high”.
  • the endpoint class will play as stored in ⁇ in XML. It is also a further development that the endpoint class is determined based on the endpoint status by means of a classi ⁇ fikations agreement. An assignment of an endpoint status to the endpoint class is determined, for example, by means of a classification agreement.
  • the endpoint status is determined by means of a status agreement.
  • an endpoint status structure can be specified in an XML schema and referred to as a status agreement.
  • An endpoint assessment agreement can be used to define actions for the endpoint assessment client according to a given status agreement.
  • a next development is that a terminal assessment client is executed on the terminal, which determines the endpoint status.
  • the terminal assessment client may initiate, take over, or coordinate the communications described herein with the terminal, the authorization providing entity, and / or the access control.
  • the endpoint status Minim ⁇ least includes the following information:
  • the above object is also achieved by means of a device for regulating access to data or applications. on a network comprising a processing unit which is set up such that
  • An authorization information of a terminal is verifiable and
  • an end ⁇ point class is determined and the access is controlled by the endpoint class.
  • the processing unit may be a processor unit and / or an at least partially hard-wired or logical circuit arrangement, which is set up, for example, such that the method can be carried out as described herein.
  • Said processing unit may be or include any type of processor or computer or computer with correspondingly necessary peripherals (memory, input / output interfaces, input / output devices, etc.).
  • the above explanations regarding the method apply to the device accordingly.
  • the device may be implemented in one component or distributed in several components.
  • angebun ⁇ eg, the Internet
  • Computer network proposed comprising at least one of the devices described herein.
  • the solution presented herein further includes a computer program product directly loadable into a memory of a digital computer comprising program code portions adapted to perform steps of the method described herein. Furthermore, the above-mentioned problem is solved by means of a computer-readable storage medium, eg of any memory, comprising computer-executable instructions (eg in the form of program code) which are suitable for the computer performs steps of the method described herein.
  • FIG. 1 is a schematic diagram illustrating a network endpoint assessment provided to a credential provider
  • Fig. 2 is a schematic diagram based on Fig. 1, wherein the assessment of the endpoint may be performed by an organization associated with the user or terminal of the user (e.g., a company where the user is employed).
  • the present proposal uses the following (functional) components:
  • An endpoint assessment client This is, for example, a program that runs on the user's device and this beur ⁇ shares. Different In ⁇ formations or states can be detected and stored, for example:
  • This information corresponds to a status of the endpoint (here the user's device) and is stored, for example, in a document or in a file. Before ⁇ geous this may be an XML document (XML: Extensible Markup Language to German: “extensible Auszeich ⁇ voltage language”) are used.
  • a structure of endpoint status in an XML Schema (also referred to as a state policy) referred to ⁇ .
  • An endpoint assessment agreement (also referred to as an endpoint assessment policy) may be used to define actions for the endpoint assessment client according to a predetermined status agreement.
  • the end point judgment server performs a network endpoint assessment in accordance with a classification scheme and determines an end point class basie ⁇ rend on the classification scheme.
  • the classification scheme may be divided into "simple”, “medium” and "high”.
  • the endpoint class will vomit chert ⁇ example, in XML.
  • An assignment of an endpoint status at the end ⁇ point class is a classification agreement (also referred to as a classification policy) set.
  • Credential Provider for simplicity's sake:
  • the credential provider receives the endpoint status from the endpoint assessment client running on the device.
  • the credential provider may also be used to obtain the current version of the endpoint assessment agreement from the endpoint assessment server and transmit it to the endpoint assessment client.
  • the credential provider requests a classification of the endpoint status from the endpoint assessment server.
  • the credential provider provides information about the endpoint, for example, by means of a token generated by it.
  • the token designated deputy ⁇ kicking any kind provided by the Credential Provider is available in this example an authority.
  • two options can be distinguished:
  • the credential provider can use the
  • the full endpoint status as determined by the endpoint assessment Client was provided as an XML entry in the token.
  • An access control component An access control component:
  • the access control component of the service receives the token and verifies its signature. If the signature is successfully verified, decides thecontentskon ⁇ troll component if and to what extent access should be granted (in which access may also be an example access to data or applications).
  • access can be restricted.
  • the access can be limited to certain components or data or can be specified that only certain actions are allowed.
  • the decision on the extent of access is based on the information contained in the authorization, e.g. the identity, the authentication status, and / or the endpoint class.
  • an endpoint class "simply” indicate ⁇ that access to a read-only access will be limited and may only be on such components or data that are intended for general public access.
  • Admi ⁇ trators can be obtained to a plurality of or to all components or data by means of an end point class "high" full access.
  • FIG. 1 is a schematic diagram illustrating a network endpoint assessment provided to a credential provider 103.
  • a user authenticates with the credential provider 103 via a user terminal 101.
  • An endpoint judging client 102 running on the user terminal 101 collects information about the status of the operating system and the application programs according to a specification of a status agreement, and transmits an end point status generated therefrom to the credential provider 103.
  • the endpoint assessment client 102 could have requested (and received) the most recent version of an endpoint assessment agreement from the credential provider 103 or from an endpoint assessment server 104.
  • the credential provider 103 provides an endpoint status (eg, as an XML entry) in a token to the user terminal 101.
  • the user terminal 101 sends the token along with a request regarding a service or a program to an access control component 105.
  • the access control component 105 checks the token, extracts the endpoint status, and transmits it to the endpoint judgment server 104.
  • the endpoint assessment server 104 assigns the endpoint status to an endpoint class and transmits that endpoint class to the access control component 105.
  • the access control component 105 makes the decision-making ⁇ on access to a service 106 based on the user's identity, the authentication status and endpoint class.
  • the access control component 105 is for this preference ⁇ , with an access-control store (also referred to as the access-control policy) is configured using the same classification scheme as the end point judgment server 104th
  • the endpoint judgment server 104 is operated, for example, by the service provider who can set the classification scheme and the access control agreement according to his requirements, i. depending on factors that are crucial for the decision on access (and the type of access).
  • Figure 2 is a schematic diagram based on Figure 1 wherein the endpoint assessment may be performed by an organization associated with the user (e.g., a company employing the user).
  • an organization associated with the user e.g., a company employing the user.
  • a user authenticates with the credential provider 103 via a user terminal 101.
  • the end point judging client 101 collects Informatio ⁇ nen on the status of the operating system and the applications training programs according to a specification of the status agreement and transmits an endpoint status generated therefrom to the credential provider 103.
  • the endpoint assessment client 102 could have requested (and received) the most recent version of the endpoint assessment agreement from the credential provider 103 or from the endpoint assessment server 104.
  • the credential provider 103 transmits an endpoint status to the endpoint assessment server and receives the associated endpoint class.
  • the credential provider 103 provides the endpoint class (e.g., as an XML entry) in the token to the user terminal 101.
  • the user terminal 101 sends the token to the access control component 105 together with a request regarding a service or a program.
  • the access control component 105 checks the token and makes the decision about access to a service 106 based on the user's identity, the authentication status, and the endpoint class.
  • the access control component 105 is for this preference ⁇ example configured with the access-control arrangement, which uses the same classification scheme as the end point judgment server 104th
  • the credential provider 103 knows preferably the Klas ⁇ s Budapest Service, that the association between the endpoint status and endpoint class. (Associated with the user) is thus preferably a form of information ⁇ exchange or agreement between the organization and the provider.
  • Organisati ⁇ one can specify which aspects of the device to be considered for the access control ⁇ . This gives the mechanisms Or ⁇ tion additional control over thebocuri-, which is especially for safety-related services and data organizing advantage.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Es wird eine Zugangskontrolle auf Daten und Anwendungen, die z.B. in einer Cloud gespeichert sind, vorgeschlagen, die auf der Identität eines Benutzers bzw. Endgeräts und auf einem "Endpunkt-Status" des Endgeräts selbst basiert. Dies kombiniert die Möglichkeiten der Netzwerk-Endpunkt-Beurteilung (NEA) mit Daten und Anwendungsprogrammen, die in der Cloud liegen. So kann ein Dienstanbieter wirksam den Zugriff einschränken auf solche Geräte, die eine bestimmte Vorgabe erfüllen, z.B. eine bestimmte Version einer Aktualisierungssoftware oder ein sonstiges Programm (z.B. ein Virenschutzprogramm) enthalten. Dies erhöht die Sicherheit bezüglich der Datenverarbeitung in der Cloud. Der Ansatz funktioniert beispielsweise für Dokumentenmanagement als auch für in der Cloud ausgelagerte Datenbanken oder Applikationen. Die Erfindung kann für jede Art der verteilten Datenverarbeitung ein- gesetzt werden, in der die Daten oder Applikationen vor unberechtigten Zugriffen geschützt werden sollen.

Description

Beschreibung
Zugangsregelung für Daten oder Applikationen eines Netzwerks Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Regelung eines Zugangs zu Daten oder Applikationen eines Netzwerks. Weiterhin werden ein entsprechendes System bzw. ein Computerprogrammprodukt vorgeschlagen. Der Begriff "Cloud Computing" umschreibt einen Ansatz, abstrahierte informationstechnische (IT) Infrastrukturen (z.B. Rechenkapazität, Datenspeicher, Netzwerkkapazitäten oder auch fertige Software) dynamisch an den Bedarf angepasst über ein Netzwerk zur Verfügung zu stellen. Aus Sicht des Nutzers scheint die zur Verfügung gestellte Infrastruktur fern und undurchsichtig, wie in eine "Wolke" gehüllt.
Bei diesem Ansatz wird ein Teil der IT-Landschaft (in diesem Zusammenhang etwa Hardware wie Rechenzentrum, Datenspeicher sowie Software) nicht mehr auf Nutzerseite betrieben oder am Ort des Nutzers bereitgestellt, sondern beispielsweise bei einem oder mehreren Anbietern als Dienst gemietet, wobei die¬ se Anbieter geografisch entfernt angesiedelt sein können. Die Anwendungen oder Daten befinden sich nicht mehr (nur) auf dem lokalen Rechner oder einem (Firmen-) Rechenzentrum, sondern in der "Wolke", nachfolgend bezeichnet als Cloud. Die Cloud kann dabei Teil des Internets sein oder dieses umfassen.
Cloud Computing bietet die Möglichkeit, netzbasierte Anwen- düngen in neuen Geschäftsmodellen anzubieten. Dienstleistungen in der Cloud können dabei auf verschiedenen Ebenen zur Verfügung gestellt werden:
(a) Infrastruktur:
Ein potentieller Kunde "mietet" Rechenleistung, um seine eigenen Dienste zu realisieren. Cloud Computing nutzt hierzu Rechenzentren, die sich entweder konzentriert an einem Ort befinden, oder die zur Erbringung von flexib- len Diensten verteilt zusammengeschaltet sein können. Auf diesen Rechnern werden virtuelle Maschinen ausgeführt. Die Kunden laden Daten (z.B. Bilder) in die
Cloud, die Verarbeitung erfolgt ohne Benutzerinteraktion im Rechenzentrum.
(b) Plattform:
Der Kunde erhält Zugriff auf eine Plattform, die zum ei¬ nen die Infrastruktur für die Erbringung eines Dienstes als auch bestimmte Softwareteile (z.B. Middleware) um- fasst, mit deren Hilfe Dienste erstellt werden können. Der damit erstellte Dienst ist beispielsweise eine Web¬ applikation .
(c) Software:
Ein Cloud-Anbieter (auch bezeichnet als Cloud-Provider) bietet eine netzbasierte Applikation an, die der Kunde mittels seines Browsers nutzt. Dabei können von dem Kun¬ den über den Browser Dokumente oder Datensätze angelegt oder bearbeitet werden.
Die Auslagerung von Applikationen und Daten kann eine Sicherheitsbedrohung darstellen, denn Daten und Dokumente werden bei dem Cloud-Anbieter gespeichert und - je nach Typ der Cloud bzw. Implementierung des Dienstes - dort auch verarbei¬ tet (d.h. auf diese Daten wird auch in der Cloud zugegriffen) .
Eine Security Assertion Markup Language (kurz SAML) ist be¬ kannt als ein XML-Framework zum Austausch von Authentifizie- rungs- und Autorisierungsinformationen . Sie stellt Funktionen bereit, um sicherheitsbezogene Informationen zu beschreiben und zu übertragen. Bei der Entwicklung von SAML wurden die folgenden Anwendungsfälle berücksichtigt:
- Single Sign-on (ein Benutzer ist nach der Anmeldung an einer Webanwendung automatisch auch zur Benutzung von weiteren Anwendungen berechtigt) . - Verteilte Transaktionen (mehrere Benutzer arbeiten gemeinsam an einer Transaktion und teilen sich die Sicherheitsinformationen) .
- Autorisierungsdienste (die Kommunikation mit einem Dienst läuft über eine Zwischenstation, die die Be¬ rechtigung überprüft) .
Diese Dienste sollen vor allem für Webservices angeboten werden. SAML umfasst sogenannte SAML-Assertions , ein SAML- Protokoll, SAML-Bindings und Profile.
Derartige SAML-Assertions werden von einem Identity-Provider zu einem Service-Provider übertragen. Bei den SAML-Assertions handelt es sich um Aussagen ("Statements")/ die der Service- Provider nutzt, um zu entscheiden, ob ein Zugriff zugelassen werden soll. Die folgenden Typen von Aussagen werden von SAML genutzt :
- Authentifikations-Aussagen ( "Authentication Statements"): Zusicherung einer Authentifizierung für ein Subjekt S zu einer Zeit T mittels einer Methode M (für Single Sign-On) .
- Attribut-Aussagen ("Attribute Statements"): Zusiche¬ rung, dass ein Subjekt S über ein Attribut A mit ei¬ nem Wert a verfügt (für eine verteilte Transakti¬ on/Autorisierung) .
- Autorisierations-Entscheidungs-Aussagen ("Authoriza- tion Decision Statements"): Autorisierung bestimmter Ressourcen .
Details zu SAML sind z.B. Wikipedia unter
[http : //de . wikipedia .org/wiki/Security_Assertion_Markup_Langu age] entnehmbar.
Weiterhin ist ein Ansatz zu Beurteilung von Netzwerk- Endpunkten (NEA: "Network Endpoint Assessment" hier auch be- zeichnet als Netzwerk-Endpunkt-Beurteilung) gemäß RFC 5209 bekannt [http://tools.ietf.Org/html//rfc5209]. Demnach können Netzwerk-Endpunkte klassifiziert und beurteilt werden und es kann basierend auf einer derartigen Einschätzung ein Zugang zu Netzwerken auf OSI-Schicht 2 und 3 gesteuert werden.
In Firmennetzwerken (z.B. sogenannten Intranets) wird auf diese Art kontrolliert, welche Geräte Zugriff auf das Firmen¬ netzwerk erhalten bzw. zu welchem separaten Netzwerk innerhalb des Firmennetzwerks das Gerät verbunden wird.
Internetdienstanbieter (ISP = Internet Service Provider) ver- wenden die Netzwerk-Endpunkt-Beurteilung auf Client-Geräten für den Zugang zum Internet. Die Netzwerk-Endpunkt- Beurteilung erfolgt dabei nicht auf der Anwendungsschicht, z.B. wenn auf Dienste des Internets, z.B. mittels eines Netz¬ browsers, zugegriffen wird; dort (auf Anwendungsschicht) er- folgt die Zugriffskontrolle üblicherweise über eine Authenti- fikation mittels Benutzername und Kennwort.
Allerdings werden zunehmend Applikationen und Dienste über das Internet bzw. netzbasiert bereitgestellt, insbesondere anhand der eingangs erläuterten Cloud. Hierbei wird Software als ein Dienst z.B. über die Netzwerkschnittstelle des Inter¬ nets angeboten. Derartige Dienste werden vermehrt auch für sicherheitsrelevante, vertrauliche oder persönliche Daten verwendet, z.B. Online-Bankanwendungen.
Solche Dienste schützen sich gegen missbräuchliche Verwendung dadurch, dass die Benutzer sich (auf der Anwendungsebene) au- thentisieren müssen. Es besteht aber auch die Möglichkeit, dass ein Dienst durch auf einem Computer des Anwenders ablau- fende schädliche Software (sogenannte "Malware", umfassend z.B. Viren, Trojaner etc.) kompromittiert oder missbräuchlich verwendet wird, mit entsprechend negativen Auswirkungen auf Anwender und Betreiber. Ein Beispiel stellt derartige schäd¬ liche Software dar, die Passwörter oder PINs des Benutzers ausspäht, damit diese später missbräuchlich verwendet werden können. Andererseits könnte schädliche Software auf dem An¬ wenderrechner auch dazu geeignet sein, den Dienst selbst anzugreifen . Während zur Zeit die Authentisierung von Benutzern meist auf einer Eingabe von Benutzername und Passwort basiert, bietet SAML ein Rahmenwerk zum Austausch von Authentifizierungs- und Autorisierungsinformationen . Damit ist es möglich, die Authentifikation eines Benutzers von dem Dienstanbieter auf eine Organisation, der der Benutzer angehört (z.B. eine Firma, für die der Benutzer arbeitet oder bei der er angestellt ist) oder eine unabhängige dritte Partei, zu übertragen. Somit kann sich ein Benutzer durch eine einmalige Authentifikation bei mehreren Systemen und/oder Diensten anmeldet (Single- Sign-On) .
Das bekannte SAML-Rahmenwerk funktioniert wie folgt:
(a) Der Benutzer authentifiziert sich bei einer Instanz, die einen Berechtigungsnachweis bzw. ein Token (z.B. eine elektronische Marke für einen Zugriff oder Zugang) bereitstellt. Diese Instanz wird auch als Token-Provider bezeichnet. Bei dem Token-Provider kann es sich z.B. um die Firma des Benutzers (oder um eine unabhängige dritte Partei) handeln. Der Benutzer erhält ein zeitlich begrenztes Token (d.h. eine SAML-Assertion) das eine Identitätsinformation, sonstige Attribute und den Typ des verwendeten Authentifikationsmechanismus enthält. Das Token hat beispielsweise das Format einer XML-Datei.
(b) Der Benutzer fügt das Token einer Anfrage bei (z.B. einer http-Anfrage) , um auf den gewünschten Dienst zugrei¬ fen zu können.
(c) Ein Server überprüft das Token des Benutzers und gewährt den Zugriff, falls das Token verifiziert werden konnte.
Eine Infrastruktur für eine bekannte Netzwerk-Endpunkt- Beurteilung (NEA) umfasst:
(a) einen NEA-Client, der auf dem Gerät des Benutzers vorge- sehen ist und Eigenschaften des Geräts ermittelt, z.B. einen Aktualisierungsstatus (Patch-Level) oder einen Vi- renschutzstatus (z.B. ob ein Virenschutzprogramm installiert ist und ggf. in welcher Version dieses Viren- Schutzprogramm installiert bzw. ob das richtige Viren- schutzprogramm installiert ist) ;
(b) einen NEA-Server in dem Netzwerk (z.B. einen RADIUS-
Server) , der die von dem NEA-Client ermittelten Eigen- schaften erhält, verarbeitet und entscheidet, ob und ggf. welche Art des Zugangs gewährt werden soll.
Hierbei ist es von Nachteil, dass man Dienste im Internet nicht in analoger Weise durch eine Netwerk-Endpunkt- Beurteilung schützen kann.
Die Aufgabe der Erfindung besteht darin, den vorstehend ge¬ nannten Nachteil zu vermeiden und insbesondere eine Lösung zu schaffen, um die Sicherheit von in einem Netzwerk, insbeson- dere einer Cloud, laufenden Diensten und der dort gespeicherten Daten zu erhöhen.
Diese Aufgabe wird gemäß den Merkmalen der unabhängigen Ansprüche gelöst. Bevorzugte Ausführungsformen sind insbesonde- re den abhängigen Ansprüchen entnehmbar.
Zur Lösung der Aufgabe wird ein Verfahren angegeben zur Regelung eines Zugangs auf Daten oder Applikationen eines Netzwerks ,
- bei dem eine Berechtigungs-Information eines Endgeräts überprüft wird und
- bei dem anhand eines Endpunkt-Status des Endgeräts eine Endpunkt-Klasse bestimmt wird und der Zugang an¬ hand der Endpunkt-Klasse geregelt wird.
Bei der Berechtigungs-Information kann es sich beispielsweise um eine Authentisierungsinformation eines Benutzers (an dem Endgerät) oder des Endgeräts handeln. Ein Vorteil des vorliegenden Ansatzes besteht darin, es einem Dienstebetreiber zu ermöglichen, nicht nur den Benutzer zu authentisieren, sondern auch ausschließen zu können, dass Be- nutzer mit kompromittierten Geräten auf den Dienst zugreifen und dadurch sich oder den Dienst gefährden.
Bei dem Endpunkt-Status handelt es sich vorzugsweise um den Status des Endgeräts.
Grundsätzlich kann eine solche Regelung des Zugangs für unterschiedliche Daten oder Applikationen (z.B. Programme) erfolgen, die zumindest teilweise in dem Netzwerk gespeichert sind oder dort ablaufen. Bei dem Netzwerk kann es sich um das Internet oder um eine beliebige Cloud handeln. Der Zugriff erfolgt z.B. von einem Benutzerendgerät (z.B. einem Computer oder einem Telefon) . Als Computer kommen eine Vielzahl von Geräten in Frage, z.B. ein Arbeitsplatzrechner, ein Notebook, ein portables Gerät, ein Gerät mit einer Funkschnittstelle
(z.B. zu einem Mobilfunknetzwerk und/oder zu einem drahtlosen Netzwerk (WLAN) ) , ein Smartphone, ein Tablet-PC, ein Server, etc . Die Regelung des Zugangs kann dabei in Abhängigkeit von der Endpunkt-Klasse auf unterschiedliche Arten erfolgen: Bei¬ spielsweise kann kein Zugang, limitierter Zugang oder voller Zugang auf die Ressourcen des Netzwerks erfolgen. Der Zugang umfasst hierbei beispielhaft auch einen Zugriff auf derartige Ressourcen des Netzwerks. Bei dem limitierten Zugang kann z.B. abhängig von dem Endpunkt-Status und einem ggf. damit verbundenen Benutzerstatus (sofern sich der Benutzer an dem Endpunkt authentifiziert hat) der Zugang geregelt werden. Insbesondere ist es möglich, dass nur auf einen bestimmten Teil des Netzwerks, z.B. bestimmte vorgegebene Daten und/oder Applikationen ein Zugriff in Abhängigkeit von der Endpunkt- Klasse und/oder dem Endpunkt-Status erfolgt.
Hierbei sei ausdrücklich darauf hingewiesen, dass die obigen Merkmale keine zeitliche Abfolge festlegen: So kann z.B. die Berechtigungs-Information überprüft und dann die Endpunkt- Klasse bestimmt werden oder umgekehrt kann zuerst die End- punkt-Klasse bestimmt werden und dann die Berechtigungs- Information überprüft werden.
Der vorliegende Ansatz ermöglicht es Dienstanbietern nicht nur die Identität des Benutzers bzw. des Endgeräts, sondern auch eine Netzwerk-Endpunkt-Beurteilung, also eine Endpunktbeurteilung des Benutzergeräts für die Entscheidung, ob ein Zugang erfolgen soll oder nicht, zu berücksichtigen. Damit kann der Dienstanbieter wirksam den Zugriff einschränken auf solche Geräte, die eine bestimmte Vorgabe erfüllen, z.B. eine bestimmte Version einer Aktualisierungssoftware oder ein sonstiges Programm (z.B. ein Virenschutzprogramm) enthalten.
Dienste und Anwendungsprogramme, die derzeit über das Inter¬ net angeboten werden, verfügen über keinerlei Netzwerk- Endpunkt-Beurteilung, sondern verwenden lediglich eine Benut- zer-Authentifikation als Zugangs- bzw. Zugriffskontrolle.
Eine Weiterbildung ist es, dass der Endpunkt-Status die Be¬ rechtigungs-Information aufweist .
Eine andere Weiterbildung ist es, dass
- das Endgerät bei einer Berechtigungs- Bereitstellungsinstanz authentifiziert wird und
- von der Berechtigungs-Bereitstellungsinstanz dem Endgerät die Berechtigungsinformation bereitgestellt wird .
Bei der Berechtigungsinformation kann es sich z.B. um ein To- ken handeln, das für eine vorgegebene Zeitdauer gültig ist. Die Berechtigungs-Bereitstellungsinstanz kann die beispielhaft im nachfolgenden Ausführungsbeispiel als Credential Pro¬ vider bezeichnete Komponente sein.
Insbesondere ist es eine Weiterbildung, dass
- von der Berechtigungs-Bereitstellungsinstanz einem Beurteilungs-Server der Endpunkt-Status bereitge¬ stellt wird, - von dem Beurteilungs-Server basierend auf dem Endpunkt-Status die Endpunkt-Klasse bestimmt wird,
- die Endpunkt-Klasse der Berechtigungs- Bereitstellungsinstanz bereitgestellt wird,
- dem Endgerät von der Berechtigungs-
Bereitstellungsinstanz die Endpunkt-Klasse und die Berechtigungs-Information bereitgestellt werden,
- von dem Endgerät die Endpunkt-Klasse und die Berech¬ tigungs-Information an eine Zugangskontrolle übermit- telt werden und
- von der Zugangskontrolle basierend auf der Endpunkt- Klasse und der Berechtigungs-Information der Zugang des Endgeräts geregelt wird.
Auch ist es eine Weiterbildung, dass
- von dem Endgerät der Endpunkt-Status und die Berech¬ tigungs-Information an eine Zugangskontrolle übermit¬ telt werden,
- von der Zugangskontrolle einem Beurteilungs-Server der Endpunkt-Status bereitgestellt wird,
- von dem Beurteilungs-Server basierend auf dem Endpunkt-Status die Endpunkt-Klasse bestimmt wird,
- von dem Beurteilungs-Server der Zugangskontrolle die Endpunkt-Klasse bereitgestellt wird,
- von der Zugangskontrolle basierend auf der Endpunkt- Klasse und der Berechtigungs-Information der Zugang des Endgeräts geregelt wird.
Bei dem Beurteilungs-Server handelt es sich vorzugsweise um einen Endpunkt-Beurteilungs-Server. Der Beurteilungs-Server führt eine Netzwerk-Endpunkt-Beurteilung entsprechend eines Klassifikations-Schemas durch und bestimmt eine Endpunkt- Klasse basierend auf dem Klassifikations-Schema. Beispiels¬ weise kann das Klassifikations-Schema unterteilt sein in "einfach", "mittel" und "hoch". Die Endpunkt-Klasse wird bei¬ spielsweise in XML gespeichert. Ferner ist es eine Weiterbildung, dass mittels einer Klassi¬ fikations-Vereinbarung die Endpunkt-Klasse basierend auf dem Endpunkt-Status ermittelt wird. Eine Zuordnung eines Endpunkt-Status zu der Endpunkt-Klasse wird beispielsweise mittels einer Klassifikations- Vereinbarung festgelegt.
Im Rahmen einer zusätzlichen Weiterbildung wird der Endpunkt- Status anhand einer Status-Vereinbarung bestimmt.
So kann eine Struktur des Endpunktstatus in einem XML-Schema festgelegt sein und als eine Status-Vereinbarung bezeichnet werden. Eine Endpunkt-Beurteilungs-Vereinbarung kann verwen- det werden, um Aktionen für den Endpunkt-Beurteilungs-Client zu definieren entsprechend einer vorgegebenen Status- Vereinbarung .
Eine nächste Weiterbildung besteht darin, dass auf dem Endge- rät ein Endgerät-Beurteilungs-Client ausgeführt wird, der den Endpunkt-Status bestimmt.
Insbesondere kann der Endgerät-Beurteilungs-Client die hier beschriebenen Kommunikationen mit dem Endgerät, der Berechti- gungs-Bereitstellungsinstanz und/oder der Zugangskontrolle veranlassen, übernehmen oder koordinieren.
Eine Ausgestaltung ist es, dass der Endpunkt-Status mindes¬ tens eine der folgenden Informationen umfasst:
- Status und/oder Version einer Software,
- Status und/oder Version eines Virenschutzprogramms ,
- Zustand und/oder Version eines Betriebssystems
- Zustand und/oder Version einer Anwendung, die auf dem Gerät installiert ist oder dort ausgeführt wird.
Die vorstehende Aufgabe wird auch gelöst mittels einer Vor¬ richtung zur Regelung eines Zugangs auf Daten oder Applikati- onen eines Netzwerks umfassend eine Verarbeitungseinheit, die derart eingerichtet ist, dass
- eine Berechtigungs-Information eines Endgeräts überprüfbar ist und
- anhand eines Endpunkt-Status des Endgeräts eine End¬ punkt-Klasse bestimmt wird und der Zugang anhand der Endpunkt-Klasse geregelt wird.
Die Verarbeitungseinheit kann insbesondere eine Prozessorein- heit und/oder eine zumindest teilweise fest verdrahtete oder logische Schaltungsanordnung sein, die beispielsweise derart eingerichtet ist, dass das Verfahren wie hierin beschrieben durchführbar ist. Besagte Verarbeitungseinheit kann jede Art von Prozessor oder Rechner oder Computer mit entsprechend notwendiger Peripherie (Speicher, Input/Output- Schnittstellen, Ein-Ausgabe-Geräte, etc.) sein oder umfassen.
Die vorstehenden Erläuterungen betreffend das Verfahren gelten für die Vorrichtung entsprechend. Die Vorrichtung kann in einer Komponente oder verteilt in mehreren Komponenten ausgeführt sein. Insbesondere kann auch ein Teil der Vorrichtung über eine Netzwerkschnittstelle (z.B. das Internet) angebun¬ den sein. Weiterhin wird zur Lösung der Aufgabe ein System oder ein
Computernetzwerk vorgeschlagen umfassend mindestens eine der hier beschriebenen Vorrichtungen.
Die hierin vorgestellte Lösung umfasst ferner ein Computer- programmprodukt , das direkt in einen Speicher eines digitalen Computers ladbar ist, umfassend Programmcodeteile die dazu geeignet sind, Schritte des hier beschriebenen Verfahrens durchzuführen . Weiterhin wird das oben genannte Problem gelöst mittels eines computerlesbaren Speichermediums, z.B. eines beliebigen Speichers, umfassend von einem Computer ausführbare Anweisungen (z.B. in Form von Programmcode) die dazu geeignet sind, dass der Computer Schritte des hier beschriebenen Verfahrens durchführt .
Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden schematischen Beschreibung von Ausführungsbeispielen, die im Zusammenhang mit den Zeichnungen näher erläutert werden. Dabei können zur Übersichtlichkeit gleiche oder gleich wirkende Elemente mit gleichen Bezugszei¬ chen versehen sein.
Es zeigen: Fig.l ein schematisches Diagramm zur Veranschaulichung einer einem Credential-Provider bereitgestellten Netzwerk-Endpunkt-Beurteilung;
Fig.2 ein schematisches Diagramm basierend auf Fig.l, wobei die Beurteilung des Endpunkts von einer Organisation durchgeführt werden kann, der der Benutzer bzw. das Endgerät des Benutzers zugeordnet ist (z.B. von einer Firma, bei der der Benutzer angestellt ist) . Der vorliegende Vorschlag nutzt insbesondere die folgenden (funktionalen) Komponenten:
(A) Einen Endpunkt-Beurteilungs-Client: Hierbei handelt es sich beispielsweise um ein Programm, das auf dem Gerät des Benutzers abläuft und dieses beur¬ teilt. Dabei können beispielsweise unterschiedliche In¬ formationen oder Zustände festgestellt und gespeichert werden :
- Status und/oder Version einer Software (auch bezeichnet als "Patch-Level"),
- Status und/oder Version eines Virenschutzprogramms ,
- Zustand und/oder Version eines Betriebssystems - Zustand und/oder Version einer Anwendung, die auf dem Gerät installiert ist oder dort ausgeführt wird.
Diese Information entspricht einem Status des Endpunkts (hier des Geräts des Benutzers) und wird beispielsweise in ein Dokument oder in einer Datei abgespeichert. Vor¬ teilhaft kann hierfür ein XML-Dokument (XML: Extensible Markup Language, zu Deutsch: "erweiterbare Auszeich¬ nungssprache") verwendet werden.
So kann eine Struktur des Endpunktstatus in einem XML- Schema festgelegt sein und als eine Status-Vereinbarung (auch bezeichnet als eine Status-Policy) bezeichnet wer¬ den .
Eine Endpunkt-Beurteilungs-Vereinbarung (auch bezeichnet als eine Endpunkt-Beurteilungs-Policy) kann verwendet werden, um Aktionen für den Endpunkt-Beurteilungs-Client zu definieren entsprechend einer vorgegebenen Status- Vereinbarung .
(B) Einen Endpunkt-Beurteilungs-Server:
Der Endpunkt-Beurteilungs-Server führt eine Netzwerk- Endpunkt-Beurteilung entsprechend eines Klassifikations- Schemas durch und bestimmt eine Endpunkt-Klasse basie¬ rend auf dem Klassifikations-Schema. Beispielsweise kann das Klassifikations-Schema unterteilt sein in "einfach", "mittel" und "hoch".
Die Endpunkt-Klasse wird beispielsweise in XML gespei¬ chert. Eine Zuordnung eines Endpunkt-Status zu der End¬ punkt-Klasse wird durch eine Klassifikations- Vereinbarung (auch bezeichnet als eine Klassifikations- Policy) festgelegt.
(C) Eine Instanz zur Bereitstellung einer Berechtigung
und/oder eines Token ( "Berechtigungs- Bereitstellungsinstanz", fortan der Einfachheit halber bezeichnet als "Credential-Provider" ) :
Es wird vorgeschlagen, einen gemäß des SAML-Rahmenwerks bekannten Token-Provider (siehe Einleitung) zu erweitern, so dass dieser eine Berechtigung bzw. ein Token bereitstellt betreffend die Identität und die Authenti- fikation eines Benutzers, wie sie z.B. für einen Single- Sign-On-Mechanismus benötigt wird. Hierzu werden für den Credential-Provider insbesondere die folgenden Aufgaben vorgesehen :
- Der Credential Provider erhält den Endpunkt-Status von dem Endpunkt-Beurteilungs-Client, der auf dem Ge- rät ausgeführt wird. Der Credential Provider kann auch dazu eingesetzt werden, die aktuelle Version der Endpunkt-Beurteilungs-Vereinbarung von dem Endpunkt- Beurteilungs-Server zu beziehen und zu dem Endpunkt- Beurteilungs-Client zu übermitteln.
- Der Credential Provider fordert eine Klassifikation des Endpunkt-Status von dem Endpunkt-Beurteilungs- Server an. - Der Credential Provider stellt eine Information über den Endpunkt z.B. mittels eines von ihm generierten Token bereit. Hierbei bezeichnet das Token stellver¬ tretend jedwede Art einer Berechtigung, die in diesem Beispiel von dem Credential Provider zur Verfügung gestellt wird. Es können insbesondere zwei Optionen unterschieden werden:
Einerseits kann der Credential Provider die
Endpunkt-Klasse wie er sie von dem Endpunkt- Beurteilungs-Server erhalten hat, in Form eines XML-Eintrags in dem Token bereitstellen.
Andererseits kann der vollständige Endpunkt- Status, wie er von dem Endpunkt-Beurteilungs- Client erhalten wurde, als XML-Eintrag in dem Token bereitgestellt werden.
Eine Zugangskontrollkomponente:
Die Zugangskontrollkomponente des Dienstes erhält das Token und überprüft dessen Signatur. Ist die Signatur erfolgreich verifiziert, entscheidet die Zugangskon¬ trollkomponente ob und ggf. in welchem Umfang ein Zugang gewährt werden soll (bei dem Zugang kann es sich auch um einen Zugriff z.B. auf Daten oder Applikationen handeln) .
Insbesondere kann der Zugang mit Einschränkungen belegt werden. Beispielsweise kann der Zugang auf bestimmte Komponenten oder Daten beschränkt werden bzw. kann vorgegeben werden, dass nur bestimmte Aktionen erlaubt sind. Die Entscheidung über den Umfang des Zugangs basiert auf den in der Berechtigung enthaltenen Informationen, z.B. der Identität, dem Authentifizierungsstatus und/oder der Endpunkt-Klasse.
Beispielsweise kann eine Endpunkt-Klasse "einfach" an¬ zeigen, dass der Zugang auf einen lesenden Zugriff beschränkt werden soll und nur auf solche Komponenten oder Daten erfolgen darf, die für einen allgemeinen öffentlichen Zugriff bestimmt sind. Andererseits können Admi¬ nistratoren mittels einer Endpunkt-Klasse "hoch" vollen Zugriff zu einer Vielzahl von oder zu allen Komponenten oder Daten erhalten.
Falls das Token einen Endpunkt-Status anstelle einer Endpunkt-Klasse enthält, übermittelt die Zugangskon¬ trollkomponente beispielsweise den Endpunkt-Status an den Endpunkt-Beurteilungs-Server um die entsprechende Endpunkt-Klasse für diesen Endpunkt zu erhalten. Fig.l zeigt ein schematisches Diagramm zur Veranschaulichung einer einem Credential-Provider 103 bereitgestellten Netzwerk-Endpunkt-Beurteilung .
Nachfolgend werden einzelne Schritte dieser Netzwerk- Endpunkt-Beurteilung erläutert; die nachfolgend nummerierten Schritte (1) bis (5) finden sich entsprechend auch in der Fig.1.
(1) Ein Benutzer authentifiziert sich über ein Benutzerend¬ gerät 101 bei dem Credential-Provider 103.
(2) Ein auf dem Benutzerendgerät 101 ablaufender Endpunkt- Beurteilungs-Client 102 sammelt Informationen über den Status des Betriebssystems und der Anwendungsprogramme entsprechend einer Vorgabe einer Status-Vereinbarung und übermittelt einen daraus generierten Endpunkt-Status an den Credential-Provider 103.
Zuvor könnte optional der Endpunkt-Beurteilungs-Client 102 die neueste Version einer Endpunkt-Beurteilungs- Vereinbarung von dem Credential-Provider 103 oder von einem Endpunkt-Beurteilungs-Server 104 angefordert (und erhalten) haben.
(3) Der Credential-Provider 103 stellt einen Endpunkt-Status (z.B. als XML-Eintrag) in einem Token dem Benutzerendge¬ rät 101 bereit.
(4) Das Benutzerendgerät 101 sendet das Token zusammen mit einer Anfrage betreffend einen Dienst oder ein Programm an eine Zugangskontrollkomponente 105.
(5) Die Zugangskontrollkomponente 105 überprüft das Token, extrahiert den Endpunkt-Status und übermittelt diesen an den Endpunkt-Beurteilungs-Server 104. Der Endpunkt-Beurteilungs-Server 104 ordnet den Endpunkt-Status einer Endpunkt-Klasse zu und übermittelt diese Endpunkt-Klasse an die Zugangskontrollkomponente 105.
(6) Die Zugangskontrollkomponente 105 trifft die Entschei¬ dung über den Zugang zu einem Dienst 106 basierend auf der Identität des Benutzers, dem Authentifikations- Status und der Endpunkt-Klasse.
Die Zugangskontrollkomponente 105 ist hierfür vorzugs¬ weise mit einer Zugangs-Kontroll-Vereinbarung (auch bezeichnet als Zugangs-Kontroll-Policy) konfiguriert, die das gleiche Klassifikations-Schema verwendet wie der Endpunkt-Beurteilungs-Server 104.
Der Endpunkt-Beurteilungs-Server 104 wird beispielsweise von dem Dienstanbieter betrieben, der das Klassifikations-Schema und die Zugangs-Kontroll-Vereinbarung entsprechend seinen Anforderungen vorgegeben kann, d.h. in Abhängigkeit von Faktoren, die für die Entscheidung über den Zugang (und die Art des Zugangs) entscheidend sind.
Fig.2 zeigt ein schematisches Diagramm basierend auf Fig.l, wobei die Beurteilung des Endpunkts von einer Organisation durchgeführt werden kann, der der Benutzer zugeordnet ist (z.B. von einer Firma, bei der der Benutzer angestellt ist) .
Nachfolgend werden einzelne Schritte dieser Netzwerk- Endpunkt-Beurteilung erläutert; die nachfolgend nummerierten Schritte (1) bis (5) finden sich entsprechend auch in der Fig.2.
(1) Ein Benutzer authentifiziert sich über ein Benutzerend¬ gerät 101 bei dem Credential-Provider 103.
(2) Der Endpunkt-Beurteilungs-Client 101 sammelt Informatio¬ nen über den Status des Betriebssystems und der Anwen- dungsprogramme entsprechend einer Vorgabe der Status- Vereinbarung und übermittelt einen daraus generierten Endpunkt-Status an den Credential-Provider 103.
Zuvor könnte optional der Endpunkt-Beurteilungs-Client 102 die neueste Version der Endpunkt-Beurteilungs- Vereinbarung von dem Credential-Provider 103 oder von dem Endpunkt-Beurteilungs-Server 104 angefordert (und erhalten) haben.
(3) Der Credential-Provider 103 übermittelt einen Endpunkt- Status an den Endpunkt-Beurteilungs-Server und erhält die zugehörige Endpunkt-Klasse.
(4) Der Credential-Provider 103 stellt die Endpunkt-Klasse (z.B. als XML-Eintrag) in dem Token dem Benutzerendgerät 101 bereit.
(5) Das Benutzerendgerät 101 sendet das Token zusammen mit einer Anfrage betreffend einen Dienst oder ein Programm an die Zugangskontrollkomponente 105.
(6) Die Zugangskontrollkomponente 105 überprüft das Token und trifft die Entscheidung über den Zugang zu einem Dienst 106 basierend auf der Identität des Benutzers, dem Authentifikations-Status und der Endpunkt-Klasse.
Die Zugangskontrollkomponente 105 ist hierfür vorzugs¬ weise mit der Zugangs-Kontroll-Vereinbarung konfiguriert, die das gleiche Klassifikations-Schema verwendet wie der Endpunkt-Beurteilungs-Server 104.
Um eine Zugangs-Kontroll-Vereinbarung, die eine Information "Endpunkt-Klasse" verwendet, erstellen zu können, kennt der Credential-Provider 103 vorzugsweise die Klas¬ sifikations-Vereinbarung, d.h. die Zuordnung zwischen dem Endpunkt-Status und der Endpunkt-Klasse. Somit besteht vorzugsweise eine Form des Informations¬ austausches oder einer Vereinbarung zwischen der Organisation (der der Benutzer zugeordnet ist) und dem Anbieter .
Ein Vorteil dieser Option besteht darin, dass die Organisati¬ on vorgeben kann, welche Aspekte des Geräts für die Zugangs¬ kontrolle berücksichtigt werden sollen. Damit erhält die Or¬ ganisation zusätzliche Kontrolle über die Sicherheitsmecha- nismen, was insbesondere für sicherheitsrelevante Dienste und Daten der Organisation von Vorteil ist.
Hier werden beispielhaft zwei Optionen zur Beurteilung von Endpunkten, die auf über das Internet bereitgestellte Dienste zugreifen, beschrieben. Eine weitere Möglichkeit besteht dar¬ in, dass der Provider den Endpunkt-Beurteilungs-Server betreibt und die Organisation das Klassifikations-Schema und die Klassifikations-Vereinbarung bestimmt, die von dem Endpunkt-Beurteilungs-Server umgesetzt werden soll.
Obwohl die Erfindung im Detail durch das mindestens eine ge¬ zeigte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht darauf eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.

Claims

Patentansprüche
1. Verfahren zur Regelung eines Zugangs auf Daten oder Applikationen eines Netzwerks,
- bei dem eine Berechtigungs-Information eines Endgeräts überprüft wird und
- bei dem anhand eines Endpunkt-Status des Endgeräts eine Endpunkt-Klasse bestimmt wird und der Zugang an¬ hand der Endpunkt-Klasse geregelt wird.
2. Verfahren nach Anspruch 1, bei dem der Endpunkt-Status die Berechtigungs-Information aufweist.
3. Verfahren nach Anspruch 2,
- bei dem das Endgerät bei einer Berechtigungs- Bereitstellungsinstanz authentifiziert wird,
- bei dem von der Berechtigungs-Bereitstellungsinstanz dem Endgerät die Berechtigungsinformation bereitgestellt wird.
4. Verfahren nach Anspruch 3,
- bei dem von der Berechtigungs-Bereitstellungsinstanz einem Beurteilungs-Server der Endpunkt-Status bereitgestellt wird,
- bei dem von dem Beurteilungs-Server basierend auf dem Endpunkt-Status die Endpunkt-Klasse bestimmt wird,
- bei dem die Endpunkt-Klasse der Berechtigungs- Bereitstellungsinstanz bereitgestellt wird,
- bei dem dem Endgerät von der Berechtigungs- Bereitstellungsinstanz die Endpunkt-Klasse und die Berechtigungs-Information bereitgestellt werden,
- bei dem von dem Endgerät die Endpunkt-Klasse und die Berechtigungs-Information an eine Zugangskontrolle übermittelt werden und
- bei dem von der Zugangskontrolle basierend auf der Endpunkt-Klasse und der Berechtigungs-Information der Zugang des Endgeräts geregelt wird.
5. Verfahren nach Anspruch 3,
- bei dem von dem Endgerät der Endpunkt-Status und die Berechtigungs-Information an eine Zugangskontrolle übermittelt werden,
- bei dem von der Zugangskontrolle einem Beurteilungs- Server der Endpunkt-Status bereitgestellt wird,
- bei dem von dem Beurteilungs-Server basierend auf dem Endpunkt-Status die Endpunkt-Klasse bestimmt wird,
- bei dem von dem Beurteilungs-Server der Zugangskontrolle die Endpunkt-Klasse bereitgestellt wird,
- bei dem von der Zugangskontrolle basierend auf der Endpunkt-Klasse und der Berechtigungs-Information der Zugang des Endgeräts geregelt wird.
6. Verfahren nach einem der Ansprüche 4 oder 5, bei dem
mittels einer Klassifikations-Vereinbarung die Endpunkt- Klasse basierend auf dem Endpunkt-Status ermittelt wird.
7. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der Endpunkt-Status anhand einer Status-Vereinbarung bestimmt wird.
8. Verfahren nach einem der vorhergehenden Ansprüche, bei dem auf dem Endgerät ein Endgerät-Beurteilungs-Client ausgeführt wird, der den Endpunkt-Status bestimmt.
9. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der Endpunkt-Status mindestens eine der folgenden Informationen umfasst:
- Status und/oder Version einer Software,
- Status und/oder Version eines Virenschutzprogramms ,
- Zustand und/oder Version eines Betriebssystems
- Zustand und/oder Version einer Anwendung, die auf dem Gerät installiert ist oder dort ausgeführt wird.
10. Vorrichtung zur Regelung eines Zugangs auf Daten oder Applikationen eines Netzwerks umfassend eine Verarbei¬ tungseinheit, die derart eingerichtet ist, dass - eine Berechtigungs-Information eines Endgeräts überprüfbar ist und
- anhand eines Endpunkt-Status des Endgeräts eine End¬ punkt-Klasse bestimmt wird und der Zugang anhand der Endpunkt-Klasse geregelt wird.
System oder Computernetzwerk umfassend mindestens eine Vorrichtung gemäß Anspruch 10.
Computerprogrammprodukt, das direkt in einen Speicher eines digitalen Computers ladbar ist, umfassend Pro¬ grammcodeteile die dazu geeignet sind, Schritte des Ver fahrens gemäß einem der Ansprüche 1 bis 9 durchzuführen
PCT/EP2012/063808 2011-08-04 2012-07-13 Zugangsregelung für daten oder applikationen eines netzwerks WO2013017394A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102011080467A DE102011080467A1 (de) 2011-08-04 2011-08-04 Zugangsregelung für Daten oder Applikationen eines Netzwerks
DE102011080467.6 2011-08-04

Publications (1)

Publication Number Publication Date
WO2013017394A1 true WO2013017394A1 (de) 2013-02-07

Family

ID=46516747

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2012/063808 WO2013017394A1 (de) 2011-08-04 2012-07-13 Zugangsregelung für daten oder applikationen eines netzwerks

Country Status (2)

Country Link
DE (1) DE102011080467A1 (de)
WO (1) WO2013017394A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10686957B2 (en) * 2018-05-30 2020-06-16 Konica Minolta, Inc. Image processing apparatus and method of controlling the same

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9208299B2 (en) * 2013-03-09 2015-12-08 Intel Corporation Secure user authentication with improved one-time-passcode verification
US9313203B2 (en) * 2013-03-15 2016-04-12 Symantec Corporation Systems and methods for identifying a secure application when connecting to a network
DE102013018596A1 (de) 2013-11-07 2015-05-07 Phoenix Contact Gmbh & Co. Kg Netzwerksystem, Koppeleinheit und Verfahren zum Betreiben eines Netzwerksystems
CN106657214A (zh) * 2016-09-14 2017-05-10 广东欧珀移动通信有限公司 一种数据迁移的方法及终端
EP3767505B1 (de) * 2019-07-18 2022-08-24 Siemens Aktiengesellschaft Verfahren und system zur bereitstellung von sicherheitsinformationen über einen anwendungscontainer für ein industrielles edge-gerät

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011091313A1 (en) * 2010-01-22 2011-07-28 Interdigital Patent Holdings, Inc. Method and apparatus for trusted federated identity management and data access authorization

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011091313A1 (en) * 2010-01-22 2011-07-28 Interdigital Patent Holdings, Inc. Method and apparatus for trusted federated identity management and data access authorization

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
GEORGE COKER ET AL: "Principles of remote attestation", INTERNATIONAL JOURNAL OF INFORMATION SECURITY, SPRINGER, BERLIN, DE, vol. 10, no. 2, 23 April 2011 (2011-04-23), pages 63 - 81, XP019905825, ISSN: 1615-5270, DOI: 10.1007/S10207-011-0124-7 *
KAIN M ET AL: "SAML 2.0, ein Tutorium- Teil 1: Theorie", vol. 5/2007, 31 May 2007 (2007-05-31), pages 55 - 59, XP002598178, Retrieved from the Internet <URL:http://www.acando.de/Global/GER/fachartikel_ger/kain_keller_JS_05_07.pdf> [retrieved on 20100826] *
SANGSTER SYMANTEC H KHOSRAVI INTEL M MANI AVAYA K NARAYAN CISCO SYSTEMS J TARDO NEVIS NETWORKS P: "Network Endpoint Assessment (NEA): Overview and Requirements; rfc5209.txt", 20080601, 1 June 2008 (2008-06-01), XP015057204, ISSN: 0000-0003 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10686957B2 (en) * 2018-05-30 2020-06-16 Konica Minolta, Inc. Image processing apparatus and method of controlling the same

Also Published As

Publication number Publication date
DE102011080467A1 (de) 2013-02-07

Similar Documents

Publication Publication Date Title
DE112011101729B4 (de) Verwaltung von Ressourcenzugriff
DE60205289T2 (de) System und Verfahren zur gesicherte Funkübertragung von Konfigurationsdaten
DE602004012870T2 (de) Verfahren und system zur benutzerauthentifizierung in einer benutzer-anbieterumgebung
DE60220718T2 (de) Verfahren und system zur sicheren behandlung von elektronischen geschäften im internet
DE60308692T2 (de) Verfahren und system für benutzerbestimmte authentifizierung und einmalige anmeldung in einer föderalisierten umgebung
DE112020000538T5 (de) Feinkörnige zugriffskontrolle auf token-grundlage
DE112012002741T5 (de) Identitäts- und Berechtigungsprüfungsverfahren für die Sicherheit einer Cloud-Datenverarbeitungsplattform
DE112012003977T5 (de) Eingriffsfreies Verfahren und Vorrichtung zum automatischen Zuteilen von Sicherheitsregelnin einer Cloud-Umgebung
DE102007012749A1 (de) Verfahren und System zur Bereitstellung von Diensten für Endgeräte
EP3764614B1 (de) Verteiltes authentifizierungssystem
DE10296804T5 (de) Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server
WO2013017394A1 (de) Zugangsregelung für daten oder applikationen eines netzwerks
DE102011077218B4 (de) Zugriff auf in einer Cloud gespeicherte Daten
DE112011102224B4 (de) Identitätsvermittlung zwischen Client- und Server-Anwendungen
DE112022004486T5 (de) Schrittweises überprüfen von zugriffs-token
EP3970337A1 (de) Verfahren zum selektiven ausführen eines containers und netzwerkanordnung
DE112021005026T5 (de) Persistente quellwerte für angenommene alternative identitäten
EP2575385A1 (de) Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos, zum Durchführen einer Transaktion, sowie Endgerät
DE102014204344B4 (de) Authentifizierungsvorrichtung, Authentifizierungssystem und Authentifizierungsverfahren
DE102012007217A1 (de) IT-Verfahren für den sicheren Umgang mit Sensitiven Daten im Kontext des Cloud Computings
WO2008006889A2 (de) Verfahren und anordnung zur realisierung von zugangsnetzwerken zu einem öffentlichen netzwerk
DE602004009570T2 (de) Politik- und attribut-basierter Zugriff zu einem Betriebsmittel
DE202016008055U1 (de) Sichere Konfiguration von Cloud-Computerknoten
DE202022101783U1 (de) Intelligentes Managementsystem für die sichere Verbindung mehrerer mobiler Zahlungsanwendungen gegen Sicherheitslücken
DE102005050336B4 (de) Verfahren und Anordnung zum Betreiben eines Sicherheitsgateways

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12735870

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 12735870

Country of ref document: EP

Kind code of ref document: A1