DE10137693A1 - Unsichtbare Services - Google Patents
Unsichtbare ServicesInfo
- Publication number
- DE10137693A1 DE10137693A1 DE10137693A DE10137693A DE10137693A1 DE 10137693 A1 DE10137693 A1 DE 10137693A1 DE 10137693 A DE10137693 A DE 10137693A DE 10137693 A DE10137693 A DE 10137693A DE 10137693 A1 DE10137693 A1 DE 10137693A1
- Authority
- DE
- Germany
- Prior art keywords
- service
- connection
- client
- logon
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Bestehende Netzwerksysteme nach dem Client/Server-Prinzip erfordern für 24 h-Verfügbarkeit der Services die permanente Bereitstellung von freien Verbindungsendpunkten. Die große Anzahl von Services hat eine große Anzahl von freien Verbindungsendpunkten zur Folge, wobei jedr freie Verbindungsendpunkt einen potentiellen Angriffspunkt für böswillige Clients darstellt. Aufgabe der vorliegenden Erfindung ist es, Services nach dem Stand der Technik in Kommunikationssystemen abzusichern. DOLLAR A Die vorliegende Erfindung realisiert die unter 2.1 genannte Aufgabe durch triggerbare unsichtbare Services, welche während des normalen Betriebes absolut keine freien Verbindungsendpunkte bereitstellen und erst nach Empfang einer Aufforderung von einem Logon- oder Autorisierungsservice eines unabhängigen Logonsubsystems entweder für einen kurzen Zeitraum einen freien Verbindungsendpunkt VEPS für einen verbindungswilligen Client bereitstellen oder selbst eine Verbindung zu von einem verbindungswilligen Client bereitgestellten freien Verbindungsendpunkt VEPC aufbauen. Services, welche temporäre Verbindungsendpunkte bereitstellen, sind während des normalen Betriebes für Port-Scans unsichtbar. Services, welche selbst Verbindungen zu Clients aufbauen, stellen zu keinem Zeitpunkt freie Verbindungsendpunkte bereit und sind daher für Port-Scans absolut unsichtbar. In Netzwerken auf Basis von TCP/IP kann die Portnummer des freien Verbindungsendpunktes VEPS oder VEPC und/oder die einen Service ...
Description
Die Erfindung betrifft Kommunikationssysteme mit Services.
In modernen E-Commerce Netzwerken besteht häufig das Problem, daß bestimmte Ser
vices, einerseits für den Betrieb der E-Commerce-Infrastruktur zwingend erforderlich
sind und 24 h den Kunden zur Verfügung stehen müssen, die Services jedoch gleichzei
tig den Zugriff auf kostbare wirtschaftliche Daten erlauben, welche nur einer zahlenden
Kundschaft vorbehalten sein sollten. Dabei bieten E-Commerce-Systeme nach dem
Stand der Technik durch die große Anzahl permanent zur Verfügung stehender offenen
Verbindungsendpunkte der Server ständig offene Angriffspunkte für böswillige Angreifer.
Typische Angriffsstrategien reichen vom Ausspähen der User-Ids und Passwörtern bis
zu Denial-Of-Service kurz DOS-Attacken. Je nach Qualität der gehackten Daten können
die wirtschaftlichen Schäden von tolerabel bis existenzbedrohend für ein betroffenes
Unternehmen werden.
Ursache vieler geglückter Angriffe ist dabei die Tatsache, daß moderne Netzwerke nach
dem traditionellen Client/Server-Modell aufgebaut sind und viele Server-Einheiten zum
Teil eine sehr hohe Zahl von Server-Prozessen mit entsprechend vielen offenen Verbin
dungsendpunkten bereitstellen. Sobald ein Client sich mit einem freien Verbindungsend
punkt verbunden hat, erzeugt ein solcher Server nach dem Stand der Technik in der
Regel so schnell wie möglich einen neuen freien Verbindungsendpunkt, um den näch
sten Client annehmen zu können. Effektiv bedeutet dies, daß jeder Server fast perma
nent mindestens einen freien Verbindungsendpunkt zur Verfügung stellt.
Jeder freie Verbindungsendpunkt eines Servers stellt jedoch auch einen potentiellen
Angriffspunkt für einen böswilligen Client dar, so daß das Risiko eines Einbruches mit
zunehmender Anzahl von freien Verbindungsendpunkten zunimmt. Der Zugriff auf Ser
vices nach dem Stand der Technik wird typischerweise durch Firewalls geschützt, wel
che anhand von festgelegten Regeln Verbindungen zu selektierten freien
Verbindungsendpunkten festgelegter Server erlauben oder unterbinden können. Durch
die große Anzahl zu schützender freier Verbindungsendpunkte müssen Firewalls häufig
eine große Anzahl verschiedener Regeln bei jedem eintreffenden Datenpacket überprü
fen. Da jede Überprüfung einer Regel durch einen Firewall Zeit in Anspruch nimmt, ver
lieren Netzwerksysteme nach dem Stand der Technik durch die Überprüfung einer
großen Anzahl verschiedener Regeln in den Firewalls einen großen Teil der sonst mögli
chen Performance. Darüberhinaus erhöht sich mit zunehmender Anzahl von Regeln,
welche ein Firewall zu überprüfen hat, auch der Verwaltungsaufwand der Regeln selbst
und damit das Risiko durch menschliches Versagen verursachte Fehlkonfigurationen der
Firewalls.
Das Sicherheitsrisiko läßt sich zum Beispiel wie in DE 199 61 399 beschrieben durch
konsequente Reduzierung der Anzahl freier Verbindungsendpunkte und damit von Ser
ver-Prozessen deutlich reduzieren. Jedoch entsprechen die in DE 199 61 399 beschrie
benen Systemarchitekturen nicht mehr dem Client/Server-Prinzip nach dem Stand der
Technik, so daß Systeme nach DE 199 61 399 nicht ohne zusätzliche Mittel in beste
hende Client/Server-Architekturen integriert werden können. Insbesondere können Cli
ents nach dem Stand der Technik nicht ohne zusätzliche Mittel mit Services nach
DE 199 61 399 kommunizieren, so daß DE 199 61 399 ein Redesign der Clients erfordert.
Durch die direkte Kommunikation zwischen Clients und Services nach dem Stand der
Technik, muß jeder Server über die Firewallprüfungen hinaus zusätzliche anwendungs
abhängige Autorisierungsprüfungen durchführen. Dies führt zu einer zweistufigen
Sicherheitsarchitektur in Systemen nach dem Stand der Technik
- 1. durch Firewalls überprüfte Verbindungsaufbauten und
- 2. dezentrale anwendungsorientierte Sicherheitsüberprüfungen.
Gerade dezentral organisierte Sicherheitsmechanismen führen in der Praxis häufig zu
Problemen, da beispielsweise Softwareupdates zur Korrektur einer bereits bekannten
Sicherheitslücke an allen Orten nachvollzogen werden müssen, welche eine bestimmte
Softwareversion verwendet. Dabei können leicht einzelne Server übersehen werden,
welche durch die unkorrigierte Sicherheitslücke angreifbar bleiben. Die Bekanntheit der
Sicherheitslücke erhöht das Sicherheitsrisiko in solchen Fällen weiter.
Nach dem Stand der Technik erfolgt der logische Verbindungsaufbau in Netzwerken
nach dem Client/Server Prinzip wie folgt:
Eine durch eine eindeutige physikalische Kennung identifizierte Einheit führt ein Pro gramm (Server genannt) aus, das mindestens einen auf der den Server ausführenden Einheit durch eine lokale Kennung eindeutig identifizierten logischen Verbindungsend punkt zur Verfügung stellt und anschließend wartet, bis ein anderes Programm (Client), welches auf derselben oder einer anderen Einheit ausgeführt wird, eine Verbindung zu diesem Endpunkt anfordert. Vorausgesetzt die Einheiten, auf welchen Server und Client ausgeführt werden, sind physikalisch miteinander verbunden, benötigt der Client zum Verbindungsaufbau einerseits die eindeutige Identifikation der Einheit, auf welcher der Server ausgeführt wird, und andererseits die auf der Servereinheit lokal eindeutige Ken nung des Verbindungsendpunktes, welchen der Server zur Verfügung stellt. Beide Infor mationen zusammen genügen, um den Verbindungsendpunkt eines Servers im gesamten Netzwerk eindeutig zu identifizieren. Hat ein Server eine Verbindungsanforde rung eines Clients empfangen, entscheidet der Server über die Annahme oder Ableh nung der Anforderung. Eine Verbindung kommt nur zustande, wenn der Server die Anforderung gegebenenfalls nach einer positiv ausgefallenen Überprüfung der Zugangs berechtigung des Clients annimmt. Fällt die Überprüfung der Zugangsberechtigung des Clients negativ aus, bricht der Server den Verbindungsaufbau ab und es kommt keine Verbindung zustande. Nach diesem Mechanismus sind ausschließlich logische Punkt- zu-Punkt Verbindungen zwischen einem Client und einem Server aufbaubar. Logische Verbindungen zwischen zwei Clients, zwei Servern oder mehr als zwei Clients und/oder Servern sind unmöglich.
Eine durch eine eindeutige physikalische Kennung identifizierte Einheit führt ein Pro gramm (Server genannt) aus, das mindestens einen auf der den Server ausführenden Einheit durch eine lokale Kennung eindeutig identifizierten logischen Verbindungsend punkt zur Verfügung stellt und anschließend wartet, bis ein anderes Programm (Client), welches auf derselben oder einer anderen Einheit ausgeführt wird, eine Verbindung zu diesem Endpunkt anfordert. Vorausgesetzt die Einheiten, auf welchen Server und Client ausgeführt werden, sind physikalisch miteinander verbunden, benötigt der Client zum Verbindungsaufbau einerseits die eindeutige Identifikation der Einheit, auf welcher der Server ausgeführt wird, und andererseits die auf der Servereinheit lokal eindeutige Ken nung des Verbindungsendpunktes, welchen der Server zur Verfügung stellt. Beide Infor mationen zusammen genügen, um den Verbindungsendpunkt eines Servers im gesamten Netzwerk eindeutig zu identifizieren. Hat ein Server eine Verbindungsanforde rung eines Clients empfangen, entscheidet der Server über die Annahme oder Ableh nung der Anforderung. Eine Verbindung kommt nur zustande, wenn der Server die Anforderung gegebenenfalls nach einer positiv ausgefallenen Überprüfung der Zugangs berechtigung des Clients annimmt. Fällt die Überprüfung der Zugangsberechtigung des Clients negativ aus, bricht der Server den Verbindungsaufbau ab und es kommt keine Verbindung zustande. Nach diesem Mechanismus sind ausschließlich logische Punkt- zu-Punkt Verbindungen zwischen einem Client und einem Server aufbaubar. Logische Verbindungen zwischen zwei Clients, zwei Servern oder mehr als zwei Clients und/oder Servern sind unmöglich.
Eine Verbindung zwischen Client und Server kann sowohl nur für eine einzige Transak
tion (temporäre Verbindung) als auch dauerhaft über längere Zeiträume (stehende Ver
bindung) bestehen. Nach Abschluß aller Transaktionen wird die Verbindung von einem
der beiden Transaktionspartnern geschlossen, woraufhin der andere Partner seinerseits
die Verbindung schließt.
Ein typisches Beispiel solcher Netzwerke ist das Internet oder Internet-ähnliche Intra
nets, welche aus mehreren freiprogrammierbaren, physikalisch vernetzten Rechenma
schinen bestehen. Die Steuerung einer jeden Rechenmaschine erfolgt durch ein
Betriebssystem, der Netzwerk- sowie der Anwendungsprogramme. Homogene Systeme
umfassen gleich- oder verschiedenartige Rechenmaschinen, welche von gleichartigen
Betriebssystemen gesteuert werden. Heterogene Systeme bestehen aus gleich- oder
verschiedenartigen Rechenmaschinen, welche durch gleich- oder verschiedenartige
Betriebssysteme gesteuert werden. Die Netzwerkprogramme sind typischerweise nach
dem ISO/OSI-Modell aufgebaut, verwenden das UDP/IP- oder TCP/IP-Protokoll und die
nen zum Informationsaustausch zwischen verschiedenen Softwarekomponenten, wel
che auf derselben oder verschiedenen gleich- oder verschiedenartigen Rechen
maschinen ausgeführt werden.
Physikalisch getrennte Netzwerke, die durch Firewalls oder Proxy-Server gegenseitig
geschützt sind, überwachen den Verkehr in Netzwerken nach dem Stand der Technik.
Firewalls kontrollieren jedoch nur den Verbindungsaufbau zwischen Clients und Servern
aus physikalisch getrennten Netzwerken und bieten nicht die Möglichkeit nach dem
erfolgreichen Verbindungsaufbau einzelne Transaktionen auf logischer Ebene zu über
wachen. Proxy-Server hingegen bieten diese Möglichkeit, führen jedoch nach positiver
Autorisierungsüberprüfung selbst als Client eigene temporäre Transaktionen mit sekun
dären (geschützten) Servern aus. Beide Lösungen haben den Nachteil, daß zur perma
nenten Erreichbarkeit kritische operative Services weiterhin jederzeit mindestens einen
freien Verbindungsendpunkt bereitstellen müssen und somit permanent mindestens aus
dem Intranet angreifbar bleiben.
Typische Vertreter, welche nach dem beschriebenen Client/Server-Prinzip arbeiten, sind
die Betriebsysteme Unix, Windows, OS/2 oder NetWare, sowie die Middleware DCE,
TUXEDO oder CORBA.
Folgende Punkte wirken sich besonders nachteilig auf die Sicherheit eines Netzwerksy
stems nach dem Client/Server-Prinzip aus:
- 1. Jeder freie Verbindungsendpunkt eines Servers, welcher auf einer mit einem Netz werk verbundenen Einheit ausgeführt wird, ist ein potentieller Angriffspunkt für bös willige Clients. Stellt eine Einheit mehrere Verbindungsendpunkte eines oder mehrerer Server zur Verfügung, ist jeder einzelne Verbindungsendpunkt ein poten tieller Angriffspunkt.
- 2. Nach dem Stand der Technik werden im Internet alle Funktionalitäten, welche eine Einheit im Netzwerk zur Verfügung stellt, als Server realisiert. Dies führt in der Pra xis auf einzelnen Einheiten zu sehr vielen Servern mit entsprechend vielen freien Verbindungsendpunkten.
- 3. Zur Sicherstellung seiner permanenten Erreichbarkeit muß ein Server jederzeit einen freien Verbindungsendpunkt zur Verfügung stellen, welcher gleichzeitig einen permanenten Angriffspunkt darstellt.
- 4. Die Sicherheit des Gesamtsystems ist durch die Sicherheit des schwächsten Ser vers gegeben und nimmt mit zunehmender Anzahl von Servern ab.
- 5. Ein wohldefinierter, einheitlicher Sicherheitsstandard eines Gesamtsystems kann nur dann garantiert werden, wenn jeder einzelne Server denselben Sicherheits standard bietet.
In der Praxis ist ein einheitlicher Sicherheitsstandard nur mit sehr hohem wirtschaftlichen
Aufwand erreichbar, da jeder einzelne Server
- 1. die erforderlichen Sicherheitsmechanismen implementieren muß,
- 2. die Sicherheitsmechanismen jedes einzelnen Servers getestet und verifiziert wer den müssen,
- 3. im laufenden Betrieb der Zugang zu jedem einzelnen Server ständig überwacht werden muß, und
- 4. im laufenden Betrieb jede einzelne Transaktion eines Clients mit einem Server überwacht und autorisiert werden muß.
Werden darüberhinaus einer oder mehrere Server von Lieferanten bezogen, kommen
Probleme bezüglich der Geheimhaltung des (internen) Sicherheitsstandards, der Verfüg
barkeit des Quellcodes der Server (zur Modifikation und/oder Verifikation) und/oder der
Haftung im Schadensfall hinzu.
Das FTP-Protokoll und ähnlich aufgebaute Protokolle erlauben es einem Client,
zunächst eine logische Verbindung zu einem Control-Port - für FTP in der Regel 21 - auf
zubauen und anschließend dem FTP-Server eine Portnummer P zu senden. Danach
kann entweder der FTP-Server oder der FTP-Client einen freien Verbindungsendpunkt
mit Portnummer P bereitstellen, so daß der FTP-Client bzw. FTP-Server eine Datenver
bindung zu dem von FTP-Server bzw. FTP-Client bereitgestellten Verbindungsendpunkt
P aufbauen kann. Dabei ist der FTP-Server oder andere nach demselben Prinzip arbei
tende Server stets als ein Prozeß eines Single- oder Multitaskingbetriebssystems reali
siert, wodurch die den FTP-Server ausführende Einheit mindestens über den permanent
offenen Control-Port angreifbar bleibt.
Die Aufgabe des vorliegenden Patentes besteht darin, operative Services möglichst
weitgehend von Sicherheitsaufgaben zu entlasten, ihren Zugang abzusichern und ihre
Angriffsfläche zu reduzieren.
Das vorliegende Patent löst die gestellte Aufgabe mit Hilfe eines Netzwerkes mit Kom
munikationssystem nach einem der Oberbegriffe der Ansprüche 1, 15, 38 und 52 dahin
gehend, daß einerseits ein operativer Service S freie Verbindungsendpunkte für
Clients ausschließlich nur nach Aufforderung A seitens Logonservices LS (Anspruch
1) bzw. Autorisierungsservice AS (Anspruch 15) bereitstellt oder andererseits ein ope
rativer Service S zu absolut keinem Zeitpunkt einen freien Verbindungsendpunkt
bereitstellt, sondern nur nach Aufforderung A seitens Logonservices LS (Anspruch 38)
bzw. Autorisierungsservice AS (Anspruch 52) eine Verbindung zu von einem Client
bereitgestellten freien Verbindungsendpunkt aufbaut.
Systeme nach einem der Ansprüche 1 und 15 bieten insbesondere die Möglichkeit, daß
ein operativer Service S nach Verbindungsaufbau zu bzw. von Logonservice LS bzw.
Autorisierungsservice AS während des normalen Betriebes absolut keine freien Verbin
dungsendpunkte zur Verfügung stellt und daher während des normalen Betriebes für
Port-Scans unsichtbar sind. Erst wenn Logonservice LS bzw. Autorisierungsservice AS
operativem Service S Aufforderung A schickt, einen freien Verbindungsendpunkt für Cli
ent C zur Verfügung zu stellen, erzeugt Service S tatsächlich einen freien Verbindungs
endpunkt VEPS für Client C, wonach Client C die technische Möglichkeit erhält eine
Verbindung zu Service S aufzubauen.
Systeme nach einem der Ansprüche 38 und 52 bieten insbesondere die Möglichkeit, daß
ein operativer Service S den Aufbau der Verbindung VS zu einem von Logonservice LS
bereitzustellenden freien Verbindungsendpunkt selbst aufbaut und selbst zu absolut kei
nem Zeitpunkt einen freien Verbindungsendpunkt zur Verfügung stellt, wodurch ein sol
cher operativer Service zu absolut keinem Zeitpunkt für Port-Scans sichtbar ist. Erst
wenn operativer Service S nach Ansprüchen 38 und 52 von Logonservice LS bzw. Auto
risierungsservice AS Aufforderung A erhält, baut Service S eine Verbindung zu einem
von einem zuvor durch Logonservice LS autorisierten Client C bereitgestellten freien
Verbindungsendpunkt VEPC auf.
Aufgrund des bereits zum Stand der Technik gehörenden FTP-Protokolles (und ähnlich
aufgebauter Protokolle) fordern Ansprüche 1 und 38 nur "eine zuverlässige stehende
logische bidirektionale lnterprozeßkommunikationsverbindung VS" zwischen Logonser
vice LS und Service S - im Gegensatz zu Ansprüchen 15 und 52, welche jeweils eine
"zuverlässige logische bidirektionale Interthread- oder Interprozeßkommunikationsver
bindung VA bzw VS" zwischen Logonservice LS und Autorisierungsservice AS bzw.
Autorisierungsservice AS und Service S fordern.
Die Vorteile von Netzwerken mit unsichtbaren Services nach einem der Ansprüche 1, 15,
38 und 52 gegenüber Systemen nach dem Stand der Technik sind:
- 1. Operative Services nach Ansprüchen 1 und 15 sind während des normalen Betrie bes den größten Teil der Zeit für Port-Scans unsichtbar.
- 2. Operative Services nach Ansprüchen 38 und 52 sind für Port-Scans absolut unsichtbar.
- 3. Die Unsichtbarkeit operativer Services bei Port-Scans erschwert es potentiellen Angreifern ohne Vorkenntnis des Systems die Existenz von operativen Services auszuspionieren.
- 4. Die Möglichkeit der zeitlich begrenzten Bereitstellung freier Verbindungsendpunkte durch operative Services oder Clients reduziert den potentiellen Angriffszeitraum - im Vergleich zu Servern nach dem Stand der Technik mit permanent offenen freien Verbindungsendpunkten - erheblich.
- 5. Der potentielle Angriifszeitraum und Ort ist bereits im Voraus bekannt, wodurch Verbindungsversuche mit wesentlich geringerem Aufwand überwacht sowie Angriffe leichter und schneller detektiert und abgewehrt werden können.
- 6. Die vollständige Trennung zwischen Logonsubsystem - d. h. Logonservice LS in Ansprüchen 1 und 38 und zusätzlichem Autorisierungsservice AS in Ansprüchen 15 und 52 - und operativen Systemen befreit operative Services praktisch von allen Autorisierungsaufgaben und erlaubt es, Änderungen der Autorisierungsmethoden zentral an einer Stelle - nämlich im Logonsubsystem - durchzuführen.
- 7. Der indirekte Verbindungsaufbau zwischen operativen Services und Clients via einem unabhängigen Logonsubsystem erlaubt es, operative Services in Abhängig keit der Rechte eines jeden Clients, der aktuellen Systemauslastung oder anderer Kriterien in Echtzeit dynamisch auszuwählen und den ausgewählten Service gezielt für jeden autorisierten Client einmal freizuschalten, ohne daß Clients die Koordinaten (physikalische Adresse und lokale Kennung) operativer Services im voraus kennen müssen.
- 8. Ein Ausfall des Logonsubsystems betrifft operative Systeme in sofern nicht direkt, als bereits mit einem operativen Service S verbundene Clients weiterhin ungestört mit Service S kommunizieren können. Der einzigste potentielle Nachteil bei Ausfall des Logonsubsystems wäre, daß sich kein neuer Client mit Service S verbinden kann, solange das Logonsubsystem nicht wieder voll funktionsfähig ist (was jedoch auch gerade erwünscht sein kann).
- 9. Nach Aufbau vordefinierter Verbindungen zu operativen Services kann das Logon subsystem gezielt abgeschaltet werden, so daß operative Systeme vollständig abgeschlossen bleiben und keine Clients annehmen können.
Abb. 1a veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
1 bestehend aus Serviceeinheit SE, welche Logonservice LS und Service S ausführt,
wobei Logonservice LS und Service S über eine stehende logische bidirektionale Kom
munikationsverbindung VS miteinander verbunden sind, sowie über physikalische Netz
werkverbindung NC mit Serviceeinheit SE verbundene und Client C ausführende
Clienteinheit CE. Abb. 2a beschreibt den zeitlichen Ablauf des Verbindungsaufbaus
von Client C zu Service S in dem in Abb. 1 dargestellten Netzwerk mit Kommunika
tionssystem nach Anspruch 1. Nach Aufbau der Verbindung VS stellt Service S während
des normalen Betriebes keine freien Verbindungsendpunkte bereit, so daß sich Client C
nicht direkt mit Service S verbinden kann. Logonservice LS hingegen stellt mindestens
einen freien Verbindungsendpunkt für Client C zur Verfügung, so daß sich Client C zum
Verbindungsaufbau zu Service S zunächst nur mit Logonservice LS verbinden kann (1).
Nachdem Logonservice LS die Verbindungsanforderung von Client C akzeptiert hat,
sendet Logonservice LS über Verbindung VS Service S eine Aufforderung, einen neuen
freien Verbindungsendpunkt für Client C zur Verfügung zu stellen (2), woraufhin Service
S einen neuen Verbindungsendpunkt VEPS für Client C bereitstellt. Danach kann Client
C die Verbindung zu Logonservice LS gegebenenfalls abbrechen und eine Verbindung
zu von Service S bereitgestelltem Verbindungsendpunkt VEPS aufbauen (3).
Abb. 3 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
15 bestehend aus Serviceeinheit SE, welche Logonservice LS, Autorisierungsservice AS
und Service S ausführt, wobei Autorisierungsservice AS und Service S über eine ste
hende logische bidirektionale Kommunikationsverbindung VS miteinander verbunden
sind und Client C ausführende Clienteinheit CE. Abb. 6a beschreibt den zeitlichen
Ablauf des Verbindungsaufbaus von Client C zu Service S in dem in Abb. 3 darge
stellten Netzwerk mit Kommunikationssystem nach Anspruch 15. Nach Aufbau der Ver
bindung VS stellt Service S während des normalen Betriebes keine freien
Verbindungsendpunkte bereit, so daß sich Client C nicht direkt mit Service S verbinden
kann. Logonservice LS und Autorisierungsservice AS sind über eine zuverlässige ste
hende logische bidirektionale Interthread- oder Interprozeßkommunikationsverbindung
VA miteinander verbunden oder Autorisierungsservice AS stellt einen freien Verbin
dungsendpunkt für Logonservice LS zur Verfügung, so daß sich Logonservice LS bei
Bedarf mit Autorisierungsservice AS verbinden kann. Darüberhinaus stellt Logonservice
LS mindestens einen freien Verbindungsendpunkt VEPCL für Client C zur Verfügung, so
daß sich Client C zum Verbindungsaufbau zu Service S zunächst nur mit Logonservice
LS verbinden kann (1). Nachdem Logonservice LS die Verbindungsanforderung von Cli
ent C akzeptiert hat, baut Logonservice LS - falls noch keine Verbindung VA zu Autori
sierungsservice AS existiert - Verbindung VA zu Autorisierungsservice AS auf und
informiert Autorisierungsservice AS via Verbindung VA (2) darüber, daß Client C eine
Verbindung zu Service S aufbauen will. Danach sendet Autorisierungsservice AS via
Verbindung VS Service S eine Aufforderung, einen neuen freien Verbindungsendpunkt
für Client C zur Verfügung zu stellen (3), woraufhin Service S einen neuen Verbindungs
endpunkt VEPS für Client C bereitstellt. Schließlich kann Client C Verbindung VCL zu
Logonservice LS gegebenenfalls abbrechen und Verbindung VC zu von Service S
bereitgestelltem Verbindungsendpunkt VEPS aufbauen (4).
Die verschiedenen Programme Logonservice LS, Autorisierungsservice AS oder Service
S können selbstverständlich auch beliebig auf einer oder mehreren Einheiten verteilt
werden - ein Beispiel ist explizit in Ansprüchen 2 bzw. 16 gegeben -, solange Logonser
vice LS und Service S mindestens von Client C erreichtbar sind und mindestens die Ver
bindung VS zwischen Logonservice LS und Service S bzw. Verbindung VA zwischen
Logonservice LS und Autorisierungsservice AS und Verbindung VS zwischen Autorisie
rungsservice AS und Service S aufgebaut werden können.
Ansprüche 1 bis 2 und 15 bis 16 decken selbstverständlich auch die Fälle ab, daß
- 1. Logonprogramme LP1,. . .,LPlp mehr als einen Logonservice LS1,. . .,LSls, und/oder
- 2. Serviceprogramme SP1,. . .,SPsp mehr als einen Service S1,. . .,Ss, und/oder
- 3. Autorisierungsprogramme AP1,. . .,APap mehr als einen Autorisierungsservice AS1,. . .,ASas, und/oder
- 4. Clientprogramme CP1,. . .,CPcp mehr als einen Client C1,. . .Cc
umfassen und genannte Programme LS1
,. . .,LSls
, S1
,. . .,Ss
, AS1
,. . .,ASas
, C1
,. . .,Cc
auf den
entsprechenden Einheiten verteilt ausgeführt werden.
Abb. 1b veranschaulicht dasselbe Netzwerk mit Kommunikationssystem wie in
Abb. 1a mit dem Unterschied, daß Logonservice LS auf Einheit LE und Service S
auf Einheit SE ausgeführt werden, wobei alle Einheiten über physikalische Netzwerkver
bindung NC untereinander verbunden sind.
Auch in dem in Abb. 3 gezeigten Netzwerk mit Kommunikationssystem nach
Anspruch 15 können Programme Autorisierungsservice AS, Logonservice LS und Ser
vice S auf verschiedenen Einheiten ausgeführt werden, solange Logonservice LS und
Service S von Client C erreicht und die Verbindungen VA zwischen Logonservice LS und
Autorisierungsservice AS sowie VS zwischen Autorisierungsservice AS und Service S
aufgebaut werden können. So zeigt Abb. 4 dasselbe System wie Abb. 3 mit
dem Unterschied, daß Logonservice LS, Autorisierungsservice AS und Service S jeweils
auf verschiedenen Einheiten LE, AE bzw. SE ausgeführt werden, welche über physikali
sche Netzwerkverbindungen NC3 und NC4 verbunden sind, und daß Clienteinheit CE
über physikalische Netzwerkverbindung NC1 sowohl mit Logoneinheit LE als auch mit
Serviceeinheit SE verbunden ist.
Besonders vorteilhaft ist die Trennung eines Netzwerks mit Kommunikationssystems
nach Anspruch 16 in zwei unterschiedliche physikalische Netzwerksegmente N und N1
(Abb. 5), wobei Einheiten LE und SE jeweils über zwei Netzwerkkarten verfügen,
von denen jeweils eine mit Segment N und die andere mit Segment N1 verbunden ist,
und wobei Autorisierungseinheit AE in Segment N1 und Clienteinheit CE in Segment N
lokalisiert sind, und wobei keine Nachrichten zwischen den beiden Netzwerksegmenten
N1 und N physikalisch geroutet werden. Dies macht es Clientprogrammen auf CE
unmöglich Autorisierungseinheit AE direkt anzugreifen.
In permanent verfügbaren Systemen muß jedoch mindestens Logonservice LS stets für
Clients erreichbar sein, so daß die Logonservice LS ausführende Einheit stets angreifbar
bleibt. Deshalb ist es besonders vorteilhaft in einem System nach einem der Ansprüche
2 bzw. 16, Logonservice LS auf einer separaten Logoneinheit LE auszuführen, damit im
Falle eines Angriffes auf Logoneinheit LE Autorisierungsservice AS und Service S nicht
direkt betroffen sind.
In Ansprüchen 3 bzw. 17 haben Logonservice LS bzw. Autorisierungsservice AS Zugriff
auf Autorisierungsdaten AD, so daß in Anspruch 3 Logonservice LS die von Client C in
(1) der Abb. 2b bzw. Abb. 7a/b gesendeten Anmeldungsdaten AMD überprü
fen kann und Logonservice LS nur dann die Aufforderung (2) zur Bereitstellung eines
freien Verbindungsendpunktes an Service S sendet, falls die Überprüfung der von Client
C vorgelegten Anmeldungsdaten AMD gegen Autorisierungsdaten AD positiv ausfiel,
und so daß in Anspruch 17 Autorisierungsservice AS die von Client C in (1) der
Abb. 6b bzw. Abb. 8 an Logonservice LS gesendeten und von Logonservice LS in
(2) an Autorisierungsservice AS weitergeleiteten Anmeldungsdaten AMD überprüfen
kann und Autorisierungsservice AS nur dann Aufforderung A zur Bereitstellung eines
freien Verbindungsendpunktes an Service S sendet (3), falls die Überprüfung der von
Client C vorgelegten Anmeldungsdaten AMD gegen Autorisierungsdaten AD positiv aus
fiel. Auf diese Weise erhält Client C keine Möglichkeit ohne zuvorige Überprüfung seiner
Zugangsberechtigung eine Verbindung zu Service S aufzubauen. Dabei ist Anspruch 17
der Vorzug gegenüber Anspruch 3 zu geben, da Autorisierungsservice AS zusammen
mit Autorisierungsdaten AD auf einer separaten Einheit AE ausgeführt bzw. gespeichert
werden, welche Einheit AE für keinen Client erreichbar ist (Abb. 8), während Auto
risierungsdaten AD in Anspruch 3 auf derselben Einheit LE gespeichert sein müssen,
welche auch Logonservice LS ausführt (Abb. 7a/b).
Ansprüche 4 und 18 decken die Fälle ab, in denen mindestens ein Teil der Anmeldungs
daten AMD verschlüsselt von Client C an Logonservice LS übertragen und von Logon
service LS entschlüsselt wird (Anspruch 4), sowie von Client C an Logonservice LS, von
Logonservice LS an Autorisierungsservice AS weitergeleitet und von Autorisierungsser
vice AS entschlüsselt (Anspruch 18) wird.
In Netzwerken mit Kommunikationssystemen nach Ansprüchen 1 bis 4 und 15 bis 18 auf
der Basis von TCP/IP sind die Zugangsdaten - insbesondere die physikalische Adresse
(IP-Adresse) der Service S ausführenden Einheit SE sowie die lokale Kennung (Port
nummer) des von Service S für Client C bereitgestellten freien Verbindungsendpunktes
VEPS - fest vorgegeben und müssen Client C bekannt sein, damit Client C eine Verbin
dung zu dem von Service S bereitgestellten freien Verbindungsendpunkt VEPS auf
bauen kann. Dies birgt natürlich die Gefahr, daß ein unautorisierter Angreifer Kenntnis
der Zugangsdaten erlangt und sich mit von Service S bereitgestelltem freiem Verbin
dungsendpunkt VEPS verbindet bevor Client C Verbindung VC zu von Service S bereit
gestelltem freiem Verbindungsendpunkt VEPS aufbaut.
Diesen Nachteil beseitigen Netzwerke mit Kommunikationssystemen nach Anspruch 5
bzw. 19, in welchem Client C die Zugangsdaten ZD zu Beginn nicht kennt und sie erst im
Laufe des Anmeldungsverfahrens von Logonservice LS übermittelt erhält. Dabei können
in Systemen nach Anspruch 5 ein Teil der Zugangsdaten ZD entweder von Logonservice
LS (Anspruch 6), Service S (Anspruch 7), oder Client C (Anspruch 8) und in Systemen
nach Anspruch 19 entweder von Logonservice LS (Anspruch 20), Autorisierungsservice
AS (Anspruch 21), Service S (Anspruch 22) oder Client C (Anspruch 23) erzeugt und,
falls wenigstens ein Teil der Zugangsdaten ZD nicht von Client C erzeugt wurde, via den
vorhandenen Verbindungen VS, VA und VCL direkt oder indirekt an Client C und, falls
wenigstens ein Teil der Zugangsdaten ZD nicht von Service S erzeugt wurde, auch an
Service S übertragen werden. Wichtig ist nur, daß sowohl Service S vor Bereitstellung
des neuen freien Verbindungsendpunktes VEPS als auch Client C vor Verbindungsauf
bau zu dem von Service S bereitgestellten neuen Verbindungsendpunkt VEPS die
jeweils benötigten Teile der Zugangsdaten ZD kennen.
In Netzwerken mit Kommunikationssystemen nach Anspruch 5 bzw. 19 ist es vorteilhaft,
- 1. eine aus mehreren mindestens einen Service nach Anspruch 1 bzw. 15 ausführen den Serviceeinheiten auszuwählen und die physikalische Adresse der ausgewähl ten Serviceeinheit in den Zugangsdaten ZD an Client C zu übertragen, wobei die Auswahl entweder durch einen Logonservice (Ansprüche 9 und 24) oder einen Autorisierungsservice (Anspruch 25) erfolgen kann,
- 2. die lokale Kennung LK des von Service S für Client C bereitzustellenden freien Ver bindungsendpunktes VEPS frei zu wählen und, falls die Wahl nicht von Client C erfolgte, an Client C und, falls die Wahl nicht von Service S erfolgte, auch an Ser vice S zu übertragen (Ansprüche 9 bis 12 und 26 bis 29),
- 3. mindestens einen Teil VTZD der Zugangsdaten ZD verschlüsselt von Logonservice LS an Client C zu übertragen (Ansprüche 13 und 30). Selbstverständlich muß Cli ent C in diesem Fall Mittel enthalten, um den verschlüsselten Teil VTZD der Zugangsdaten ZD zu entschlüsseln;
- 4. mindestens einen Teil VTZD2 der Zugangsdaten ZD verschlüsselt an Service S zu übertragen (Ansprüche 14 und 31). Selbstverständlich muß Service S in diesem Fall Mittel enthalten, um den verschlüsselten Teil VTZD2 der Zugangsdaten ZD zu entschlüsseln;
- 5. einen beliebig wählbaren Schlüssel in Zugangsdaten ZD, falls die Wahl nicht von Client C erfolgte, an Client C und, falls die Wahl nicht von Service S erfolgte, an Service S zu übertragen (Ansprüche 32 und 33),
- 6. mindestens einen Teil TZD der Zugangsdaten ZD - insbesondere, aber nicht aus schließlich, die Service S ausführende Serviceeinheit SE, die Portnummer des von Service S für Client C bereitzustellenden freien Verbindungsendpunktes VEPS, oder Schlüssel ZSS bzw. ZSC - pseudozufällig oder absolut zufällig zu erzeugen (Anspruch 34).
Abb. 9 bis 19 illustrieren verschiedene Ausführungsbeispiele von Netzwerken
mit Kommunikationssystemen nach Ansprüchen 5 bis 14 und 19 bis 34 mit dazugehö
renden zeitlichen Abläufen des Verbindungsaufbaus von Client C zu Service S, wobei
Programme Logonservice LS, Autorisierungsservice AS, Service S und Client C beliebig
auf Netzwerkeinheiten verteilt werden können, solange die benötigen Verbindungen auf
gebaut werden und die Programme wie beschrieben kommunizieren können. Aus die
sem Grunde wurden die physikalischen Netzwerkeinheiten und -verbindungen in
Abb. 9 bis 19 weggelassen. Dabei sendet in den gezeigten Beispielen nach Auf
bau der Verbindung VC Client C mindestens einen Teil TZD der Zugangsdaten ZD an
Service S, so daß Service S die von Client C erhaltenen Zugangsdaten TZD gegen
Zugangsdaten ZD überprüfen kann. Diese Überprüfung kann auch umgekehrt er 99561 00070 552 001000280000000200012000285919945000040 0002010137693 00004 99442folgen,
indem nach Aufbau der Verbindung VC Service S mindestens einen Teil TZD2 der
Zugangsdaten ZD an Client C überträgt und Client C den von Service S erhaltenen Teil
TZD2 gegen Zugangsdaten ZD überprüft. Beide Überprüfungen sind nicht unbedingt
notwendig, erhöhen jedoch die Sicherheit des Systems, da Client C sich gegenüber Ser
vice S bzw. Service S sich gegenüber Client C authentisieren muß und damit nachge
wiesen wird, daß Client C zuvor das Logonverfahren positiv durchlaufen hat.
Abb. 9 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch 6,
in welchem nach Verbindungsaufbau zwischen Client C und Logonservice LS Client C in
Nachricht (1) Anmeldungsdaten AMD an Logonservice LS schickt, Logonservice LS bei
positivem Ausgang der Überprüfung von Anmeldungsdaten AMD gegen Autorisierungs
daten AD Zugangsdaten ZD erzeugt, in Nachricht (2) Zugangsdaten ZD zusammen mit
Aufforderung A, einen neuen Verbindungsendpunkt für Client C bereitzustellen, an Ser
vice S und in Nachricht (3) Zugangsdaten ZD an Client C sendet, so daß Service S in
Abhängigkeit von Zugangsdaten ZD einen neuen Verbindungsendpunkt VEPS für Client
C bereitstellen kann, Client C Verbindung VC zu dem von Service S bereitgestellten Ver
bindungsendpunkt VEPS aufbauen kann, Client C via Verbindung VC in Nachricht (4)
mindestens einen Teil TZD der Zugangsdaten ZD an Service S senden kann und Service
S die von Client C erhaltenen Zugangsdaten TZD gegen die von Logonservice LS erhal
tenen Zugangsdaten ZD überprüfen kann und Verbindung VC zu Client C nur dann
bestehen lassen kann, wenn diese Überprüfung positiv ausfällt.
Abb. 10 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
7, in welchem nach Verbindungsaufbau zwischen Client C und Logonservice LS Client C
in Nachricht (1) Anmeldungsdaten AMD an Logonservice LS schickt, Logonservice LS
bei positivem Ausgang der Überprüfung von Anmeldungsdaten AMD gegen Autorisie
rungsdaten AD in Nachricht (2) Aufforderung A an Service S schickt, einen neuen freien
Verbindungsendpunkt für Client C bereitzustellen, Service S Zugangsdaten ZD erzeugt
und in Nachricht (3) Zugangsdaten ZD an Logonservice LS sendet, Logonservice LS in
Nachricht (4) die von Service S empfangenen Zugangsdaten ZD an Client C weiterleitet,
so daß Service S in Abhängigkeit von Zugangsdaten ZD einen neuen Verbindungsend
punkt VEPS für Client C bereitstellen kann, Client C Verbindung VC zu dem von Service
S bereitgestellten Verbindungsendpunkt VEPS aufbauen kann, Client C via Verbindung
VC in Nachricht (5) mindestens einen Teil TZD der Zugangsdaten ZD an Service S sen
den kann und Service S die von Client C erhaltenen Zugangsdaten TZD gegen die
selbst erzeugten Zugangsdaten ZD überprüfen kann und Verbindung VC zu Client C nur
dann bestehen lassen kann, wenn diese Überprüfung positiv ausfällt.
Abb. 11 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
20, in welchem nach Verbindungsaufbau zwischen Client C und Logonservice LS Client
C in Nachricht (1) Anmeldungsdaten AMD an Logonservice LS schickt, Logonservice LS
Zugangsdaten ZD erzeugt und in Nachricht (2) Zugangsdaten ZD zusammen mit Anmel
dungsdaten AMD an Autorisierungsservice AS schickt, Autorisierungsservice AS bei
positivem Ausgang der Überprüfung von Anmeldungsdaten AMD gegen Autorisierungs
daten AD in Nachricht (3) Zugangsdaten ZD zusammen mit Aufforderung A, einen
neuen Verbindungsendpunkt für Client C bereitzustellen, an Service S schickt und
Logonservice LS in Nachricht (4) die erzeugten Zugangsdaten ZD an Client C schickt, so
daß Service S in Abhängigkeit von Zugangsdaten ZD einen neuen Verbindungsend
punkt VEPS für Client C bereitstellen kann, Client C Verbindung VC zu dem von Service
S bereitgestellten Verbindungsendpunkt VEPS aufbauen kann, Client C via Verbindung
VC in Nachricht (5) mindestens einen Teil TZD der Zugangsdaten ZD an Service S sen
den kann und Service S die von Client C erhaltenen Zugangsdaten TZD gegen die von
Logonservice LS via Autorisierungsservice AS erhaltenen Zugangsdaten ZD überprüfen
kann und Verbindung VC zu Client C nur dann bestehen lassen kann, wenn diese Über
prüfung positiv ausfällt.
Abb. 12 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
21, in welchem nach Verbindungsaufbau zwischen Client C und Logonservice LS Client
C in Nachricht (1) Anmeldungsdaten AMD an Logonservice LS schickt, Logonservice LS
in Nachricht (2) Anmeldungsdaten AMD an Autorisierungsservice AS weiterleitet, Autori
sierungsservice AS bei positivem Ausgang der Überprüfung von Anmeldungsdaten AMD
gegen Autorisierungsdaten AD Zugangsdaten ZD erzeugt und in Nachricht (3) Zugangs
daten ZD zusammen mit Aufforderung A, einen neuen Verbindungsendpunkt für Client C
bereitzustellen, an Service S und in Nachricht (4) Zugangsdaten ZD an Logonservice LS
schickt, Logonservice LS in Nachricht (5) Zugangsdaten ZD an Client C weiterleitet, so
daß Service S in Abhängigkeit von Zugangsdaten ZD einen neuen Verbindungsend
punkt VEPS für Client C bereitstellen kann, Client C Verbindung VC zu dem von Service
S bereitgestellten Verbindungsendpunkt VEPS aufbauen kann, Client C via Verbindung
VC in Nachricht (6) mindestens einen Teil TZD der Zugangsdaten ZD an Service S sen
den kann und Service S die von Client C erhaltenen Zugangsdaten TZD gegen die von
Autorisierungsservice AS erhaltenen Zugangsdaten ZD überprüfen kann und Verbin
dung VC zu Client C nur dann bestehen lassen kann, wenn diese Überprüfung positiv
ausfällt.
Abb. 13 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
22, in welchem nach Verbindungsaufbau zwischen Client C und Logonservice LS Client
C in Nachricht (1) Anmeldungsdaten AMD an Logonservice LS schickt, Logonservice LS
in Nachricht (2) Anmeldungsdaten AMD an Autorisierungsservice AS weiterleitet, Autori
sierungsservice AS bei positivem Ausgang der Überprüfung von Anmeldungsdaten AMD
gegen Autorisierungsdaten AD in Nachricht (3) Aufforderung A, einen neuen Verbin
dungsendpunkt für Client C bereitzustellen, an Service S schickt, Service S Zugangsda
ten ZD erzeugt und in Nachricht (4) Zugangsdaten ZD an Autorisierungsservice AS
schickt, Autorisierungsservice AS in Nachricht (5) Zugangsdaten ZD an Logonservice LS
weiterleitet und Logonservice LS in Nachricht (6) Zugangsdaten ZD an Client C weiterlei
tet, so daß Service S in Abhängigkeit von Zugangsdaten ZD einen neuen Verbindungs
endpunkt VEPS für Client C bereitstellen kann, Client C Verbindung VC zu dem von
Service S bereitgestellten Verbindungsendpunkt VEPS aufbauen kann, Client C via Ver
bindung VC in Nachricht (7) mindestens einen Teil TZD der Zugangsdaten ZD an Ser
vice S senden kann und Service S die von Client C erhaltenen Zugangsdaten TZD
gegen die selbst erzeugten Zugangsdaten ZD überprüfen kann und Verbindung VC zu
Client C nur dann bestehen lassen kann, wenn diese Überprüfung positiv ausfällt. Nach
positivem Ausfall der Überprüfung erzeugt Service S in diesem Beispiel einen neuen
Thread zur Kommunikation mit Client C und bestätigt Client C in Nachricht (8) die Akzep
tanz der Verbindung.
Abb. 14 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
9 bestehend aus einem Logonservice LS und sp Serviceprogrammen SP1 bis SPsp,
wobei Logonservice LS mit jedem der Serviceprogramme über jeweils eine zuverlässige
stehende logische bidirektionale Kommunikationsverbindung VS1 bis VSsp verbunden ist
und nach Verbindungsaufbau zwischen Client C und Logonservice LS Client C in Nach
richt (1) Anmeldungsdaten AMD an Logonservice LS schickt, Logonservice LS bei positi
vem Ausgang der Überprüfung von Anmeldungsdaten AMD gegen Autorisierungsdaten
AD Service S = SP2 aus den Serviceprogrammen SP1 bis SPsp auswählt, Zugangsdaten
ZD erzeugt und in Nachricht (2) Zugangsdaten ZD zusammen mit Aufforderung A an
Service S schickt, einen neuen freien Verbindungsendpunkt für Client C bereitzustellen,
und in Nachricht (3) Zugangsdaten ZD an Client C sendet, so daß Service S in Abhän
gigkeit von Zugangsdaten ZD einen neuen Verbindungsendpunkt VEPS für Client C
bereitstellen kann, Client C Verbindung VC2 zu dem von Service S bereitgestellten Ver
bindungsendpunkt VEPS aufbauen kann, Client C via Verbindung VC2 in Nachricht (4)
mindestens einen Teil TZD der Zugangsdaten ZD an Service S senden kann und Service
S die von Client C erhaltenen Zugangsdaten TZD gegen die von Logonservice LS erhal
tenen Zugangsdaten ZD überprüfen kann und Verbindung VC2 zu Client C nur dann
bestehen lassen kann, wenn diese Überprüfung positiv ausfällt.
Abb. 15 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
25 bestehend aus einem Logonservice LS, einem Autorisierungsservice AS und sp Ser
viceprogrammen SP1 bis SPsp, wobei Logonservice LS über zuverlässige stehende logi
sche bidirektionale Kommunikationsverbindung VA mit Autorisierungsservice AS und
Autorisierungsservice AS mit jedem der Services über jeweils eine zuverlässige ste
hende logische bidirektionale Kommunikationsverbindung VS1 bis VSsp verbunden ist
und nach Verbindungsaufbau zwischen Client C und Logonservice LS Client C in Nach
richt (1) Anmeldungsdaten AMD an Logonservice LS schickt, Logonservice LS in Nach
richt (2) Anmeldungsdaten AMD an Autorisierungsservice AS weiterleitet,
Autorisierungsservice AS bei positivem Ausgang der Überprüfung von Anmeldungsda
ten AMD gegen Autorisierungsdaten AD Service S = SP2 aus Serviceprogrammen SP1
bis SPsp auswählt, in Nachricht (3) Aufforderung A an Service S schickt, einen neuen
freien Verbindungsendpunkt für Client C bereitzustellen, Service S Zugangsdaten ZD
erzeugt und in Nachricht (4) Zugangsdaten ZD an Autorisierungsservice AS sendet,
Autorisierungsservice AS in Nachricht (5) Zugangsdaten ZD an Logonservice LS weiter
leitet und Logonservice LS in Nachricht (6) Zugangsdaten ZD an Client C weiterleitet, so
daß Service S in Abhängigkeit von Zugangsdaten ZD einen neuen Verbindungsend
punkt VEPS für Client C bereitstellen kann, Client C Verbindung VC2 zu dem von Ser
vice S bereitgestellten Verbindungsendpunkt VEPS aufbauen kann, Client C via
Verbindung VC2 in Nachricht (7) mindestens einen Teil TZD der Zugangsdaten ZD an
Service S senden kann und Service S die von Client C erhaltenen Zugangsdaten TZD
gegen die selbst erzeugten Zugangsdaten ZD überprüfen kann und Verbindung VC2 zu
Client C nur dann bestehen lassen kann, wenn diese Überprüfung positiv ausfällt.
Abb. 16 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
9 bestehend aus lp Logonprogrammen LP1 bis LPlp, sp Serviceprogrammen SP1 bis
SPsp und cp Clientprogrammen CP1 bis CPcp, wobei jedes Logonprogramm mit einem
Teil der Serviceprogramme SP1 bis SPsp über jeweils eine zuverlässige stehende logi
sche bidirektionale Kommunikationsverbindung VS1,1 bis VSlp,sp verbunden ist und nach
Verbindungsaufbau zwischen Client C = CPk und Logonservice LS = LPlp Client C in
Nachricht (1) Anmeldungsdaten AMD an Logonservice LS schickt, Logonservice LS bei
positivem Ausgang der Überprüfung von Anmeldungsdaten AMD gegen Autorisierungs
daten ADlp Service S = SPj+1 aus Serviceprogrammen SP1 bis SPsp auswählt, Zugangs
daten ZD erzeugt und in Nachricht (2) Zugangsdaten ZD zusammen mit Aufforderung A,
einen neuen freien Verbindungsendpunkt für Client C bereitzustellen, an Service S
schickt und in Nachricht (3) Zugangsdaten ZD an Client C sendet, so daß Service S in
Abhängigkeit von Zugangsdaten ZD einen neuen Verbindungsendpunkt VEPS für Client
C bereitstellen kann, Client C Verbindung VCk,j+1 zu dem von Service S bereitgestellten
Verbindungsendpunkt VEPS aufbauen kann, Client C via Verbindung VCk,j+1 in Nach
richt (4) mindestens einen Teil TZD der Zugangsdaten ZD an Service S senden kann
und Service S die von Client C erhaltenen Zugangsdaten TZD gegen die von Autorisie
rungsservice AS via Logonservice LS erhaltenen Zugangsdaten ZD überprüfen kann
und Verbindung VCk,j+1 zu Client C nur dann bestehen lassen kann, wenn diese Über
prüfung positiv ausfällt.
Abb. 17 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
25 bestehend aus lp Logonprogrammen LP1 bis LPlp, einem Autorisierungsservice AS,
sp Serviceprogrammen SP1 bis SPsp und cp Clientprogrammen CP1 bis CPcp, wobei
jedes Logonprogramm mit Autorisierungsservice AS über jeweils eine zuverlässige ste
hende logische bidirektionale Kommunikationsverbindung VA1 bis VAlp verbunden ist,
Autorisierungsservice AS mit jedem der Services über jeweils eine zuverlässige ste
hende logische bidirektionale Kommunikationsverbindung VS1 bis VSsp verbunden ist
und nach Verbindungsaufbau zwischen Client C = CPk und Logonservice LS = LP1 Cli
ent C in Nachricht (1) Anmeldungsdaten AMD an LS schickt, Logonservice LS in Nach
richt (2) Anmeldungsdaten AMD an Autorisierungsservice AS weiterleitet,
Autorisierungsservice AS bei positivem Ausgang der Überprüfung von Anmeldungsda
ten AMD gegen Autorisierungsdaten AD Service S = SP1 aus Serviceprogrammen SP1
bis SPsp auswählt, in Nachricht (3) Aufforderung A an Service S schickt, einen neuen
freien Verbindungsendpunkt für Client C bereitzustellen, Service S Zugangsdaten ZD
erzeugt und in Nachricht (4) Zugangsdaten ZD an Autorisierungsservice AS sendet,
Autorisierungsservice AS in Nachricht (5) Zugangsdaten ZD an Logonservice LS weiter
leitet und Logonservice LS in Nachricht (6) Zugangsdaten ZD an Client C weiterleitet, so
daß Service S in Abhängigkeit von Zugangsdaten ZD einen neuen Verbindungsend
punkt VEPS für Client C bereitstellen kann, Client C Verbindung VCk,1 zu dem von Ser
vice S bereitgestellten Verbindungsendpunkt VEPS aufbauen kann, Client C via
Verbindung VCk,1 in Nachricht (7) mindestens einen Teil TZD der Zugangsdaten ZD an
Service S senden kann und Service S die von Client C erhaltenen Zugangsdaten TZD
gegen die selbst erzeugten Zugangsdaten ZD überprüfen kann und Verbindung VCk,1 zu
Client C nur dann bestehen lassen kann, wenn diese Überprüfung positiv ausfällt.
Abb. 18 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
25 bestehend aus lp Logonprogrammen LP1 bis LPlp, ap Autorisierungsprogrammen
AP1 bis APap, sp Serviceprogrammen SP1 bis SPsp und cp Clientprogrammen CP1 bis
CPcp, wobei jedes Logonprogramm jeweils mit einem Teil der Autorisierungsprogramme
AP1 bis APap über jeweils eine zuverlässige stehende logische bidirektionale Kommuni
kationsverbindung VA1,1 bis VAlp,ap verbunden ist, jedes Autorisierungsprogramm
jeweils mit einem Teil der Serviceprogramme SP1 bis SPsp über jeweils eine stehende
logische bidirektionale Kommunikationsverbindung VS1,1 bis VSap,sp verbunden ist und
nach Verbindungsaufbau zwischen Client C = CPk und Logonservice LS = LP1 Client C
in Nachricht (1) Anmeldungsdaten AMD an Logonservice LS schickt, Logonservice LS in
Nachricht (2) Anmeldungsdaten AMD an Autorisierungsservice AS = APap weiterleitet,
Autorisierungsservice AS bei positivem Ausgang der Überprüfung von Anmeldungsda
ten AMD gegen Autorisierungsdaten ADap Service S = SP1 aus Serviceprogrammen
SP1 bis SPsp auswählt, in Nachricht (3) Aufforderung A an Service S schickt, einen
neuen freien Verbindungsendpunkt für Client C bereitzustellen, Service S Zugangsdaten
ZD erzeugt und in Nachricht (4) Zugangsdaten ZD an Autorisierungsservice AS sendet,
Autorisierungsservice AS in Nachricht (5) Zugangsdaten ZD an Logonservice LS weiter
leitet und Logonservice LS in Nachricht (6) Zugangsdaten ZD an Client C weiterleitet, so
daß Service S in Abhängigkeit von Zugangsdaten ZD einen neuen Verbindungsend
punkt VEPS für Client C bereitstellen kann, Client C Verbindung VCk,1 zu dem von Ser
vice S bereitgestellten Verbindungsendpunkt VEPS aufbauen kann, Client C via
Verbindung VCk,1 in Nachricht (7) mindestens einen Teil TZD der Zugangsdaten ZD an
Service S senden kann und Service S die von Client C erhaltenen Zugangsdaten TZD
gegen die selbst erzeugten Zugangsdaten ZD überprüfen kann und Verbindung VCk,1 zu
Client C nur dann bestehen lassen kann, wenn diese Überprüfung positiv ausfällt.
Abb. 19 veranschaulicht dasselbe System wie Abb. 18 mit dem Unterschied,
daß alle Autorisierungsprogramme AP1 bis APap Zugriff auf dieselben Autorisierungsda
ten AD haben. Dies kann zum Beispiel über NFS erfolgen.
In allen Beispielen der Abb. 9 bis 19 ist es auch möglich, daß Service S - nach
Aufbau der Verbindung VC - via Verbindung VC mindestens einen Teil TZD der
Zugangsdaten ZD an Client C senden kann und Client C die von Service S erhaltenen
Zugangsdaten TZD gegen die von Logonservice LS empfangenen Zugangsdaten ZD
überprüfen kann und Verbindung VC zu Service S nur dann bestehen lassen kann, wenn
diese Überprüfung positiv ausfällt.
Nach Aufbau der Verbindung VC zu Client C kann sowohl Client C als auch Service S
Mittel enthalten, um zur Kommunikation mit Service S bzw. Client C einen neuen Thread
zu starten und die Kommunikation via Verbindung VC asynchron in dem neuen Thread
abwickeln.
In Abb. 15, 17 bis 19 ist es besonders vorteilhaft, Autorisierungsservice AS bzw.
Autorisierungsprogramme AP1 bis APap analog zu Abb. 5 und 8 in Netzwerkseg
ment N1, alle Clients in einem vollständig von N1 getrennten Netzwerksegment N aus
zuführen und keine Nachrichten zwischen den beiden Netzwerksegmenten N1 und N
physikalisch zu routen, damit keiner der Clients eine technische Möglichkeit erhält, Auto
risierungsdaten AD bzw. AD1 bis ADap zu erreichen.
In Ansprüchen 35 und 36 wird Service S durch mindestens einen auf Serviceeinheit SE
lokal ausgeführten Firewall LF (Anspruch 35) bzw. durch mindestens einen zwischen Cli
enteinheiten und Serviceeinheiten geschaltetem Firewall F (Anspruch 36) geschützt.
Abb. 20 veranschaulicht verschiedene Konfigurationsmöglichkeiten zum Schutz
von Service S mit Hilfe von Firewalls oder lokaler Firewalls in Systemen mit direkter Ver
bindung zwischen Logonservice LS und Service S. Die Konfigurationen sind sinngemäß
auf Systeme mit indirekter Kommunikation über Autorisierungsservice AS zwischen
Logonservice und Service S zu übertragen (hier nicht dargestellt). Teil a) stellt der Über
sichtlichkeit halber die beiden Grundtypen - mit Verbindungsaufbau von Logonservice
LS zu Service S als auch von Service S zu Logonservice LS - dar. Die anderen Teile b)
bis g) sind auf beide Grundtypen anzuwenden, wobei es genügt, wenn lokale Firewalls
LF (in Teilen d) bis f)) und Firewall FL (Teil g)) den Verbindungsaufbau jeweils nur in der
benötigten Richtung zulassen. In Teil b) werden Logonservice LS und Service S inner
halb eines Netzwerkes ausgeführt, welches von Clienteinheit CE nur über Firewall F
erreicht werden kann. Dabei ist Firewall F so konfiguriert, daß Client C eine Verbindung
zu Logonservice LS und Service S aufbauen und anschließend bidirektional mit Logon
service LS und Service S kommunizieren kann. In Teil c) werden Logonservice LS und
Service S auf Einheiten in verschiedenen Netzwerken ausgeführt, wobei Client C unge
schützt direkt zu Logonservice LS Verbindung VC aufbauen und bidirektional kommuni
zieren kann und wobei Client C Service S nur über Firewall F erreichen kann. Dabei ist
Firewall F so konfiguriert, daß Client C nur eine Verbindung zu Service S aufbauen und
anschließend bidirektional mit Service S kommunizieren kann. In Teil d) wird auf der Ser
vice S ausführenden Serviceeinheit SE ein lokaler Firewall LF ausgeführt, so daß Client
C ungeschützt direkt zu Logonservice LS Verbindung VCL aufbauen und bidirektional
kommunizieren kann und wobei Client C nur über lokalen Firewall LF Service S errei
chen kann. Dabei ist lokaler Firewall LF so konfiguriert, daß Client C nur eine Verbindung
zu Service S aufbauen und anschließend bidirektional mit Service S kommunizieren
kann. In Teilen e) und f) werden jeweils Client C bzw. Logonservice LS durch lokale Fire
walls LF geschützt. Selbstverständlich können über alle explizit erwähnten Konfiguratio
nen hinaus weitere hergestellt werden, welche von der Architektur des physikalischen
Netzwerkes und/oder der Konfiguration des Kommunikationssystems abhängen und
auch von dieser Patentanmeldung abgedeckt werden. Ein Beispiel ist die Kombination
verschiedener Firewalls, wie in Teil g) dargestellt. Dabei ist zusätzlich zu den bereits
erwähnten Firewalls der Zugriff auf Logonservice LS separat durch Firewall F' vor Client
zugriffen und Service S durch Firewall FL vor unautorisierten Zugriffen von Logoneinhei
ten geschützt.
Erfolgt der Verbindungsaufbau von Client C zu dem von Service S bereitgestellten Ver
bindungsendpunkt nicht innerhalb eines vorgegebenen Zeitintervalles T, kann Service S
den bereitgestellten Verbindungsendpunkt wieder schließen und erreicht seinen
ursprünglich abgeschlossenen Zustand wieder (Anspruch 37). Durch die zeitliche Limi
tierung der Bereitstellung des freien Verbindungsendpunktes wird sichergestellt, daß der
bereitgestellte Verbindungsendpunkt VEPS nicht versehentlich auf Dauer offen bleibt
und somit einen potentiellen permanenten Angriffspunkt von Service S bilden würde.
Bei allen Systemen nach Ansprüchen 1 bis 37 erfolgt der Verbindungsaufbau zwischen
Client C und Service S ausschließlich auf Initiative von Client C zu einem von Service S
bereitzustellenden freien Verbindungsendpunkt VEPS. Dies hat den Nachteil, daß Ser
vice S während der Zeit, in welcher er Verbindungsendpunkt VEPS bereitstellt und auf
die Verbindungsanforderung seitens Clients C wartet, für Port-Scans sichtbar ist und
eventuell von unautorisierten Clients angegriffen werden kann. Zwar bieten zusätzliche
zufällig wählbare Schlüsseldaten, welche autorisierter Client C Service S während des
Verbindungsaufbaus präsentieren muß, die Möglichkeit, daß Service S die Identität und
Autorisierung des Clients C überprüfen kann, jedoch könnte ein Angreifer die Kommuni
kation zu Client C eventuell abhören, gegebenenfalls entschlüsseln und damit die
Schlüsseldaten in Erfahrung bringen. Die Wahrscheinlichkeit ist zwar gering, da dem
Angreifer lediglich ein kurzer Zeitraum bleibt, bevor Service S Verbindungsendpunkt
VEPS wieder schließt bzw. sich autorisierter Client C bereits mit Verbindungsendpunkt
VEPS verbunden hat.
Im Gegensatz dazu erfolgt in Systemen nach Ansprüchen 38 und 52 und den von
Ansprüchen 38 und 52 abhängenden Unteransprüchen der Verbindungsaufbau zwi
schen Service S und Client C auf Initiative des Services S zu einem von Client C bereit
gestellten Verbindungsendpunkt VEPC. In diesen Systemen besteht sogar die
Möglichkeit, daß Service S auch die Verbindung zu Logonservice LS selbst aufbaut und
so zu absolut keinem Zeitpunkt einen freien Verbindungsendpunkt bereitstellt. Der
Unterschied zwischen Systemen nach Anspruch 38 und Systemen nach Anspruch 52
besteht analog zum Unterschied zwischen Systemen nach Ansprüchen 1 und 15 nur in
der direkten bzw. indirekt über Autorisierungsservice AS geleiteten Kommunikation zwi
schen Logonservice LS und Service S.
Operative Services, welche zu absolut keinem Zeitpunkt einen freien Verbindungs
endpunkt bereitstellen, sind zu absolut keinem Zeitpunkt für einen Angreifer bei
einem Port-Scan sichtbar. Systeme nach einem der Ansprüche 38 und 52 garantie
ren also, daß ein Angreifer selbst mit Kenntnis der physikalischen Adresse (z. B.:
der IP-Adresse) der Serviceeinheit SE zu absolut keinem Zeitpunkt die Existenz
von operativen Services durch einen Port-Scan ausspionieren kann. Ferner bieten
Systeme nach einem der Ansprüche 38 und 52 auch den bestmöglichen Schutz
vor direkten Angriffen auf operative Services, da es für einen Client technisch
unmöglich ist, überhaupt eine Verbindung zu operativen Services aufzubauen und
operative Services selbst kontrollieren, zu welchen Clients sie eine Verbindung
aufbauen.
Abb. 21a veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
38 bestehend aus Serviceeinheit SE, welche Logonservice LS und Service S ausführt,
wobei Logonservice LS und Service S über eine stehende logische bidirektionale Verbin
dung VS miteinander verbunden sind, sowie über physikalische Netzwerkverbindung NC
mit SE verbundene und Client C ausführende Clienteinheit CE. Abb. 23a
beschreibt den zeitlichen Ablauf des Verbindungsaufbaus von Client C zu Service S in
dem in Abb. 21a dargestellten Netzwerk mit Kommunikationssystem nach
Anspruch 38. Nach Aufbau der Verbindung VS stellt Service S während des normalen
Betriebes keine freien Verbindungsendpunkte bereit, so daß sich Client C nicht direkt mit
Service S verbinden kann. Logonservice LS hingegen stellt mindestens einen freien Ver
bindungsendpunkt VEPCL für Client C zur Verfügung, so daß sich Client C zum Verbin
dungsaufbau zu Service S zunächst nur mit Logonservice LS verbinden und
Verbindungparameter VP an Logonservice LS senden kann (1). Danach stellt Client C
mindestens einen freien Verbindungsendpunkt VEPC für Service S bereit und kann Ver
bindung VCL zu Logonservice LS gegebenenfalls abbrechen. Nachdem Logonservice
LS die Verbindungsanforderung von Client C akzeptiert und Verbindungsparameter VP
empfangen hat, sendet Logonservice LS über Verbindung VS Service S Verbindungspa
rameter VP zusammen mit Aufforderung A (2), eine Verbindung zu dem von Client C
bereitgestellten Verbindungsendpunkt VEPC aufzubauen, woraufhin Service S Verbin
dungsparameter VP empfängt und eine Verbindung zu dem von Client C bereitgestellten
Verbindungsendpunkt VEPC aufbaut (3).
Abb. 24 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
52 bestehend aus einer über Netzwerk N mit Clienteinheit CE verbundenen Serviceein
heit SE, welche Logonservice LS, Autorisierungsservice AS und Service S ausführt,
wobei Autorisierungsservice AS und Service S über eine stehende logische bidirektio
nale Verbindung VS miteinander verbunden sind. Abb. 30a beschreibt den zeitli
chen Ablauf des Verbindungsaufbaus von Service S zu Client C in dem in Abb. 24
dargestellten Netzwerk mit Kommunikationssystem nach Anspruch 52. Nach Aufbau der
Verbindung VS stellt Service S während des normalen Betriebes keine freien Verbin
dungsendpunkte bereit, so daß sich Client C nicht direkt mit Service S verbinden kann.
Logonservice LS und Autorisierungsservice AS sind über eine zuverlässige stehende
logische bidirektionale Kommunikationsverbindung VA miteinander verbunden oder
Autorisierungsservice AS stellt einen freien Verbindungsendpunkt für Logonservice LS
zur Verfügung, so daß sich Logonservice LS bei Bedarf mit Autorisierungsservice AS
verbinden kann. Darüberhinaus stellt Logonservice LS mindestens einen freien Verbin
dungsendpunkt VEPCL für Client C zur Verfügung, so daß sich Client C zum Verbin
dungsaufbau zu Service S zunächst nur mit Logonservice LS verbinden kann und
Verbindungsparameter VP an Logonservice LS senden kann (1). Danach stellt Client C
mindestens einen freien Verbindungsendpunkt VEPC für Service S bereit und kann die
Verbindung zu Logonservice LS gegebenenfalls abbrechen. Nachdem Logonservice LS
die Verbindungsanforderung von Client C akzeptiert und Verbindungsparameter VP
empfangen hat, baut Logonservice LS - falls noch keine Verbindung VA zu Autorisie
rungsservice AS existiert - Verbindung VA zu Autorisierungsservice AS auf und sendet
Autorisierungsservice AS via Verbindung VA (2) Verbindungsparameter VP und eine
Nachricht darüber, daß Client C eine Verbindung zu einem Service aufbauen will.
Danach sendet Autorisierungsservice AS via Verbindung VS Service S Verbindungspa
rameter VP zusammen mit einer Aufforderung, eine Verbindung zu dem von Client C
bereitgestellten Verbindungsendpunkt VEPC aufzubauen (3), woraufhin Service S Ver
bindungsparameter VP empfängt und Verbindung VC zu dem von Client C bereitgestell
ten Verbindungsendpunkt VEPC aufbaut.
Die verschiedenen Programme Logonservice LS, Autorisierungsservice AS oder Service
S können selbstverständlich auch beliebig auf einer oder mehreren Einheiten verteilt
werden - ein Beispiel ist explizit in Ansprüchen 39 bzw. 53 gegeben -, solange Logonser
vice LS und Service S mindestens von Client C erreichtbar sind und mindestens die Ver
bindung VS zwischen Logonservice LS und Service S bzw. Verbindung VA zwischen
Logonservice LS und Autorisierungsservice AS und Verbindung VS zwischen Autorisie
rungsservice AS und Service S aufgebaut werden können.
Ansprüche 38, 39, 52 und 53 decken selbstverständlich auch die Fälle ab, daß
- 1. Logonprogramme LP1,. . .,LPlp mehr als einen Logonservice LS1,. . .,LSls und/oder
- 2. Serviceprogramme SP1,. . .,SPsp mehr als einen Service S1,. . .,Ss, und/oder
- 3. Autorisierungsprogramme AP1,. . .,APap mehr als einen Autorisierungsservice AS1,. . .,ASas, und/oder
- 4. Clientprogramme CP1,. . .,CPcp mehr als einen Client C1,. . .,Cc
umfassen und genannte Programme LS1
,. . .,LSlS
, S1
,. . .,Ss
, AS1
,. . .,ASas
, C1
,. . .,Cc
auf den
entsprechenden Einheiten verteilt ausgeführt werden.
Abb. 21b veranschaulicht dasselbe Netzwerk mit Kommunikationssystem wie in
Abb. 21a mit dem Unterschied, daß Logonservice LS auf Einheit LE und Service S
auf Einheit SE ausgeführt werden, wobei alle Einheiten über physikalische Netzwerkver
bindung NC untereinander verbunden sind.
Auch in dem in Abb. 24 gezeigten Netzwerk mit Kommunikationssystem nach
Anspruch 52 können Programme Autorisierungsservice AS, Logonservice LS und Ser
vice S auf verschiedenen Einheiten ausgeführt werden, solange Logonservice LS und
Service S von Client C erreicht und die Verbindungen VA zwischen Logonservice LS und
Autorisierungsservice AS sowie VS zwischen Autorisierungsservice AS und Service S
aufgebaut werden können. So zeigt Abb. 25 dasselbe System wie Abb. 24 mit
dem Unterschied, daß Logonservice LS, Autorisierungsservice AS und Service S jeweils
auf verschiedenen Einheiten LE, AE bzw. SE ausgeführt werden, welche über Netzwerk
N physikalisch untereinander und mit Clienteinheit CE verbunden sind.
Besonders vorteilhaft ist die Trennung eines Netzwerks mit Kommunikationssystem
nach Anspruch 53 in zwei unterschiedliche physikalische Netzwerksegmente N und N1
(Abb. 26), wobei Einheiten LE und SE jeweils über zwei Netzwerkkarten verfügen,
von denen jeweils eine mit Segment N und die andere mit Segment N1 verbunden ist,
und wobei Autorisierungseinheit AE in Segment N1 und Clienteinheit CE in Netzwerk
segment N lokalisiert sind, und wobei keine Nachrichten zwischen den beiden Netzwerk
segmenten N und N1 physikalisch geroutet werden. Dies macht es Clients auf
Clienteinheit CE unmöglich Autorisierungseinheit AE direkt anzugreifen.
In permanent verfügbaren Systemen muß jedoch mindestens Logonservice LS stets für
Clients erreichbar sein, so daß die Logonservice LS ausführende Einheit stets angreifbar
bleibt. Deshalb ist es besonders vorteilhaft in einem System nach einem der Ansprüche
39 bzw. 53, Logonservice LS auf einer separaten Logoneinheit LE auszuführen, damit im
Falle eines Angriffes auf Logoneinheit LE Autorisierungsservice AS und Service S nicht
direkt betroffen sind.
Selbstverständlich können auch Autorisierungseinheit AE (Abb. 27) und Clientein
heit CE (Abb. 29) über mindestens zwei Netzwerkkarten mit mindestens zwei
unterschiedlichen Netzwerken (N1 und N2) verbunden sein. Der Vorteil einer Konfigura
tion nach Abb. 29 ist, daß die Zugänge von Client C zu Service S und Logonservice
LS vollständig unabhängig voneinander sind und separat - zum Beispiel durch verschie
den konfigurierte Firewalls - abgesichert werden können.
In Ansprüchen 40 bzw. 54 haben Logonservice LS bzw. Autorisierungsservice AS Zugriff
auf Autorisierungsdaten AD, so daß in Anspruch 40 Logonservice LS die von Client C in
(1) der Abb. 23b bzw. Abb. 22a/b gesendeten Anmeldungsdaten AMD über
prüfen kann und Logonservice LS nur dann die Aufforderung (2) zur Bereitstellung eines
freien Verbindungsendpunktes an Service S sendet, falls die Überprüfung der von Client
C vorgelegten Anmeldungsdaten AMD gegen Autorisierungsdaten AD positiv ausfiel,
und so daß in Anspruch 54 Autorisierungsservice AS die von Client C in (1) der
Abb. 30b bzw. Abb. 26 bis 29 an Logonservice LS gesendeten und von Logon
service LS in (2) an Autorisierungsservice AS weitergeleiteten Anmeldungsdaten AMD
überprüfen kann und Autorisierungsservice AS nur dann Aufforderung A, eine Verbin
dung zu von Client C bereitgestelltem Verbindungsendpunkt VEPC aufzubauen, an Ser
vice S sendet (3), falls die Überprüfung der von Client C vorgelegten Anmeldungsdaten
AMD gegen Autorisierungsdaten AD positiv ausfiel. Auf diese Weise erhält Client C
keine Möglichkeit ohne zuvorige Überprüfung seiner Zugangsberechtigung eine Verbin
dung von Service S aufbauen zu lassen. Dabei ist Anspruch 54 der Vorzug gegenüber
Anspruch 40 zu geben, da Autorisierungsservice AS zusammen mit Autorisierungsdaten
AD auf einer separaten Einheit AE ausgeführt bzw. gespeichert werden, welche Einheit
AE für keinen Client erreichbar ist (Abb. 26 bis 29), während die Autorisierungs
daten in Anspruch 40 auf derselben Einheit LE gespeichert sein müssen, welche auch
Logonservice LS ausführt (Abb. 22a/b).
Ansprüche 41 und 55 decken die Fälle ab, in denen mindestens ein Teil der Anmel
dungsdaten AMD verschlüsselt von Client C an Logonservice LS übertragen und von
Logonservice LS entschlüsselt wird (Anspruch 41), sowie von Client C an Logonservice
LS, von Logonservice LS an Autorisierungsservice AS weitergeleitet und von Autorisie
rungsservice AS entschlüsselt (Anspruch 55) wird.
In Netzwerken mit Kommunikationssystemen nach Ansprüchen 38 bis 41 und 52 bis 55
auf der Basis von TCP/IP sind die Zugangsdaten - insbesondere die physikalische
Adresse (IP-Adresse) der Client C ausführenden Einheit sowie die lokale Kennung (Port
nummer) des von Client C für Service S bereitgestellten Verbindungsendpunktes VEPC -
fest vorgegeben und müssen Service S bekannt sein, damit Service S eine Verbindung
zu dem von Client C bereitgestellten Verbindungsendpunkt VEPC aufbauen kann. Dies
birgt natürlich die Gefahr, daß ein unautorisierter Angreifer Kenntnis der Zugangsdaten
erlangt und sich mit dem von Client C bereitgestellten Verbindungsendpunkt VEPC ver
bindet, bevor Service S Verbindung VC zu von Client C bereitgestelltem Verbindungs
endpunkt VEPC aufbaut.
Diesen Nachteil beseitigen Netzwerke mit Kommunikationssystemen nach Anspruch 42
bzw. 56, in welchem Service S die Zugangsdaten ZD zu Beginn nicht kennt und sie erst
im Laufe des Anmeldungsverfahrens von Logonservice LS bzw. Autorisierungsservice
AS übermittelt erhält. Dabei können in Systemen nach Anspruch 42 ein Teil der
Zugangsdaten ZD entweder von Logonservice LS (Anspruch 43), Service S (Anspruch
44) oder Client C (Anspruch 45), und in Systemen nach Anspruch 56 entweder von
Logonservice LS (Anspruch 57), Autorisierungsservice AS (Anspruch 58), Service S
(Anspruch 59) oder Client C (Anspruch 60), erzeugt und, falls wenigstens ein Teil der
Zugangsdaten ZD nicht von Service S erzeugt wurde, via den vorhandenen Kommunika
tionsverbindungen VS, VA und VCL direkt oder indirekt an Service S und, falls wenig
stens ein Teil der Zugangsdaten ZD nicht von Client C erzeugt wurde, auch an Client C
übertragen werden. Wichtig ist nur, daß sowohl Client C vor Bereitstellung des neuen
freien Verbindungsendpunktes VEPC als auch Service S vor Verbindungsaufbau zu dem
von Client C bereitgestellten neuen Verbindungsendpunkt VEPC den jeweils benötigten
Teil der Zugangsdaten ZD kennen.
In Netzwerken mit Kommunikationssystemen nach Anspruch 42 bzw. 56 ist es beson
ders vorteilhaft,
- 1. eine aus mehreren mindestens einen Service nach Anspruch 38 bzw. 52 ausführen den Serviceeinheiten auszuwählen und die physikalische Adresse der ausgewählten Serviceeinheit in den Zugangsdaten ZD an Client C zu übertragen, wobei die Aus wahl entweder durch einen Logonservice (Ansprüche 46 und 61) oder einen Autori sierungsservice (Anspruch 62) erfolgen kann,
- 2. die lokale Kennung LK des von Client C für Service S bereitzustellenden Verbin dungsendpunktes VEPC frei zu wählen und, falls die Wahl nicht von Client C erfolgte, an Client C und, falls die Wahl nicht von Service S erfolgte, auch an Service S zu übertragen (Ansprüche 47 bis 49 und 63 bis 66),
- 3. mindestens einen Teil VTZD der Zugangsdaten ZD verschlüsselt von Logonservice LS an Client C zu übertragen (Ansprüche 50 und 67). Selbstverständlich muß in die sem Fall Client C Mittel enthalten, um den verschlüsselten Teil VTZD der Zugangsda ten ZD zu entschlüsseln;
- 4. mindestens einen Teil VTZD2 der Zugangsdaten ZD verschlüsselt von Logonservice LS (Anspruch 51) oder Autorisierungsservice AS (Anspruch 68) an Service S zu übertragen. Selbstverständlich muß in diesem Fall Service S Mittel enthalten, um den verschlüsselten Teil VTZD2 der Zugangsdaten ZD zu entschlüsseln;
- 5. einen beliebig wählbaren Schlüssel in Zugangsdaten ZD, falls die Wahl nicht von Service S erfolgte, an Service S (Anspruch 69) und, falls die Wahl nicht von Client C erfolgte, auch an Client C zu übertragen (Anspruch 70),
- 6. mindestens einen Teil TZD der Zugangsdaten ZD - insbesondere, aber nicht aus schließlich, die physikalische Adresse der Service S ausführenden Serviceeinheit SE, die Portnummer des von Client C für Service S bereitzustellenden Verbindungs endpunktes VEPC, oder Schlüssel ZSS bzw. ZSC - pseudozufällig oder absolut zufällig zu erzeugen (Anspruch 71).
Abb. 31 bis 41 illustrieren verschiedene Ausführungsbeispiele von Netzwerken
mit Kommunikationssystemen nach Ansprüchen 38 bis 71 mit dazugehörenden zeitli
chen Abläufen des Verbindungsaufbaus zwischen Client C und Service S, wobei Logon
service LS, Autorisierungsservice AS, Service S und Client C beliebig auf
Netzwerkeinheiten verteilt werden können, solange die benötigen Verbindungen aufge
baut werden und die Programme wie beschrieben kommunizieren können. Deshalb wur
den die physikalischen Netzwerkeinheiten und -verbindungen in Abb. 31 bis 41
weggelassen. In den gezeigten Beispielen überträgt nach Aufbau der Verbindung VC
Service S mindestens einen Teil TZD2 der Zugangsdaten ZD an Client C und Client C
überprüft den von Service S erhaltenen Teil TZD2 gegen Zugangsdaten ZD. Diese Über
prüfung kann auch umgekehrt erfolgen, indem nach Aufbau der Verbindung VC Client C
mindestens einen Teil TZD der Zugangsdaten ZD an Service S überträgt und Service S
die von Client C erhaltenen Zugangsdaten TZD gegen Zugangsdaten ZD überprüft.
Beide Überprüfungen sind nicht unbedingt notwendig, erhöhen jedoch die Sicherheit des
Systems, da Service S sich gegenüber Client C bzw. Client C sich gegenüber Service S
authentisieren muß und damit nachgewiesen wird, daß Client C zuvor das Logonverfah
ren positiv durchlaufen hat.
Abb. 31 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
43, in welchem nach Verbindungsaufbau zwischen Client C und Logonservice LS Client
C in Nachricht (1) Anmeldungsdaten AMD an Logonservice LS schickt, Logonservice LS
bei positivem Ausgang der Überprüfung von Anmeldungsdaten AMD gegen Autorisie
rungsdaten AD Zugangsdaten ZD erzeugt, in Nachricht (2) Zugangsdaten ZD zusam
men mit Aufforderung A, eine Verbindung zu dem von Client C bereitgestellten
Verbindungsendpunkt VEPC aufzubauen, an Service S und in Nachricht (3) Zugangsda
ten ZD an Client C sendet, so daß Client C in Abhängigkeit von Zugangsdaten ZD einen
neuen Verbindungsendpunkt VEPC für Service S bereitstellen kann, Service S Verbin
dung VC zu dem von Client C bereitgestellten Verbindungsendpunkt VEPC aufbauen
kann, Service S via Verbindung VC in Nachricht (4) mindestens einen Teil TZD der
Zugangsdaten ZD an Client C senden kann und Client C die von Service S erhaltenen
Zugangsdaten TZD gegen die von Logonservice LS erhaltenen Zugangsdaten ZD über
prüfen kann und Verbindung VC zu Service S nur dann bestehen lassen kann, wenn
diese Überprüfung positiv ausfällt.
Abb. 32 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
44, in welchem nach Verbindungsaufbau zwischen Client C und Logonservice LS Client
C in Nachricht (1) Anmeldungsdaten AMD an Logonservice LS schickt, Logonservice LS
bei positivem Ausgang der Überprüfung von Anmeldungsdaten AMD gegen Autorisie
rungsdaten AD Aufforderung A, eine Verbindung zu dem von Client C bereitgestellten
Verbindungsendpunkt VEPC aufzubauen, an Service S schickt (2), Service S Zugangs
daten ZD erzeugt und Zugangsdaten ZD in Nachricht (3) an Logonservice LS sendet,
Logonservice LS in Nachricht (4) die von Service S empfangenen Zugangsdaten ZD an
Client C weiterleitet, so daß Client C in Abhängigkeit von Zugangsdaten ZD einen neuen
Verbindungsendpunkt VEPC für Service S bereitstellen kann, Service S Verbindung VC
zu dem von Client C bereitgestellten Verbindungsendpunkt VEPC aufbauen kann, Ser
vice S via Verbindung VC in Nachricht (5) mindestens einen Teil TZD der Zugangsdaten
ZD an Client C senden kann und Client C die von Service S erhaltenen Zugangsdaten
TZD gegen die von Service S und Logonservice LS erhaltenen Zugangsdaten ZD über
prüfen kann und Verbindung VC zu Service S nur dann bestehen lassen kann, wenn
diese Überprüfung positiv ausfällt.
Abb. 33 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
57, in welchem nach Verbindungsaufbau zwischen Client C und Logonservice LS Client
C in Nachricht (1) Anmeldungsdaten AMD an Logonservice LS schickt, Logonservice LS
Zugangsdaten ZD erzeugt und in Nachricht (2) Zugangsdaten ZD zusammen mit Anmel
dungsdaten AMD an Autorisierungsservice AS schickt, Autorisierungsservice AS bei
positivem Ausgang der Überprüfung von Anmeldungsdaten AMD gegen Autorisierungs
daten AD in Nachricht (3) Zugangsdaten ZD zusammen mit Aufforderung A, eine Verbin
dung zu dem von Client C bereitgestellten Verbindungsendpunkt VEPC aufzubauen, an
Service S schickt und Logonservice LS in Nachricht (4) Zugangsdaten ZD an Client C
schickt, so daß Client C in Abhängigkeit von Zugangsdaten ZD einen neuen Verbin
dungsendpunkt VEPC für Service S bereitstellen kann, Service S Verbindung VC zu
dem von Client C bereitgestellten Verbindungsendpunkt VEPC aufbauen kann, Service
S via Verbindung VC in Nachricht (5) mindestens einen Teil TZD der Zugangsdaten ZD
an Client C senden kann und Client C die von Service S erhaltenen Zugangsdaten TZD
gegen die von Logonservice LS erhaltenen Zugangsdaten ZD überprüfen kann und Ver
bindung VC zu Service S nur dann bestehen lassen kann, wenn diese Überprüfung posi
tiv ausfällt.
Abb. 34 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
58, in welchem nach Verbindungsaufbau zwischen Client C und Logonservice LS Client
C in Nachricht (1) Anmeldungsdaten AMD an Logonservice LS schickt, Logonservice LS
in Nachricht (2) Anmeldungsdaten AMD an Autorisierungsservice AS weiterleitet, Autori
sierungsservice AS bei positivem Ausgang der Überprüfung von Anmeldungsdaten AMD
gegen Autorisierungsdaten AD Zugangsdaten ZD erzeugt und in Nachricht (3) Zugangs
daten ZD zusammen mit Aufforderung A, eine Verbindung zu dem von Client C bereitge
stellten Verbindungsendpunkt VEPC aufzubauen, an Service S und in Nachricht (4)
Zugangsdaten ZD an Logonservice LS schickt, Logonservice LS in Nachricht (5)
Zugangsdaten ZD an Client C weiterleitet, so daß Client C in Abhängigkeit von Zugangs
daten ZD einen neuen Verbindungsendpunkt VEPC für Service S bereitstellen kann,
Service S Verbindung VC zu dem von Client C bereitgestellten Verbindungsendpunkt
VEPC aufbauen kann, Service S via Verbindung VC in Nachricht (6) mindestens einen
Teil TZD der Zugangsdaten ZD an Client C senden kann und Client C die von Service S
erhaltenen Zugangsdaten TZD gegen die von Autorisierungsservice AS via Logonser
vice LS erhaltenen Zugangsdaten ZD überprüfen kann und Verbindung VC zu Service S
nur dann bestehen lassen kann, wenn diese Überprüfung positiv ausfällt.
Abb. 35 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
59, in welchem nach Verbindungsaufbau zwischen Client C und Logonservice LS Client
C in Nachricht (1) Anmeldungsdaten AMD an Logonservice LS schickt, Logonservice LS
in Nachricht (2) Anmeldungsdaten AMD an Autorisierungsservice AS weiterleitet, Autori
sierungsservice AS bei positivem Ausgang der Überprüfung von Anmeldungsdaten AMD
gegen Autorisierungsdaten AD in Nachricht (3) Aufforderung A, eine Verbindung zu dem
von Client C bereitgestellten Verbindungsendpunkt VEPC aufzubauen, an Service S
schickt, Service S Zugangsdaten ZD erzeugt und in Nachricht (4) Zugangsdaten ZD an
Autorisierungsservice AS schickt, Autorisierungsservice AS in Nachricht (5) Zugangsda
ten ZD an Logonservice LS weiterleitet und Logonservice LS in Nachricht (6) Zugangs
daten ZD an Client C weiterleitet, so daß Client C in Abhängigkeit von Zugangsdaten ZD
einen neuen Verbindungsendpunkt VEPC für Service S bereitstellen kann, Service S
Verbindung VC zu dem von Client C bereitgestellten Verbindungsendpunkt VEPC auf
bauen kann, Service S via Verbindung VC in Nachricht (7) mindestens einen Teil TZD
der Zugangsdaten ZD an Client C senden kann und Client C die von Service S erhalte
nen Zugangsdaten TZD gegen die von Service S via Autorisierungsservice AS und
Logonservice LS erhaltenen Zugangsdaten ZD überprüfen kann und Verbindung VC zu
Service S nur dann bestehen lassen kann, wenn diese Überprüfung positiv ausfällt.
Nach positivem Ausfall der Überprüfung erzeugt Client C in diesem Beispiel einen neuen
Thread zur Kommunikation mit Service S und bestätigt Service S in Nachricht (8) die
Akzeptanz der Verbindung.
Abb. 36 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
46 bestehend aus einem Logonservice LS und sp Serviceprogrammen SP1 bis SPsp,
wobei Logonservice LS mit jedem der Serviceprogramme über jeweils eine zuverlässige
stehende logische bidirektionale Kommunikationsverbindung VS1 bis VSsp verbunden ist
und nach Verbindungsaufbau zwischen Client C und Logonservice LS Client C in Nach
richt (1) Anmeldungsdaten AMD an Logonservice LS schickt, Logonservice LS bei positi
vem Ausgang der Überprüfung von Anmeldungsdaten AMD gegen Autorisierungsdaten
AD Service S = SP2 aus Serviceprogrammen SP1 bis SPsp auswählt, Zugangsdaten ZD
erzeugt und in Nachricht (2) Zugangsdaten ZD zusammen mit Aufforderung A, eine Ver
bindung zu dem von Client C bereitgestellten Verbindungsendpunkt VEPC aufzubauen,
an Service S schickt, und in Nachricht (3) Zugangsdaten ZD an Client C sendet, so daß
Client C in Abhängigkeit von Zugangsdaten ZD einen neuen Verbindungsendpunkt
VEPC für Service S bereitstellen kann, Service S Verbindung VC2 zu dem von Client C
bereitgestellten Verbindungsendpunkt VEPC aufbauen kann, Service S via Verbindung
VC2 in Nachricht (4) mindestens einen Teil TZD der Zugangsdaten ZD an Client C sen
den kann und Client C die von Service S erhaltenen Zugangsdaten TZD gegen die von
Logonservice LS erhaltenen Zugangsdaten ZD überprüfen kann und Verbindung VC2 zu
Service S nur dann bestehen lassen kann, wenn diese Überprüfung positiv ausfällt.
Abb. 37 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
62 bestehend aus einem Logonservice LS, einem Autorisierungsservice AS und sp Ser
viceprogrammen SP1 bis SPsp, wobei Logonservice LS über zuverlässige stehende logi
sche bidirektionale Kommunikationsverbindung VA mit Autorisierungsservice AS und
Autorisierungsservice AS mit jedem der Serviceprogramme über jeweils eine stehende
logische bidirektionale Kommunikationsverbindung VS1 bis VSsp verbunden ist und nach
Verbindungsaufbau zwischen Client C und Logonservice LS Client C in Nachricht (1)
Anmeldungsdaten AMD an Logonservice LS schickt, Logonservice LS in Nachricht (2)
Anmeldungsdaten AMD an Autorisierungsservice AS weiterleitet, Autorisierungsservice
AS bei positivem Ausgang der Überprüfung von Anmeldungsdaten AMD gegen Autori
sierungsdaten AD Service S = SP2 aus Serviceprogrammen SP1 bis SPsp auswählt, in
Nachricht (3) Aufforderung A, eine Verbindung zu dem von Client C bereitgestellten Ver
bindungsendpunkt VEPC aufzubauen, an Service S schickt, Service S Zugangsdaten
ZD erzeugt und in Nachricht (4) Zugangsdaten ZD an Autorisierungsservice AS sendet,
Autorisierungsservice AS in Nachricht (5) Zugangsdaten ZD an Logonservice LS weiter
leitet und Logonservice LS in Nachricht (6) Zugangsdaten ZD an Client C weiterleitet, so
daß Client C in Abhängigkeit von Zugangsdaten ZD einen neuen Verbindungsendpunkt
VEPC für Service S bereitstellen kann, Service S Verbindung VC2 zu dem von Client C
bereitgestellten Verbindungsendpunkt VEPC aufbauen kann, Service S via Verbindung
VC2 in Nachricht (7) mindestens einen Teil TZD der Zugangsdaten ZD an Client C sen
den kann und Client C die von Service S erhaltenen Zugangsdaten TZD gegen die von
Service S via Autorisierungsservice AS und Logonservice LS erhaltenen Zugangsdaten
ZD überprüfen kann und Verbindung VC2 zu Service S nur dann bestehen lassen kann,
wenn diese Überprüfung positiv ausfällt.
Abb. 38 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
46 bestehend aus cp Clientprogrammen CP1 bis CPcp, lp Logonprogrammen LP1 bis
LPlp und sp Serviceprogrammen SP1 bis SPsp, wobei jedes Logonprogramm mit einem
Teil der Serviceprogramme SP1 bis SPsp über jeweils eine zuverlässige stehende logi
sche bidirektionale Kommunikationsverbindung VS1,1 bis VSlp,sp verbunden ist und nach
Verbindungsaufbau zwischen Client C = CPk und Logonservice LS = LPlp Client C in
Nachricht (1) Anmeldungsdaten AMD an Logonservice LS schickt, Logonservice LS bei
positivem Ausgang der Überprüfung von Anmeldungsdaten AMD gegen Autorisierungs
daten ADip Service S = SPj+1 aus Serviceprogrammen SP1 bis SPsp auswählt, Zugangs
daten ZD erzeugt und in Nachricht (2) Zugangsdaten ZD zusammen mit Aufforderung A,
eine Verbindung zu dem von Client C bereitgestellten Verbindungsendpunkt VEPC auf
zubauen, an Service S schickt, und in Nachricht (3) Zugangsdaten ZD an Client C sen
det, so daß Client C in Abhängigkeit von Zugangsdaten ZD einen neuen
Verbindungsendpunkt VEPC für Service S bereitstellen kann, Service S Verbindung
VCj+1,k zu dem von Client C bereitgestellten Verbindungsendpunkt VEPC aufbauen
kann, Service S via Verbindung VCj+1,k in Nachricht (4) mindestens einen Teil TZD der
Zugangsdaten ZD an Client C senden kann und Client C die von Service S erhaltenen
Zugangsdaten TZD gegen die von Logonservice LS erhaltenen Zugangsdaten ZD über
prüfen kann und Verbindung VCj+1,k zu Service S nur dann bestehen lassen kann, wenn
diese Überprüfung positiv ausfällt.
Abb. 39 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
62 bestehend aus cp Clientprogrammen CP1 bis CPcp, lp Logonprogrammen LP1 bis
LPlp, einem Autorisierungsservice AS und sp Serviceprogrammen SP1 bis SPsp, wobei
jedes Logonprogramm mit Autorisierungsservice AS über jeweils eine zuverlässige ste
hende logische bidirektionale Kommunikationsverbindung VA1 bis VAlp verbunden ist,
Autorisierungsservice AS mit jedem der Serviceprogramme über jeweils eine zuverläs
sige stehende logische bidirektionale Kommunikationsverbindung VS1 bis VSsp verbun
den ist und nach Verbindungsaufbau zwischen Client C = CPk und Logonservice LS =
LP1 Client C in Nachricht (1) Anmeldungsdaten AMD an Logonservice LS schickt,
Logonservice LS in Nachricht (2) Anmeldungsdaten AMD an Autorisierungsservice AS
weiterleitet, Autorisierungsservice AS bei positivem Ausgang der Überprüfung von
Anmeldungsdaten AMD gegen Autorisierungsdaten AD Service S = SP1 aus Servicepro
grammen SP1 bis SPsp auswählt, in Nachricht (3) Aufforderung A, eine Verbindung zu
dem von Client C bereitgestellten Verbindungsendpunkt VEPC aufzubauen, an Service
S schickt, Service S Zugangsdaten ZD erzeugt und in Nachricht (4) Zugangsdaten ZD
an Autorisierungsservice AS sendet, Autorisierungsservice AS in Nachricht (5) Zugangs
daten ZD an Logonservice LS weiterleitet und Logonservice LS in Nachricht (6)
Zugangsdaten ZD an Client C weiterleitet, so daß Client C in Abhängigkeit von Zugangs
daten ZD einen neuen Verbindungsendpunkt VEPC für Service S bereitstellen kann,
Service S Verbindung VC1,k zu dem von Client C bereitgestellten Verbindungsendpunkt
VEPC aufbauen kann, Service S via Verbindung VC1,k in Nachricht (7) mindestens einen
Teil TZD der Zugangsdaten ZD an Client C senden kann und Client C die von Service S
erhaltenen Zugangsdaten TZD gegen die von Service S via Autorisierungsservice AS
und Logonservice LS erhaltenen Zugangsdaten ZD überprüfen kann und Verbindung
VC1,k zu Service S nur dann bestehen lassen kann, wenn diese Überprüfung positiv
ausfällt.
Abb. 40 veranschaulicht ein Netzwerk mit Kommunikationssystem nach Anspruch
62 bestehend aus cp Clientprogrammen CP1 bis CPcp, lp Logonprogrammen LP1 bis
LPlp, ap Autorisierungsprogrammen AP1 bis APap und sp Serviceprogrammen SP1 bis
SPsp, wobei jedes Logonprogramm jeweils mit einem Teil der Autorisierungsprogramme
AP1 bis APap über jeweils eine zuverlässige stehende logische bidirektionale Kommuni
kationsverbindung VA1,1 bis VAlp,ap verbunden ist, jedes Autorisierungsprogramm
jeweils mit einem Teil der Serviceprogramme SP1 bis SPsp über jeweils eine zuverläs
sige stehende logische bidirektionale Kommunikationsverbindung VS1,1 bis VSap,sp ver
bunden ist und nach Verbindungsaufbau zwischen Client C = CPk und Logonservice LS
= LP1 Client C in Nachricht (1) Anmeldungsdaten AMD an Logonservice LS schickt,
Logonservice LS in Nachricht (2) Anmeldungsdaten AMD an Autorisierungsservice AS =
APap weiterleitet, Autorisierungsservice AS bei positivem Ausgang der Überprüfung von
Anmeldungsdaten AMD gegen Autorisierungsdaten ADap Service S = SP1 aus Service
programmen SP1 bis SPsp auswählt, in Nachricht (3) Aufforderung A, eine Verbindung
zu dem von Client C bereitgestellten Verbindungsendpunkt VEPC aufzubauen, an Ser
vice S schickt, Service S Zugangsdaten ZD erzeugt und in Nachricht (4) Zugangsdaten
ZD an Autorisierungsservice AS sendet, Autorisierungsservice AS in Nachricht (5)
Zugangsdaten ZD an Logonservice LS weiterleitet und Logonservice LS in Nachricht (6)
Zugangsdaten ZD an Client C weiterleitet, so daß Client C in Abhängigkeit von Zugangs
daten ZD einen neuen Verbindungsendpunkt VEPC für Service S bereitstellen kann,
Service S Verbindung VC1,k zu dem von Client C bereitgestellten Verbindungsendpunkt
VEPC aufbauen kann, Service S via Verbindung VC1,k in Nachricht (7) mindestens einen
Teil TZD der Zugangsdaten ZD an Client C senden kann und Client C die von Service S
erhaltenen Zugangsdaten TZD gegen die von Service S via Autorisierungsservice AS
und Logonservice LS erhaltenen Zugangsdaten ZD überprüfen kann und Verbindung
VC1,k zu Service S nur dann bestehen lassen kann, wenn diese Überprüfung positiv
ausfällt.
Abb. 41 veranschaulicht dasselbe System wie Abb. 40 mit dem Unterschied,
daß alle Autorisierungsprogramme AP1 bis APap Zugriff auf dieselben Autorisierungsda
ten AD haben. Dies kann zum Beispiel über NFS erfolgen.
In allen Beispielen der Abb. 31 bis 41 ist es auch möglich, daß Client C - nach
Aufbau der Verbindung VC - via Verbindung VC mindestens einen Teil TZD2 der
Zugangsdaten ZD an Service S senden kann und Service S die von Client C erhaltenen
Zugangsdaten TZD2 gegen die selbsterzeugten oder empfangenen Zugangsdaten ZD
überprüfen kann und Verbindung VC zu Client C nur dann bestehen lassen kann, wenn
diese Überprüfung positiv ausfällt.
Nach Aufbau der Verbindung VC zu Client C kann sowohl Client C als auch Service S
Mittel enthalten, um zur Kommunikation mit Service S bzw. Client C einen neuen Thread
zu starten und die Kommunikation via Verbindung VC asynchron in dem neuen Thread
abwickeln.
In Abb. 37, 39 bis 41 ist es besonders vorteilhaft, Autorisierungsservice AS bzw.
Autorisierungsprogramme AP1 bis APap analog zu Abb. 28 in Netzwerksegment
N1, alle Clients in einem vollständig von N1 getrennten Netzwerksegment N auszufüh
ren und zwischen Netzwerken N und N1 absolut keine Nachricht physikalisch zu routen,
damit keiner der Clients die technische Möglichkeit erhält, Autorisierungsdaten AD bzw.
AD1 bis ADap direkt zu erreichen.
In Ansprüchen 72 und 73 wird Service S durch mindestens einen, auf Serviceeinheit SE
lokal ausgeführten Firewall LF (Anspruch 72) bzw. durch mindestens einen zwischen Cli
enteinheiten und Serviceeinheiten geschaltetem Firewall F (Anspruch 73) geschützt.
Abb. 42 veranschaulicht verschiedene Konfigurationsmöglichkeiten zum Schutz
von Service S mit Hilfe von Firewalls oder lokaler Firewalls in Systemen mit direkter Ver
bindung zwischen Logonservice LS und Service S. Die Konfigurationen sind sinngemäß
auf Systeme mit indirekter Kommunikation über Autorisierungsservice AS zwischen
Logonservice und Service S zu übertragen (hier nicht dargestellt). Teil a) stellt der Über
sichtlichkeit halber die beiden Grundtypen - mit Verbindungsaufbau von Logonservice
LS zu Service S als auch von Service S zu Logonservice LS - dar. Die anderen Teile b)
bis g) sind auf beide Grundtypen anzuwenden, wobei es genügt, wenn lokale Firewalls
LF (in Teilen d) bis f)) und Firewall FL (Teil g)) den Verbindungsaufbau jeweils nur in der
benötigten Richtung zulassen. In Teil b) werden Logonservice LS und Service S inner
halb eines Netzwerkes ausgeführt, welches von Clienteinheit CE nur über Firewall F
erreicht werden kann. Dabei ist Firewall F so konfiguriert, daß Client C nur eine Verbin
dung zu Logonservice LS und Service S eine Verbindung zu Client C aufbauen und
anschließend Client C bidirektional mit Logonservice LS und Service S kommunizieren
kann. In Teil c) werden Logonservice LS und Service S auf Einheiten in verschiedenen
Netzwerken ausgeführt, wobei Client C ungeschützt direkt zu Logonservice LS Verbin
dung VCL aufbauen und bidirektional kommunizieren kann und wobei Client C Service S
nur über Firewall F erreichen kann. Dabei ist Firewall F so konfiguriert, daß Service S nur
eine Verbindung zu Client C aufbauen und beide anschließend bidirektional miteinander
kommunizieren können. In Teil d) wird auf der Service S ausführenden Serviceeinheit SE
ein lokaler Firewall LF ausgeführt, so daß Client C ungeschützt direkt zu Logonservice
eine Verbindung aufbauen und bidirektional kommunizieren kann und wobei Service S
durch lokalen Firewall LF geschützt ist. Dabei ist lokaler Firewall LF so konfiguriert, daß
nur Service S eine Verbindung zu Client C aufbauen und beide anschließend bidirektio
nal miteinander kommunizieren können. In Teilen e) und f) werden jeweils Client C bzw.
Logonservice LS durch lokale Firewalls LF geschützt. Selbstverständlich können über
alle explizit erwähnten Konfigurationen hinaus weitere hergestellt werden, welche von
der Architektur des physikalischen Netzwerkes und/oder der Konfiguration des Kommu
nikationssystems abhängen und auch von dieser Patentanmeldung abgedeckt werden.
Ein Beispiel ist die Kombination verschiedener Firewalls, wie in Teil g) dargestellt. Dabei
ist zusätzlich zu den bereits erwähnten Firewalls der Zugriff auf Logonservice LS separat
durch Firewall F' vor Clientzugriffen und Service S durch Firewall FL vor unautorisierten
Zugriffen von Logoneinheiten geschützt.
Der besondere Vorteil eines Systems nach einem der Ansprüche 38 bis 73 gegenüber
Systemen nach einem der Ansprüche 1 bis 37 besteht darin, daß Firewall F zwischen
Service S und Client C bzw. lokaler Firewall LF auf Serviceeinheit SE derart konfiguriert
werden kann, daß er absolut keine Verbindungsaufbauten in Richtung zu Service
einheit SE bzw. Service S durchläßt und alle verbindungslosen Nachrichten von
und zu Serviceeinheit SE bzw. Service S blockiert.
Die einzigsten Angriffspunkte in Systemen nach einem der Ansprüche 38 bis 73 sind die
von Logonservices bereitgestellten Verbindungsendpunkte VEPCL und die von den Cli
ents bereitzustellenden Verbindungsendpunkte VEPC. Da jedoch in der Regel sowohl
auf einer Logoneinheit als auch auf Clientseite keine wirtschaftlich relevanten bzw.
sicherheitskritischen Daten gespeichert sind, ist ein Angriff auf einen Logonservice oder
einen Client nicht so gefährlich, wie ein Angriff auf wirtschaftlich relevante bzw. sicher
heitskritische Daten bereitstellenden Services.
Erfolgt der Verbindungsaufbau von Service S zu dem von Client C bereitgestellten Ver
bindungsendpunkt VEPC nicht innerhalb eines vorgegebenen Zeitintervalles T, kann Cli
ent C den bereitgestellten Verbindungsendpunkt VEPC wieder schließen, wodurch das
System seinen ursprünglich abgeschlossenen Zustand wieder erreicht (Anspruch 74).
Durch die zeitliche Limitierung der Bereitstellung des freien Verbindungsendpunktes
VEPC wird sichergestellt, daß der bereitgestellte Verbindungsendpunkt VEPC nicht ver
sehentlich auf Dauer offen bleibt und somit einen potentiellen permanenten Angriffs
punkt des Systems bilden würde.
Stellen zusätzlich nach Aufbau der Verbindung VS zu bzw. von Service S keines der auf
Serviceeinheit SE ausgeführten Programme einen freien Verbindungsendpunkt zu Ver
fügung (Anspruch 75) oder baut Service S Verbindung VS zu einem von Logonservice
LS bereitgestellten Verbindungsendpunkt selbst auf und keines der von Serviceeinheit
SE ausgeführten Programme stellt zu irgendeinem Zeitpunkt einen freien Verbindungs
endpunkt zur Verfügung (Anspruch 76) und enthält mindestens ein auf Serviceeinheit SE
ausgeführtes Programm - insbesondere Service S oder ein lokaler Firewall LF - Mittel,
um absolut keine verbindungslosen Nachrichten zu senden bzw. alle verbindungslos von
einem Programm auf Serviceeinheit SE gesendeten Nachrichten zu unterdrücken
(Anspruch 77) und alle verbindungslos an Serviceeinheit SE gesendeten Nachrichten zu
blockieren (Anspruch 78), gibt es für autorisierte und unautorisierte Clients absolut keine
technische Möglichkeit, um von Service S bereitgestellte Daten - unter Umgehung von
Service S und Logonservice LS - direkt zu erreichen, obwohl alle Clients Serviceeinheit
SE theoretisch direkt erreichen könnten, da Service S in der Lage sein muß, eine Verbin
dung zu autorisierten Clients aufzubauen.
Hängt in Ansprüchen 9, 24, 25, 46, 61 und 62 die Auswahl des Services von der Autori
sierung des Clients ab, können gezielt einzelne Services beispielsweise für unauthenti
sierte Gast-Benutzer, für authentisierte Benutzer, oder für Systemadministratoren
ausgewählt werden. Dabei erhalten die einzelnen Clients lediglich Informationen über
den jeweils autorisierten Service, so daß ein Gast-Benutzer lediglich die Koordinaten
eines Gast-Services und absolut keine Informationen über andere Services erhält, wel
che nur authenisierten Benutzern oder Systemadministratoren zugänglich sind. An den
einzelnen Services stehen selbstverständlich nur solche Informationen und Funktionen
zur Verfügung, welche der jeweiligen Autorisierung ihrer Clients entsprechen. Diese
Technik stellt sehr effizient sicher, daß bestimmte Services nur mit bestimmten Autorisie
rungen erreichbar sind und sie für Clients ohne die erforderliche Autorisierung weder
sichtbar noch erreichbar sind.
Zur Verteilung einer großen Anzahl von Clients auf mehrere gleichartige Services -
"Loadbalancing" -, wählt das Logonsubsystem den Service nach der Anzahl der Clients
aus, welche bereits mit auswählbaren Services verbunden sind, oder nach der Bela
stung der auswählbaren Services aus. Da die aktuelle Belastung eines Services sehr
stark schwanken kann, ist es besonders vorteilhaft anstelle der punktuellen Belastung zu
einem bestimmten Zeitpunkt, die Belastung über einen gewissen Zeitraum zu mitteln
und einen gleitenden Mittelwert als Maßstab zu verwenden. Als Maß für die Belastung
eines Service können verschiedene Einzelkriterien, wie z. B.: die Anzahl der Prozesse,
die CPU-Auslastung, die Auslastung der Speichermedien (Hauptspeicher und/oder
externe Speichermedien) herangezogen werden.
Erfolgt die Auswahl des Services anhand von bestimmten Systemanforderungen, wel
che ein Client selbst, oder das Logonsubsystem für einen bestimmten Client, an den
auszuwählenden Service stellt, ist es möglich, nur solche Services auszuwählen, welche
die erforderlichen Systemressourcen bereitstellen können. So kann beispielsweise ein
Client gezielt eine Verbindung zu einem Service anfordern, welcher bestimmte Informa
tionen, Funktionen oder sonstige Systemressourcen anbietet. Andererseits kann das
Logonsubsystem bereits wissen, daß Clients eines bestimmten Typs bestimmte Informa
tionen, Funktionen oder Systemressourcen benötigen und von sich aus nur solche Ser
vices auswählen, welche in der Lage sind, die erforderlichen Informationen, Funktionen
oder Systemressourcen anzubieten.
Zur Optimierung des Systemdurchsatzes ist die Auswahl der Services in Abhängigkeit
von der geographischen, der netz- bzw. systemtopologischen Lage der Kommunikati
onspartner oder der Verbindungsqualität und -geschwindigkeit besonders wichtig. So
sind beispielsweise verschiedene Verbindungen durch die eingesetzte Übertragungs
technik auf verschiedene maximale Übertragungsraten begrenzt. Die maximale Übertra
gungsrate bestimmt ihrerseits die minimale Übertragungszeit einzelner Nachrichten und
damit das gesamte Zeitverhalten des Systems. Kommen verschiedene Übertragungs
techniken in einem Gesamtsystem zum Einsatz, ist es besonders vorteilhaft, einzelne
Subsysteme auf die jeweilige Übertragungstechnik anzupassen. Dies erlaubt es dem
Logonsubsystem denjenigen Service auszuwählen, welcher besonders auf die zu einem
bestimmten Client verwendete Übertragungstechnik optimiert ist. Ein typisches Beispiel
für eine solche Anwendung ist der Systemzugriff einerseits aus einem LAN mit Übertra
gungsraten größer als 10 MBit/s und andererseits aus einem WAN per Modem mit Über
tragungsraten in der Größenordnung von 64 kBit/s bis 1 MBit/s. In einem solchen Umfeld
ist es besonders vorteilhaft für beide Zugriffsarten getrennte Subsysteme mit eigenen
Services bereitzustellen und die Auswahl der Services in Abhängigkeit von der Übertra
gungsrate zu einem bestimmten Client zu treffen.
In der Regel hängt jedoch die maximale Übertragungsrate einer Verbindung zwischen
zwei Kommunikationspartnern nicht nur von der physikalischen Übertragungstechnik,
sondern auch von ihrer geographischen Lage, ihrer netztopologischen Lage, d. h. der
Anzahl physikalischer Zwischenstationen (Router, Switches, Firewalls etc), über welche
eine Nachricht zwischen zwei Kommunikationspartnern weitergeleitet werden muß, und
ihrer systemtopologischen Lage, d. h. der Anzahl Prozesse, über welche eine Nachricht
zwischen zwei Kommunikationspartnern innerhalb der logischen Systemarchitektur wei
tergeleitet werden muß, ab. Besonders vorteilhaft ist es daher, die Auswahl der Services
sowohl anhand der physikalischen Übertragungstechniken als auch der genannten geo
graphischen, netz- und systemtopologischen Kriterien zu treffen.
Ansprüche 80 bis 82 betreffen das Systemverhalten nach abgeschlossenem Aufbau der
Verbindung VC zwischen Service S und Client C.
Systeme nach einem der Ansprüche 1 bis 82 haben den Nachteil, daß diejenigen Daten,
welche Service S Client C zur Verfügung stellt in der Regel auf der Service S ausführen
den Einheit SE gespeichert sein müssen und damit von Clients theoretisch unter Umge
hung von Service S erreicht werden könnten.
Diesen Nachteil beheben Systeme nach einem der Ansprüche 83 bis 90, in welchen wirt
schaftlich relevante oder sicherheitskritische Daten auf von Serviceeinheiten
SE1,. . .,SEse unabhängigen Tresoreinheiten TE1,. . .,TEte gespeichert werden, zu welchen
Clients keinen direkten Zugriff haben.
In Systemen nach einem der Ansprüche 83 bis 90 ist es besonders vorteilhaft, das bzw.
die Tresorprogram(me) T bzw. TP1 bis TPtp analog zu Abb. 28 in Netzwerksegment
N1, und alle Clients in mindestens einem vollständig von N1 getrennten Netzwerkseg
ment N auszuführen und zwischen Netzwerken N und N1 absolut keine Nachricht physi
kalisch zu routen, damit keiner der Clients die technische Möglichkeit erhält, direkt auf
einen der Tresore bzw. auf einer Tresoreinheit TE gespeicherten Tresordaten TD zuzu
greifen.
Nach Aufbau der Verbindung VC zwischen Client C und Service S kann/können das/die
Protokoll(e) in Systemen nach einem der Ansprüche 80 bis 82 zwischen Client C und
Service S bzw. in Systemen nach einem der Ansprüche 83 bis 90 zwischen Client C und
Tresor T frei gewählt werden und insbesondere mindestens Teil eines Standard-Proto
kolles - wie z. B.: Telnet, HTTP, FTP, DNS, SMTP/POP(3), DHCP, NFS, SMTP, NTP,
NNTP, IMAP, RLogin, RSH, SSH, SNMP, X-Windows u. a. - oder ein proprietäres Proto
koll sein. Dabei haben Systeme nach einem der Ansprüche 80 bis 82 den Vorteil der
höchstmöglichen Geschwindigkeit, da Client C direkt mit Service S kommuniziert, wäh
rend Systeme nach einem der Ansprüche 83 bis 90 besonders sicher gestaltet werden
können, da Service S jede Nachricht zu bzw. von Tresor T überwachen kann.
Abb. 43a illustriert die Systemtopologie und Abb. 43b das Zeitverhalten einer
Transaktion in einer Inkarnation eines Netzwerkes mit Kommunikationssystem nach
Anspruch 80, wobei Logoneinheit LE, Serviceeinheit SE und Clienteinheit CE über Netz
werkverbindung NC physikalisch verbunden sind, und wobei Ressourcendatenbank
RDB auf Serviceeinheit SE gespeichert ist, und wobei Service S Mittel enthält, um Ver
bindung VS zu Logonservice LS aufzubauen und Logonservice LS Mittel enthält, um
Verbindung VS von Service S zu akzeptieren, und wobei - zum Aufbau der Verbindung
VC zwischen Client C und Service S nach Anspruch 43 - Client C Mittel enthält, um Ver
bindung VCL zu Logonservice LS aufzubauen und via Verbindung VCL Anmeldungsda
ten AMDC an Logonservice LS zu senden, Logonservice LS Mittel enthält, um via
Verbindung VCL Anmeldungsdaten AMDC von Client C zu empfangen, nach positiv aus
gefallener Überprüfung von Anmeldungsdaten AMDC gegen Autorisierungsdaten AD
Zugangsdaten ZDC zu erzeugen und Zugangsdaten ZDC zusammen mit Aufforderung
AC, eine Verbindung zu von Client C bereitgestelltem Verbindungsendpunkt VEPC auf
zubauen, via Verbindung VS an Service S und via Verbindung VCL Zugangsdaten ZDC
an Client C zu senden, Client C Mittel enthält, um Zugangsdaten ZDC via Verbindung
VCL von Logonservice LS zu empfangen und in Abhängigkeit mindestens eines Teiles
der Zugangsdaten ZDC Verbindungsendpunkt VEPC für Service S bereitzustellen, Ser
vice S Mittel enthält, um via Verbindung VS Zugangsdaten ZDC zusammen mit Aufforde
rung AC von Logonservice LS zu empfangen und in Abhängigkeit mindestens eines
Teiles der Zugangsdaten ZDC Verbindung VC zu von Client C bereitgestelltem Verbin
dungsendpunkt VEPC aufzubauen, und Client C Mittel enthält, um Verbindung VC von
Service S zu akzeptieren, und alle beteiligten Programme Mittel enthalten, um nach
erfolgtem Aufbau der Verbindung VC mindestens eine Transaktion T1 zwischen Client C
und Service S durchzuführen, und für Transaktion T1 Client C Mittel enthält, um via Ver
bindung VC in Nachricht (1) Anforderung CA zusammen mit Spezifikation der Sprach-ID
und Ressource-ID einer Systemressource SR an Service S zu senden, Service S Mittel
enthält, um via Verbindung VC Nachricht (1) zusammen mit Anforderung CA von Client
C zu empfangen, die der spezifizierten Sprach-ID und Ressource-ID entsprechende
Systemressource SR in der spezifizierten Sprache aus Ressourcedatenbank RDB zu
bestimmen und via Verbindung VC in Nachricht (2) Systemressource SR an Client C zu
senden, Client C Mittel enthält, um via Verbindung VC Nachricht (2) zusammen mit
Systemressource SR von Service S zu empfangen, und schließlich alle beteiligten Pro
gramme Mittel enthalten, um nach dem beschriebenen Schema gegebenenfalls weitere
Transaktionen zwischen Client C und Service S durchzuführen.
Abb. 44 illustriert die Systemtopologie und Abb. 45 das Zeitverhalten der Ver
bindungsaufbauten sowie einer Transaktion T1 in einer Inkarnation eines Netzwerkes mit
Kommunikationssystem nach Anspruch 87 und demselben Protokoll wie in Beispiel der
Abb. 43, wobei Logoneinheit LE, Autorisierungseinheit AE und Serviceeinheit SE in
Netzwerksegment N1 über Netzwerkverbindung NC1, Autorisierungseinheit AE, Ser
viceeinheit SE und Tresoreinheit TE in Netzwerksegment N2 über Netzwerkverbindung
NC2 und Logoneinheit LE, Serviceeinheit SE und Clienteinheit CE in Netzwerksegment
N über Netzwerkverbindung NC physikalisch verbunden sind und zwischen den Netz
werksegmenten N, N1 und N2 keine Nachrichten physikalisch geroutet werden, und
wobei Ressourcendatenbank RDB auf Tresoreinheit TE gespeichert und nicht direkt von
Client C erreichbar ist, und wobei Logonservice LS Mittel enthält, um Verbindung VLA zu
Autorisierungsservice AS aufzubauen (VLA1) und Autorisierungsservice AS Mittel ent
hält, um Verbindung VLA von Logonservice LS zu akzeptieren (VLA2), Tresor T Mittel
enthält, um Verbindung VTA zu Autorisierungsservice AS aufzubauen (VTA1) und Autori
sierungsservice AS Mittel enthält, um Verbindung VTA von Tresor T zu akzeptieren
(VTA2), Service S Mittel enthält, um Verbindung VSA zu Autorisierungsservice AS aufzu
bauen (VSA1) und Autorisierungsservice AS Mittel enthält, um Verbindung VSA von Ser
vice S zu akzeptieren (VSA2), Service S Mittel enthält, um Verbindung VSL zu
Logonservice LS aufzubauen (VSL1) und Logonservice LS Mittel enthält, um Verbindung
VSL von Service S zu akzeptieren (VSL2), und wobei - zum Verbindungsaufbau VA1 der
Verbindung VST zwischen Service S und Tresor T nach Anspruch 87 zusammen mit
Anspruch 58, wobei Anspruch 58 derart angewendet wird, daß Service S die Rolle des
Clients C in Anspruch 58 und Tresor T die Rolle des Services S in Anspruch 58 über
nimmt und Logonservice LS und Autoristionsservice AS dieselben Rollen übernehmen
wie in Anspruch 58 - Service S Mittel enthält, um nach Aufbau der Verbindung VSL zu
Logonservice LS via Verbindung VSL Anmeldungsdaten AMDS an Logonservice LS zu
senden, Logonservice LS Mittel enthält, um Anmeldungsdaten AMDS via Verbindung
VSL von Service S zu empfangen und Anmeldungsdaten AMDS via Verbindung VLA an
Autorisierungsservice AS weiterzuleiten, Autorisierungsservice AS Mittel enthält, um
Anmeldungsdaten AMDS via Verbindung VLA von Logonservice LS zu empfangen, nach
positiv ausgefallener Überprüfung von Anmeldungsdaten AMDS gegen Autorsisierungs
daten AD Zugangsdaten ZDT zu erzeugen und via Verbindung VTA Zugangsdaten ZDT
zusammen mit Aufforderung AT, einen neuen freien Verbindungsendpunkt VEPT für Ser
vice S bereitzustellen, an Tresor T und via Verbindung VLA Zugangsdaten ZDT an
Logonservice LS zu senden, Logonservice LS Mittel enthält, um via Verbindung VLA
Zugangdaten ZDT von Autorisierungsservice AS zu empfangen und via Verbindung VSL
Zugangsdaten ZDT an Service S zu senden, Tresor T Mittel enthält, um via Verbindung
VTA Zugangsdaten ZDT zusammen mit Aufforderung AT von Autorisierungsservice AS
zu empfangen und in Abhängigkeit mindestens eines Teiles der Zugangsdaten ZDT Ver
bindungsendpunkt VEPT für Service S bereitzustellen, Service S Mittel enthält, um via
Verbindung VSL Zugangsdaten ZDT von Logonservice LS zu empfangen und in Abhän
gigkeit mindestens eines Teiles der Zugangsdaten ZDT Verbindung VST zu von Tresor T
bereitgestelltem Verbindungsendpunkt VEPT aufzubauen (VST1) und Tresor T Mittel
enthält, um Verbindung VST von Service S zu akzeptieren (VST2), und wobei - zum Ver
bindungsaufbau VA2 zwischen Client C und Service S nach Anspruch 58, wobei Client
C, Service S. Logonservice LS und Autorisierungsservice AS dieselben Rollen überneh
men wie in Anspruch 58, und wobei Verbindung VLA Verbindung VA und Verbindung
VSA Verbindung VS in Anspruch 58 entsprechen - Client C Mittel enthält, um Verbindung
VCL zu Logonservice LS aufzubauen und via Verbindung VCL Anmeldungsdaten AMDC
an Logonservice LS zu senden, Logonservice LS Mittel enthält, um via Verbindung VCL
Anmeldungsdaten AMDC von Client C zu empfangen und Anmeldungsdaten AMDC via
Verbindung VLA an Autorisierungsservice AS weiterzuleiten, Autorisierungsservice AS
Mittel enthält, um via Verbindung VLA Anmeldungsdaten AMDC von Logonservice LS zu
empfangen, nach positiv ausgefallener Überprüfung von Anmeldungsdaten AMDC
gegen Autorsisierungsdaten AD Zugangsdaten ZDC zu erzeugen und Zugangsdaten
ZDC zusammen mit Aufforderung AC, eine Verbindung zu von Client C bereitgestelltem
Verbindungsendpunkt VEPC aufzubauen, via Verbindung VSA an Service S und via Ver
bindung VLA an Logonservice LS zu senden, Logonservice LS Mittel enthält, um
Zugangsdaten ZDC via Verbindung VLS von Autorisierungsservice AS zu empfangen
und Zugangsdaten ZDC via Verbindung VCL an Client C weiterzuleiten, Client C Mittel
enthält, um Zugangsdaten ZDC via Verbindung VCL von Logonservice LS zu empfangen
und in Abhängigkeit mindestens eines Teiles der Zugangsdaten ZDC Verbindungsend
punkt VEPC für Service S bereitzustellen, Service S Mittel enthält, um via Verbindung
VSA Zugangsdaten ZDC zusammen mit Aufforderung AC von Autorisierungsservice AS
zu empfangen und in Abhängigkeit mindestens eines Teiles der Zugangsdaten ZDC Ver
bindung VC zu von Client C bereitgestelltem Verbindungsendpunkt VEPC aufzubauen
(VC1), und Client C Mittel enthält, um Verbindung VC von Service S zu akzeptieren
(VC2), und nach erfolgtem Aufbau der Verbindung VST zwischen Service S und Tresor
T und der Verbindung VC zwischen Client C und Service S alle beteiligten Programme
Mittel enthalten, um mindestens eine Transaktion T1 zwischen Client C und Tresor T
durchzuführen, und für Transaktion T1 Client C Mittel enthält, um via Verbindung VC
Anforderung CA zusammen mit Spezifikation der Sprach-ID und Ressource-ID der
Systemressource SR in Nachricht T1 an Service S zu senden, Service S Mittel enthält,
um via Verbindung VC Anforderung CA von Client C zu empfangen und via Verbindung
VST Anforderung CA in Form von Nachricht T2 an Tresor T weiterzuleiten, Tresor T Mit
tel enthält, um via Verbindung VST Nachricht T2 von Service S zu empfangen, die der
spezifizierten Sprach-ID und Ressource-ID entsprechende Systemressource SR in der
spezifizierten Sprache aus Ressourcedatenbank RDB zu bestimmen und via Verbindung
VST Systemressource SR in Nachricht T3 an Service S zu senden, Service S Mittel ent
hält, um via Verbindung VST Nachricht T3 von Tresor T zu empfangen und via Verbin
dung VC Systemressource SR in Form von Nachricht T4 an Client C zu senden, Client C
Mittel enthält, um via Verbindung VC Nachricht T4 von Service S zu empfangen, und
schließlich alle beteiligten Programme Mittel enthalten, um nach dem beschriebenen
Schema gegebenenfalls weitere Transaktionen zwischen Client C und Tresor T durchzu
führen.
Falls in den Ausführungsbeispielen der Abb. 43 bis 45 die durch Sprach- und
Ressource-ID spezifizierte Systemressource nicht in der spezifizierten Sprache vorhan
den ist, gibt Service S bzw. Tresor T entweder die spezifizierte Systemressource in einer
vordefinierten Defaultsprache, oder, falls die spezifizierte Systemressource auch in der
Defaultsprache nicht vorhanden ist, eine vordefinierte Standardressource in der spezifi
zierten oder der Defaultsprache, oder eine Fehlermeldung zurück. Mit Hilfe dieser Tech
nik kann Client C einen sprachunabhängigen Desktop CD darstellen, in welchem alle
Elemente - insbesondere alle Steuerungselemente wie Icons, Menüs, Buttons, Datenli
sten und -bäume, Dialoge, Fenster, Tastaturlayouts, Datums- und Geldbetragsformate,
aber auch Dialog- und Fensterinhalte - während des Betriebes in eine andere Sprache
umgeschaltet werden können. Gleichzeitig kann Ressourcendatenbank RDB unabhän
gig von Client C gepflegt und gewartet werden, so daß beispielsweise alle Ressourcen
in einer neuen Sprache in die Ressourcendatenbank eingespielt werden können
und Client C danach Desktop CD in der neu eingespielten Sprache darstellen
kann, ohne daß der Sourcecode von Client C geändert werden muß.
In Systemen nach einem der vorliegenden Ansprüche spielt es keine Rolle über wieviele
Programme die Nachrichten zwischen Logonservice LS und Service S geleitet werden.
So sind auch Systeme realisierbar, in welchen zwischen Logonservice LS und Service S
eine beliebige Anzahl weiterer Logonservices LS1,. . .,LSls in Serie logisch verbunden
sind, wobei zwei oder mehr Logonservices mindestens einen Teil der Zugangsdaten ZD
erzeugen und direkt oder indirekt an Service S und Client C weiterleiten, und/oder zwei
oder mehr Logonservices mindestens einen Teil der Anmeldungssdaten AMD überprü
fen und Aufforderung A nur dann an Service S gesendet wird, wenn mindestens einer
der Logonservices, mindestens eine vorgegebene Mindestanzahl der Logonservices
oder alle Logonservices Anmeldungsdaten AMD gegen lokale Autorisierungsdaten
AD1,. . .,ADls positiv überprüft haben. Auch mit Autorisierungsservices sind Systeme reali
sierbar, in welchen zwischen Logonservice LS und Service S zwei oder mehr Autorisie
rungsservices AS1,. . .,ASas in Serie logisch verbunden sind, wobei zwei oder mehr
Autorisierungsservices mindestens einen Teil der Zugangsdaten ZD erzeugen und direkt
oder indirekt an Service S und Client C weiterleiten, und/oder zwei oder mehr Autorisie
rungsservices mindestens einen Teil der Anmeldungssdaten AMD überprüfen und Auf
forderung A nur dann an Service S gesendet wird, wenn mindestens einer der
Autorisierungsservices, mindestens eine vorgegebene Mindestanzahl der Autorisie
rungsservices oder alle Autorisierungsservices Anmeldungsdaten AMD gegen lokale
Autorisierungsdaten AD1,. . .,ADas positiv überprüft haben.
Abb. 46 illustriert ein Netzwerk mit Kommunikationssystem und in Serie logisch
verbundenen Autorisierungsservices, in welchem Serviceeinheit SE Service S. Logon
einheit LE Logonservice LS, eine beliebige Anzahl as (as ganzzahlig und as < 1) Autori
sierungseinheiten AE1,. . .,AEas jeweils einen Autorisierungsservice AS1,. . .,ASas,
Tresoreinheit TE Tresor T und Clienteinheit CE Client C mit Browser B ausführen, wobei
Einheiten AE1 bis AEas, TE, LE, SE in Netzwerksegment N1 über Netzwerkverbindung
NC1 und Clienteinheit CE, Logoneinheit LE und Serviceeinheit SE in Netzwerksegment
N über Netzwerkverbindung NC physikalisch verbunden sind und zwischen Netzwerk
segmenten N1 und N keine Nachrichten physikalisch geroutet werden, und wobei
Logonservice LS Mittel enthält, um Verbindung VLA zu Autorisierungsservice AS1 aufzu
bauen und Autorisierungsservice AS1 Mittel enthält, um Verbindung VLA von Logonser
vice LS zu akzeptieren, für jedes ganzzahlige i mit 0 < i < as Autorisierungsservice ASi
Mittel enthält, um eine zuverlässige stehende logische bidirektionale Kommunikations
verbindung VAi zu bzw. von Autorisierungsservice ASi+1 aufzubauen bzw. zu akzeptieren
und für jedes ganzzahlige j mit 1 < j < as+1 Autorisierungsservice ASj Mittel enthält, um
Verbindung VAj-1 von bzw. zu Autorisierungsservice ASj+1 zu akzeptieren bzw. aufzu
bauen, Service S Mittel enthält, um Verbindung VSA zu Autorisierungsservice ASas auf
zubauen und Autorisierungsservice ASas Mittel enthält, um Verbindung VSA von Service
S zu akzeptieren, und wobei - zum Aufbau der Verbindung VST zwischen Tresor T und
Service S - Tresor T Mittel enthält, um logische Verbindung VTL zu Logonservice LS auf
zubauen, Logonservice LS Mittel enthält, um Verbindung VTL von Tresor T zu akzeptie
ren, Tresor T Mittel enthält, um via Verbindung VTL Anmeldungsdaten AMDT an
Logonservice LS zu senden, Logonservice LS Mittel enthält, um Anmeldungsdaten
AMDT via Verbindung VTL von Tresor T zu empfangen, Zugangsdaten ZDT zu erzeu
gen, via Verbindung VTL Zugangsdaten ZDT an Tresor T zu senden und via Verbindung
VLA Zugangsdaten ZDT zusammen mit Anmeldungsdaten AMDT an Autorisierungsser
vice AS1 zu senden, für jedes ganzzahlige i mit 0 < i < as Autorisierungsservice ASi
Zugangsdaten ZDT und Anmeldungsdaten AMDT für i = 1 via Verbindung VLA von
Logonservice LS und für i < 1 via Verbindung VAi-1 von Autorisierungsservice ASi-1 zu
empfangen und nach positiv ausgefallener Überprüfung von Anmeldungsdaten AMDT
gegen Autorisierungsdaten ADi via Verbindung VAi Anmeldungsdaten AMDT zusammen
mit Zugangsdaten ZDT an Autorisierungsservice ASi+1 zu senden, Autorisierungsservice
ASas Mittel enthält, um via Verbindung VAas-1 Zugangsdaten ZDT und Anmeldungsdaten
AMDT von Autorisierungsservice ASas-1 zu empfangen und nach positiv ausgefallener
Überprüfung von Anmeldungsdaten AMDT gegen Autorisierungsdaten ADas Zugangs
daten ZDT zusammen mit Aufforderung AT, eine Verbindung zu von Tresor T bereitge
stelltem Verbindungsendpunkt VEPT aufzubauen, via Verbindung VSA an Service S zu
senden, Tresor T Mittel enthält, um via Verbindung VTL Zugangsdaten ZDT von Logon
service LS zu empfangen und in Abhängigkeit mindestens eines Teiles der Zugangsda
ten ZDT einen neuen freien Verbindungsendpunkt VEPT für Service S bereitzustellen,
Service S Mittel enthält, um via Verbindung VSA Zugangsdaten ZDT zusammen mit Auf
forderung AT von Autorisierungsservice ASas zu empfangen und in Abhängigkeit minde
stens eines Teiles der Zugangsdaten ZDT Verbindung VST zu von Tresor T
bereitgestelltem Verbindungsendpunkt VEPT aufzubauen und Tresor T Mittel enthält, um
Verbindung VST von Service S zu akzeptieren, und wobei - zum Aufbau der Verbindung
VC zwischen Client C und Service S - Client C Mittel enthält, um logische Verbindung
VCL zu Logonservice LS aufzubauen, Logonservice LS Mittel enthält, um Verbindung
VCL von Client C zu akzeptieren, Client C Mittel enthält, um via Verbindung VCL Anmel
dungsdaten AMDC an Logonservice LS zu senden, Logonservice LS Mittel enthält, um
Anmeldungsdaten AMDC via Verbindung VCL von Client C zu empfangen, Zugangsda
ten ZDC zu erzeugen, via Verbindung VCL Zugangsdaten ZDC an Client C zu senden
und via Verbindung VLA Zugangsdaten ZDC zusammen mit Anmeldungsdaten AMDC
an Autorisierungsservice AS1 zu senden, für jedes ganzzahlige i mit 0 < i < as Autorisie
rungsservice ASi Mittel enthält, um Zugangsdaten ZDC und Anmeldungsdaten AMDC
für i = 1 via Verbindung VLA von Logonservice LS und für i < 1 via Verbindung VAi von
Autorisierungsservice ASi-1 zu empfangen und nach positiv ausgefallener Überprüfung
von Anmeldungsdaten AMDC gegen Autorisierungsdaten ADi Anmeldungsdaten AMDC
zusammen mit Zugangsdaten ZDC an Autorisierungsservice ASi+1 zu senden, Autorisie
rungsservice ASas Mittel enthält, um Verbindung VAas-1 Zugangsdaten ZDC und Anmel
dungsdaten AMDC von Autorisierungsservice ASas-1 zu empfangen und nach positiv
ausgefallener Überprüfung von Anmeldungsdaten AMDC gegen Autorisierungsdaten
ADas Zugangsdaten ZDC zusammen mit Aufforderung AC, eine Verbindung zu von Cli
ent C bereitgestelltem Verbindungsendpunkt VEPC aufzubauen, via Verbindung VSA an
Service S zu senden, Client C Mittel enthält, um Zugangsdaten ZDC via Verbindung VCL
von Logonservice LS zu empfangen und in Abhängigkeit mindestens eines Teiles der
Zugangsdaten ZDC einen neuen freien Verbindungsendpunkt VEPC für Service S
bereitzustellen, Service S Mittel enthält, um via Verbindung VSA Zugangsdaten ZDC
zusammen mit Aufforderung AC von Autorisierungsservice ASas zu empfangen und in
Abhängigkeit mindestens eines Teiles der Zugangsdaten ZDC Verbindung VC zu von
Client C bereitgestelltem Verbindungsendpunkt VEPC aufzubauen, Client C Mittel ent
hält, um Verbindung VC von Service S zu akzeptieren, und alle beteiligten Programme
Mittel enthalten, um nach erfolgtem Aufbau der Verbindung VST zwischen Service S und
Tresor T und der Verbindung VC zwischen Client C und Service S mindestens eine
Transaktion T1 zwischen Client C und Tresor T durchzuführen, und für Transaktion T1
Client C Mittel enthält, um in Transaktionsanforderung T1 mindestens eine URL via Ver
bindung VC an Service S zu senden, Service S Mittel enthält, um via Verbindung VC
Transaktionsanforderung T1 von Client C zu empfangen und mit Anforderung T1 emp
fangene URL via Verbindung VST in Form von Transaktionsanforderung T2 an Tresor T
weiterzuleiten, Tresor T Mittel enthält, um via Verbindung VST Transaktionsanforderung
T2 von Service S empfangen, die der URL entsprechenden HTML-Daten D entweder
aus HTML-Datenbank HTML-Data zu laden oder - gegebenenfalls unter Verwendung
mindestens eines Resultates mindestens einer Transaktion mit mindestens einem
sekundären Service - dynamisch zu erzeugen, und HTML-Daten D via Verbindung VST
in Form von Transaktionsresultat T3 an Service S zu senden, Service S Mittel enthält,
um Transaktionsresultat T3 via Verbindung VST von Tresor T zu empfangen und via Ver
bindung VC in Form von Transaktionsresultat T4 an Client C weiterzuleiten, Client C Mit
tel enthält, um Transaktionsresultat T4 via Verbindung VC von Service S zu empfangen
und HTML-Daten D in Browser B darzustellen, und schließlich alle beteiligten Pro
gramme Mittel enthalten, um nach dem beschriebenen Schema gegebenenfalls weitere
Transaktionen zwischen Client C und Tresor T durchzuführen.
Die Beispiele von Abb. 44 bis 46 illustrieren eindrucksvoll, wie Service S die
Kommunikation zwischen Client C und Tresor T ermöglicht, ohne jemals einen freien
Verbindungsendpunkt bereitzustellen, und Client C keine technische Möglichkeit erhält,
um eine direkte Verbindung zu Tresoreinheit TE herzustellen oder die auf Tresoreinheit
TE gespeicherten Daten RDB unter Umgehung von Service S und Tresor T zu errei
chen.
In Systemen nach einem der vorliegenden Ansprüche spielt es ferner keine Rolle über
wieviele Programme die Nachrichten zwischen Tresor T und Client C geleitet werden. So
sind auch Systeme realisierbar, in welchen zwischen Tresor T und Client C über Service
S hinaus beispielsweise eine beliebige Anzahl weiterer Services S1,. . .,Ss in Serie logisch
verbunden sind, wobei alle Services die Kommunikation zwischen Client C und Tresor T
untereinander derart weiterleiten, daß effektiv Client C mit Tresor T kommuniziert. Dabei
kann selbstverständlich jeder der Services die Kommunikation zwischen Client C und
Tresor T nach eigenen Regeln überwachen und gegebenenfalls blockieren.
Systeme mit mehrfacher Autorisierungsüberprüfung oder mehrfacher Weiterleitung sind
zum Beispiel für Hochsicherheitsanwendungen im Finanz- oder militärischen Bereich
sinnvoll, in welchen der Verbindungsaufbau und/oder die Transaktionen zwischen Cli
ents und besonders wichtigen Services bzw. Tresore nur nach Zustimmung von zwei
oder mehr unabhängigen Autorisierungsstellen erfolgen darf.
In allen Ansprüchen der vorliegenden Patentschrift kann jedes Programm sowohl als Teil
eines (onchip-)Microcodes einer beliebigen Verarbeitungseinheit, als auch als Teil einer
Firmware zur Steuerung einer beliebigen Maschine, als auch als Teil eines Threads
eines Single- oder Multitaskingbetriebssystems, als auch als Teil eines Prozesses eines
Single- oder Multitaskingbetriebssystems, als auch als eigenständiger Thread eines Pro
zesses eines Single- oder Multitaskingbetriebssystems, als auch als eigenständiger Pro
zeß eines Single- oder Multitaskingbetriebssystems, als auch als mehrere untereinander
kommunizierende Threads eines Prozesses eines Single- oder Multitaskingbetriebssy
stems, als auch als mehrere untereinander kommunizierende Prozesse eines Single-
oder Multitaskingbetriebssystems realisiert und ausgeführt werden.
Zur Einbindung bereits existierender Benutzerdatenbanken oder Autorisierungsmecha
nismen ist es in Systemen nach der vorliegenden Patenschrift vorteilhaft, wenn minde
stens ein Logonservice LS oder mindestens ein Autorisierungsservice AS nach Erhalt
einer Verbindungsanforderung eines neuen Clients C mit mindestens einem sekundären
Service (z. B.: LDAP- oder PKI-Server oder kundeneigene User-Datenbanken) kommuni
ziert, um Client C zu authentisieren und autorisieren, und Aufforderung A, einen neuen
Verbindungsendpunkt für Client C bereitzustellen bzw. eine Verbindung zu einem von
Client C bereitgestellten Verbindungsendpunkt aufzubauen, in Abhängigkeit von minde
stens einem Resultat mindestens einer Transaktion mit mindestens einem sekundären
Service an Service S gesendet wird.
Zur Einbindung bereits existierender Datenbanken oder Services ist es in Systemen
nach der vorliegenden Patenschrift vorteilhaft, wenn mindestens ein Service S oder min
destens ein Tresor T nach Erhalt einer Transaktionsanforderung eines Clients C mit min
destens einem sekundären Service kommuniziert, um das Transaktionsresultat in
Abhängigkeit von mindestens einem Resultat mindestens einer Transaktion mit minde
stens einem sekundären Service zu bestimmen.
Die Einbindung von Standard-TCP/IP-Clients, wie zum Beispiel HTTP- oder FTP-Clients,
in ein System nach einem der vorliegenden Ansprüche kann beispielsweise durch voll
ständigen Ersatz der Standardkommunikationsprogramme (TCP/IP-Stack, wie Win
sock.dll unter Windows) auf der Clientseite erfolgen. Alternativ dazu ist es auch möglich,
die vorhandenen Standardkommunikationsprogramme auf Clientseite nicht zu ersetzen,
sondern eine zusätzliche Programmschicht PS zwischen der von den Standardkommu
nikationsprogrammen bereitgestellten Socket-Programmierschnittstelle und den Stan
dard-Anwendungsprogrammen einzuführen, welche Programmschicht PS einerseits
gegenüber den Anwendungsprogrammen dieselbe Socket-Programmierschnittstelle zur
Verfügung stellt wie der Standard-TCP/IP-Stack, die Standard-Kommunikation von Stan
dard-Anwendungsprogrammen via der Socket-Programmierschnittstelle abfängt, gege
benenfalls umformt, und mit Hilfe der Clientbibliotheken eines Systems nach der
vorliegenden Patentschrift über den Standard-TCP/IP-Stack an Systeme und unsicht
bare Services nach der vorliegenden Patentschrift sendet und andererseits die Kommu
nikation von Systemen und unsichtbaren Services nach der vorliegenden Patentschrift
mit Hilfe der Clientbibliotheken eines Systems nach der vorliegenden Patentschrift über
den Standard-TCP/IP-Stack empfängt, gegebenenfalls umformt und in Standardform via
der Socket-Programmierschnittstelle an die Standard-Anwendungsprogramme weiterlei
tet.
So können
Standard-TCP/IP-Anwendungen ohne Sourcecodeänderungen
über das gewohnte Socket-Interface mit unsichtbaren Services
nach der vorliegenden Patentschrift kommunizieren.
Claims (90)
1. Netzwerk mit Kommunikationssystem bestehend aus einer beliebigen Anzahl se
(se ganzahlig und se < 0) Serviceeinheiten SE1,. . .,SEse, einer beliebigen Anzahl le
(le ganzahlig und le ≧ 0) Logoneinheiten LE1,. . .,LEle und einer beliebigen Anzahl ce
(ce ganzahlig und ce ≧ 0) Clienteinheiten CE1,. . .,CEce, wobei Einheiten
SE1,. . .,SEse, LE1,. . .,LEle und CE1,. . .,CEce über jeweils mindestens ein Netzwerkin
terface NISE1,. . .,NISEse, NILE1,. . .,NILEle und NICE1,. . .,NICEce physikalisch mit
mindestens einem Netzwerk N derart verbunden sind, daß mindestens alle
beschriebenen Kommunikationsverbindungen aufbaubar sind, und wobei Service
einheiten SE1,. . .,SEse eine beliebige Anzahl sp (sp ganzzahlig und sp < 0) Service
programme SP1,. . .,SPsp ausführen, und wobei Einheiten SE1,. . .,SEse, LE1,. . .,LEle
eine beliebige Anzahl lp (lp ganzzahlig und lp < 0) Logonprogramme LP1,. . .,LPlp
ausführen, und wobei Einheiten SE1,. . .,SEse, LE1,. . .,LEle und CE1,. . .,CEce eine
beliebige Anzahl cp (cp ganzahlig und cp < 0) Clientprogramme CP1,. . .,CPcp aus
führen, dadurch gekennzeichnet, daß
- a) mindestens ein Logonservice LS der Logonprogramme LP1,. . .,LPlp Mittel ent hält, um mindestens einen freien Verbindungsendpunkt VEPCL für minde stens einen Client C der Clientprogramme CP1,. . .,CPcp bereitzustellen, und
- b) mindestens Logonservice LS Mittel enthält, um mindestens eine zuverlässige stehende logische bidirektionale Interprozeßkommunikationsverbindung VS zu bzw. von mindestens einem Service S der Serviceprogramme SP1,. . .,SPsp aufzubauen bzw. zu akzeptieren, und
- c) mindestens Service S Mittel enthält, um mindestens genannte Verbindung VS von Logonservice LS zu akzeptieren bzw. zu Logonservice LS aufzubauen, und
- d) mindestens Client C Mittel enthält, um - zum Verbindungsaufbau zu Service S
- zunächst eine logische Kommunikationsverbindung VCL zu freiem Verbin
dungsendpunkt VEPCL des Logonservices LS aufzubauen;
Logonservice LS Mittel enthält, um erstens Verbindung VCL von Client C zu akzeptieren, und zweitens via Verbindung VS Aufforderung A, einen freien Verbindungsendpunkt für Client C bereitzustellen, an Service S zu senden;
Service S Mittel enthält, um erstens via Verbindung VS Aufforderung A von Logonservice LS zu empfangen und zweitens nach Empfang der Aufforde rung A einen neuen freien Verbindungsendpunkt VEPS bereitzustellen;
Client C Mittel enthält, um eine zuverlässige stehende logische bidirektionale Interthread- oder Interprozeßkommunikationsverbindung VC zu Verbindungs endpunkt VEPS aufzubauen;
Service S Mittel enthält, um die Verbindungsanforderung von Client C zu Ver bindungsendpunkt VEPS zu akzeptieren.
2. Netzwerk mit Kommunikationssystem nach Anspruch 1, bestehend aus minde
stens zwei verschiedenen Einheiten LE und SE, dadurch gekennzeich
net, daß
mindestens Logonservice LS auf Einheit LE und mindestens Service S auf Einheit
SE ausgeführt werden.
3. Netzwerk mit Kommunikationssystem nach einem der vorherigen Ansprüche,
dadurch gekennzeichnet, daß
- a) mindestens Logonservice LS Mittel enthält, um auf Autorisierungsdaten AD zuzugreifen,
- b) mindestens Client C Mittel enthält, um nach Aufbau der Verbindung VCL zu Logonservice LS via Verbindung VCL Anmeldungsdaten AMD an Logonser vice LS zu senden,
- c) mindestens Logonservice LS Mittel enthält, um erstens via Verbindung VCL Anmeldungsdaten AMD von Client C zu empfangen und zweitens Aufforde rung A zur Bereitstellung eines neuen freien Verbindungsendpunktes VEPS nur nach positiv ausgefallener Autorisierungsprüfung der Anmeldungsdaten AMD gegen Autorisierungsdaten AD an Service S zu senden.
4. Netzwerk mit Kommunikationssystem nach Anspruch 3, dadurch gekenn
zeichnet, daß
- a) mindestens Client C Mittel enthält, um mindestens einen Teil TAMD der Anmeldungsdaten AMD via Verbindung VCL verschlüsselt an Logonservice LS zu senden,
- b) mindestens Logonservice LS Mittel enthält, um Anmeldungsdaten AMD via Verbindung VCL von Client C zu empfangen und den verschlüsselten Teil TAMD der Anmeldungsdaten AMD zu entschlüsseln.
5. Netzwerk mit Kommunikationssystem nach einem der vorherigen Ansprüche,
dadurch gekennzeichnet, daß
- a) mindestens Client C Zugangsdaten ZD zu Verbindungsendpunkt VEPS vor Aufbau der Verbindung VCL zu Logonservice LS nicht kennt, und
- b) mindestens Logonservice LS Mittel enthält, um erstens Zugangsdaten ZD via Verbindung VCL an Client C zu senden und zweitens Zugangsdaten ZD via Verbindung VS an Service S zu senden, und
- c) mindestens Service S Mittel enthält, um erstens via Verbindung VS Zugangs daten ZD von Logonservice LS zu empfangen und zweitens in Abhängigkeit von mindestens einem Teil der Zugangsdaten ZD Verbindungsendpunkt VEPS für Client C bereitzustellen, und
- d) mindestens Client C Mittel enthält, um erstens via Verbindung VCL Zugangs daten ZD von Logonservice LS zu empfangen und zweitens in Abhängigkeit von mindestens einem Teil der Zugangsdaten ZD Verbindung VC zu von Ser vice S bereitgestelltem Verbindungsendpunkt VEPS aufzubauen.
6. Netzwerk mit Kommunikationssystem nach Anspruch 5, dadurch gekenn
zeichnet, daß
- a) mindestens Logonservice LS Mittel enthält, um mindestens einen Teil LTZD der Zugangsdaten ZD zu erzeugen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um Teil LTZD der Zugangsdaten ZD von Logonservice LS sowohl via Verbindung VCL an Client C als auch via Verbindung VS an Service S zu übermitteln.
7. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 5 bis 6,
dadurch gekennzeichnet, daß
- a) mindestens Service S Mittel enthält, um mindestens einen Teil STZD der Zugangsdaten ZD zu erzeugen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um Teil STZD der Zugangsdaten ZD von Service S via Verbindung VS, Logonservice LS und Verbindung VCL an Client C zu übermitteln.
8. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 5 bis 7,
dadurch gekennzeichnet, daß
- a) mindestens Client C Mittel enthält, um mindestens einen Teil CTZD der Zugangsdaten ZD zu erzeugen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um Teil CTZD der Zugangsdaten ZD von Client C via Verbindung VCL, Logonservice LS und Verbindung VS an Service S zu übermitteln.
9. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 5 bis 8,
dadurch gekennzeichnet, daß
- a) mindestens Logonservice LS Mittel enthält, um mindestens einen Service S auszuwählen, und
- b) mindestens alle beteiligten Programme Mittel enthalten, um von Logonservice LS via Verbindung VCL in den Zugangsdaten ZD mindestens eine physikali sche Adresse mindestens eines Netzwerkinterfaces der Service S ausführen den Serviceeinheit SE an Client C zu übermitteln.
10. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 5 bis 9,
dadurch gekennzeichnet, daß
- a) mindestens ein Logonservice LS Mittel enthält, um mindestens eine lokale Kennung LK mindestens eines von Service S bereitzustellenden Verbin dungsendpunktes VEPS auszuwählen, und
- b) mindestens alle beteiligten Programme Mittel enthalten, um lokale Kennung LK von Logonservice LS via Verbindung VCL an Client C und von Logonser vice LS via Verbindung VS an Service S zu übermitteln.
11. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 5 bis 10,
dadurch gekennzeichnet, daß
- a) mindestens ein Service S Mittel enthält, um mindestens eine lokale Kennung LK mindestens eines von Service S bereitzustellenden Verbindungsendpunk tes VEPS auszuwählen, und
- b) mindestens alle beteiligten Programme Mittel enthalten, um lokale Kennung LK von Service S via Verbindung VS, Logonservice LS und Verbindung VCL an Client C zu übermitteln.
12. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 5 bis 11,
dadurch gekennzeichnet, daß
- a) mindestens ein Client C Mittel enthält, um mindestens eine lokale Kennung LK mindestens eines von Service S bereitzustellenden Verbindungsendpunk tes VEPS auszuwählen, und
- b) mindestens alle beteiligten Programme Mittel enthalten, um lokale Kennung LK von Client C via Verbindung VCL, Logonservice LS und Verbindung VS an Service S zu übermitteln.
13. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 5 bis 12,
dadurch gekennzeichnet, daß
- a) mindestens Logonservice LS Mittel enthält, um via Verbindung VCL minde stens einen Teil VTZD der Zugangsdaten ZD verschlüsselt an Client C zu senden und
- b) mindestens Client C Mittel enthält, um via Verbindung VCL den verschlüsselt übertragenen Teil VTZD der Zugangsdaten ZD von Logonservice LS zu emp fangen und zu entschlüsseln.
14. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 5 bis 13,
dadurch gekennzeichnet, daß
- a) mindestens Logonservice LS Mittel enthält, um via Verbindung VS minde stens einen Teil VTZD2 der Zugangsdaten ZD verschlüsselt an Service S zu senden, und
- b) mindestens Service S Mittel enthält, um via Verbindung VS den verschlüsselt übertragenen Teil VTZD2 der Zugangsdaten ZD von Logonservice LS zu empfangen und zu entschlüsseln.
15. Netzwerk mit Kommunikationssystem bestehend aus einer beliebigen Anzahl se
(se ganzahlig und se < 0) Serviceeinheiten SE1,. . .,SEse, einer beliebigen Anzahl le
(le ganzahlig und le ≧ 0) Logoneinheiten LE1,. . .,LEle, einer beliebigen Anzahl ae
(ae ganzahlig und ae ≧ 0) Autorisierungseinheiten AE1,. . .,AEae und einer beliebi
gen Anzahl ce (ce ganzahlig und ce ≧ 0) Clienteinheiten CE1,. . .,CEce, wobei Ein
heiten SE1,. . .,SEse, LE1,. . .,LEle, AE1,. . .,AEae und CE1,. . .,CEce über jeweils
mindestens ein Netzwerkinterface NISE1,. . .,NISEse, NILE1,. . .,NILEle,
NIAE1,. . .,NIAEae und NICE1,. . .,NICEce physikalisch mit mindestens einem Netz
werk N derart verbunden sind, daß mindestens alle beschriebenen Kommunikati
onsverbindungen aufbaubar sind, und wobei Serviceeinheiten SE1,. . .,SEse eine
beliebige Anzahl sp (sp ganzzahlig und sp < 0) Serviceprogramme SP1,. . .,SPsp
ausführen, und wobei Einheiten SE1,. . .,SEse, LE1,. . .,LEle eine beliebige Anzahl lp
(lp ganzzahlig und lp < 0) Logonprogramme LP1,. . .,LPlp ausführen, und wobei Ein
heiten SE1,. . .,SEse, AE1,. . .,AEae eine beliebige Anzahl ap (ap ganzzahlig und ap <
0) Autorisierungsprogramme AP1,. . .,APap ausführen, und wobei Einheiten
SE1,. . .,SEse, LE1,. . .,LEle und CE1,. . .,CEce eine beliebige Anzahl cp (cp ganzahlig
und cp < 0) Clientprogramme CP1,. . .,CPcp ausführen, dadurch gekenn
zeichnet, daß
- a) mindestens ein Logonservice LS der Logonprogramme LP1,. . .,LPlp Mittel ent hält, um mindestens einen freien Verbindungsendpunkt VEPCL für minde stens einen Client C der Clientprogramme CP1,. . .,CPcp bereitzustellen, und
- b) mindestens Logonservice LS Mittel enthält, um mindestens eine zuverlässige logische bidirektionale Interthread- oder lnterprozeßkommunikationsver bindung VA zu bzw. von mindestens einem Autorisierungsservice AS der Autorisierungsprogramme AP1,. . .,APap aufzubauen bzw. zu akzeptieren, und
- c) mindestens Autorisierungsservice AS Mittel enthält, um mindestens genannte Verbindung VA von Logonservice LS zu akzeptieren bzw. zu Logonservice LS aufzubauen, und
- d) mindestens Autorisierungsservice AS Mittel enthält, um mindestens eine zuverlässige stehende logische bidirektionale Interthread- oder Interprozeß kommunikationsverbindung VS zu bzw. von mindestens einem Service S der Serviceprogramme SP1,. . .,SPsp aufzubauen bzw. zu akzeptieren, und
- e) mindestens Service S Mittel enthält, um mindestens genannte Verbindung VS von Autorisierungsservice AS zu akzeptieren bzw. zu Autorisierungsservice AS aufzubauen, und
- f) mindestens Client C Mittel enthält, um - zum Verbindungsaufbau zu Service S
- zunächst eine logische Kommunikationsverbindung VCL zu freiem Verbin
dungsendpunkt VEPCL des Logonservices LS aufzubauen;
Logonservice LS Mittel enthält, um erstens den Aufbau der Verbindung VCL von Client C zu akzeptieren und zweitens via Verbindung VA Nachricht N, daß Client C eine Verbindung zu Service S aufbauen will, an Autorisierungsser vice AS zu senden;
Autorisierungsservice AS Mittel enthält, um erstens via Verbindung VA Nach richt N von Logonservice LS zu empfangen und zweitens via Verbindung VS Aufforderung A, einen freien Verbindungsendpunkt für Client C bereitzustel len, an Service S zu senden;
Service S Mittel enthält, um erstens via Verbindung VS Aufforderung A von Autorisierungsservice AS zu empfangen und zweitens einen neuen freien Verbindungsendpunkt VEPS für Client C bereitzustellen;
Client C Mittel enthält, um eine zuverlässige stehende logische bidirektionale Interthread- oder Interprozeßkommunikationsverbindung VC zu dem von Ser vice S bereitgestellten Verbindungsendpunkt VEPS aufzubauen;
Service S Mittel enthält, um die Verbindungsanforderung von Client C zu Ver bindungsendpunkt VEPS zu akzeptieren.
16. Netzwerk mit Kommunikationssystem nach Anspruch 15, bestehend aus minde
stens zwei verschiedenen Einheiten, dadurch gekennzeichnet, daß
mindestens eines der Programme Logonservice LS, Autorisierungsservice AS oder
Service S auf einer anderen Einheit ausgeführt wird, als die beiden anderen der
genannten Programme LS, AS und S.
17. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 15 bis 16,
dadurch gekennzeichnet, daß
- a) mindestens Autorisierungsservice AS Mittel enthält, um auf Autorisierungsda ten AD zuzugreifen, und
- b) mindestens Client C Mittel enthält, um nach Aufbau der Verbindung VCL via Verbindung VCL Anmeldungsdaten AMD an Logonservice LS zu senden, und
- c) mindestens Logonservice LS Mittel enthält, um erstens via Verbindung VCL Anmeldungsdaten AMD von Client C zu empfangen und zweitens via Verbin dung VS Anmeldungsdaten AMD an Autorisierungsservice AS zu senden, und
- d) mindestens Autorisierungsservice AS Mittel enthält, um erstens via Verbin dung VS Anmeldungsdaten AMD von Logonservice LS zu empfangen und zweitens Aufforderung A, einen neuen freien Verbindungsendpunkt bereitzu stellen, nur nach positiv ausgefallener Autorisierungsprüfung der Anmel dungsdaten AMD gegen Autorisierungsdaten AD an Service S zu senden.
18. Netzwerk mit Kommunikationssystem nach Anspruch 17, dadurch gekenn
zeichnet, daß
- a) mindestens Client C Mittel enthält, um mindestens einen Teil TAMD der Anmeldungsdaten AMD verschlüsselt via Verbindung VCL an Logonservice LS zu senden, und
- b) mindestens Logonservice LS Mittel enthält, um erstens via Verbindung VCL Teil TAMD der Anmeldungsdaten AMD von Client C zu empfangen und zwei tens via Verbindung VA Teil TAMD der Anmeldungsdaten AMD an Autorisie rungsservice AS zu senden, und
- c) mindestens Autorisierungsservice AS Mittel enthält, um via Verbindung VA Teil TAMD der Anmeldungsdaten AMD von Logonservice LS zu empfangen und zu entschlüsseln.
19. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 15 bis 18,
dadurch gekennzeichnet, daß
- a) mindestens Client C die Zugangsdaten ZD zu Verbindungsendpunkt VEPS vor Aufbau der Verbindung VCL zu Logonservice LS nicht kennt, und
- b) mindestens Logonservice LS Mittel enthält, um Zugangsdaten ZD via Verbin dung VCL an Client C zu senden, und
- c) mindestens Autorisierungsservice AS Mittel enthält, um Zugangsdaten ZD via Verbindung VS an Service S zu senden, und
- d) mindestens Service S Mittel enthält, um erstens via Verbindung VS Zugangs daten ZD von Autorisierungsservice AS zu empfangen und zweitens in Abhängigkeit von mindestens einem Teil der Zugangsdaten ZD Verbindungs endpunkt VEPS für Client C bereitzustellen, und
- e) mindestens Client C Mittel enthält, um erstens via Verbindung VCL Zugangs daten ZD von Logonservice LS zu empfangen und zweitens in Abhängigkeit von mindestens einem Teil der Zugangsdaten ZD Verbindung VC zu von Ser vice S bereitgestelltem Verbindungsendpunkt VEPS aufzubauen.
20. Netzwerk mit Kommunikationssystem nach Anspruch 19, dadurch gekenn
zeichnet, daß
- a) mindestens Logonservice LS Mittel enthält, um mindestens einen Teil LTZD der Zugangsdaten ZD zu erzeugen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um Teil LTZD der Zugangsdaten ZD von Logonservice LS sowohl via Verbindung VCL an Client C als auch via Verbindung VA, Autorisierungsservice AS und Verbindung VS an Service S zu übermitteln.
21. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 19 bis 20,
dadurch gekennzeichnet, daß
- a) mindestens Autorisierungsservice AS Mittel enthält, um mindestens einen Teil ATZD der Zugangsdaten ZD zu erzeugen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um Teil ATZD der Zugangsdaten ZD von Autorisierungsservice AS sowohl via Verbindung VS an Service S als auch via Verbindung VA, Logonservice LS und Verbindung VCL an Client C zu übermitteln.
22. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 19 bis 21,
dadurch gekennzeichnet, daß
- a) mindestens Service S Mittel enthält, um mindestens einen Teil STZD der Zugangsdaten ZD zu erzeugen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um Teil STZD der Zugangsdaten ZD von Service S via Verbindung VS, Autorisierungsservice AS, Verbindung VA, Logonservice LS und Verbindung VCL an Client C zu übermitteln.
23. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 19 bis 22,
dadurch gekennzeichnet, daß
- a) mindestens Client C Mittel enthält, um mindestens einen Teil CTZD der Zugangsdaten ZD zu erzeugen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um Teil CTZD der Zugangsdaten ZD von Client C via Verbindung VCL, Logonservice LS, Ver bindung VA, Autorisierungsservice AS und Verbindung VS an Service S zu übermitteln.
24. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 19 bis 23,
dadurch gekennzeichnet, daß
- 1. mindestens Logonservice LS Mittel enthält, um mindestens einen Service S auszuwählen, und
- 2. mindestens alle beteiligten Programme Mittel enthalten, um von Logonservice LS via Verbindung VCL in den Zugangsdaten ZD mindestens eine physikali sche Adresse mindestens eines Netzwerkinterfaces der Service S ausführen den Serviceeinheit SE an Client C zu übermitteln.
25. Netzwerk mit Kommunikationssystem nach Ansprüchen 19 bis 24, dadurch
gekennzeichnet, daß
- 1. mindestens Autorisierungsservice AS Mittel enthält, um mindestens einen Service S auszuwählen, und
- 2. mindestens alle beteiligten Programme Mittel enthalten, um von Autorisie rungsservice AS via Verbindung VA, Logonservice LS und Verbindung VCL in den Zugangsdaten ZD mindestens eine physikalische Adresse mindestens eines Netzwerkinterfaces der Service S ausführenden Serviceeinheit SE an Client C zu übermitteln.
26. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 19 bis 25,
dadurch gekennzeichnet, daß
- 1. mindestens Logonservice LS Mittel enthält, um mindestens eine lokale Ken nung LK mindestens eines von Service S bereitzustellenden Verbindungsend punktes VEPS auszuwählen, und
- 2. mindestens alle beteiligten Programme Mittel enthalten, um lokale Kennung LK von Logonservice LS via Verbindung VCL an Client C und von Logonser vice LS via Verbindung VA, Autorisierungsservice AS und Verbindung VS an Service S zu übermitteln.
27. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 19 bis 26,
dadurch gekennzeichnet, daß
- 1. mindestens Autorisierungsservice AS Mittel enthält, um mindestens eine lokale Kennung LK mindestens eines von Service S bereitzustellenden Ver bindungsendpunktes VEPS auszuwählen, und
- 2. mindestens alle beteiligten Programme Mittel enthalten, um lokale Kennung LK von Autorisierungsservice AS via Verbindung VS an Service S und von Autorisierungsservice AS via Verbindung VA, Logonservice LS und Verbin dung VCL an Client C zu übermitteln.
28. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 19 bis 27,
dadurch gekennzeichnet, daß
- 1. mindestens Service S Mittel enthält, um mindestens eine lokale Kennung LK mindestens eines von Service S bereitzustellenden Verbindungsendpunktes VEPS auszuwählen, und
- 2. mindestens alle beteiligten Programme Mittel enthalten, um lokale Kennung LK von Service S via Verbindung VS, Autorisierungsservice AS, Verbindung VA, Logonservice LS und Verbindung VCL an Client C zu übermitteln.
29. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 19 bis 28,
dadurch gekennzeichnet, daß
- 1. mindestens Client C Mittel enthält, um mindestens eine lokale Kennung LK mindestens eines von Service S bereitzustellenden Verbindungsendpunktes VEPS auszuwählen, und
- 2. mindestens alle beteiligten Programme Mittel enthalten, um lokale Kennung LK von Client C via Verbindung VCL, Logonservice LS, Verbindung VA, Auto risierungsservice AS und Verbindung VS an Service S zu übermitteln.
30. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 19 bis 29,
dadurch gekennzeichnet, daß
- 1. mindestens Logonservice LS Mittel enthält, um via Verbindung VCL minde stens ein Teil VTZD der Zugangsdaten ZD verschlüsselt an Client C zu sen den, und
- 2. mindestens Client C Mittel enthält, um via Verbindung VCL den verschlüsselt übertragenen Teil VTZD der Zugangsdaten von Logonservice LS zu empfan gen und zu entschlüsseln.
31. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 19 bis 30,
dadurch gekennzeichnet, daß
- 1. mindestens Autorisierungsservice AS Mittel enthält, um via Verbindung VS mindestens einen Teil VTZD2 der Zugangsdaten ZD verschlüsselt an Service S zu senden, und
- 2. mindestens Service S Mittel enthält, um via Verbindung VS den verschlüsselt übertragenen Teil VTZD2 der Zugangsdaten ZD von Autorisierungsservice AS zu empfangen und zu entschlüsseln.
32. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 5 bis 14 und 19
bis 31, dadurch gekennzeichnet, daß
- 1. mindestens Client C Mittel enthält, um via Verbindung VC mindestens einen in Zugangsdaten ZD enthaltenen Schlüssel ZSC an Service S zu senden, und
- 2. mindestens Service S Mittel enthält, um erstens via Verbindung VC Schlüssel ZSC von Client C zu empfangen, zweitens Schlüssel ZSC gegen Zugangsda ten ZD zu überprüfen und drittens Verbindung VC zu Client C nur bestehen zu lassen, falls die genannte Schlüsselüberprüfung zu einem positiven Ergebnis führt.
33. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 5 bis 14 und 19
bis 32, dadurch gekennzeichnet, daß
- 1. mindestens Service S Mittel enthält, um via Verbindung VC mindestens einen in Zugangsdaten ZD enthaltenen Schlüssel ZSS an Client C zu senden, und
- 2. mindestens Client C Mittel enthält, um erstens via Verbindung VC Schlüssel ZSS von Service S zu empfangen, zweitens Schlüssel ZSS gegen Zugangs daten ZD zu überprüfen und drittens Verbindung VC zu Service S nur beste hen zu lassen, falls die genannte Schlüsselüberprüfung zu einem positiven Ergebnis führt.
34. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 5 bis 14 und 19
bis 33, dadurch gekennzeichnet, daß
mindestens ein Teil der Zugangsdaten ZD pseudozufällig oder absolut zufällig
erzeugt wird.
35. Netzwerk mit Kommunikationssystem nach einem der vorherigen Ansprüche,
wobei mindestens Service S ausführende Serviceeinheit SE mindestens einen
lokalen Firewall LF ausführt, und wobei Logonprogramme LP1,. . .,LPlp ausschließ
lich auf Logoneinheiten LE1,. . .,LEle ausgeführt werden, und wobei Clientpro
gramme CP1,. . .,CPcp ausschließlich auf Clienteinheiten CE1,. . .,CEce ausgeführt
werden, dadurch gekennzeichnet, daß
lokaler Firewall LF maximal den Aufbau mindestens einer Verbindung von minde stens einem der Clientprogramme CP1,. . .,CPcp zu Service S sowie die verbin dungsorientierte bidirektionale Kommunikation zwischen Service S und den mit Service S verbundenen Clientprogrammen sowie den Aufbau der Verbindung VS und die bidirektionale Kommunikation via Verbindung VS zwischen Service S und Logonservice LS bzw. Autorisierungsservice AS gestattet,
lokaler Firewall LF insbesondere alle verbindungslos von und zu Serviceeinheit SE gesendeten Nachrichten, als auch jeden Verbindungsaufbau von Serviceeinheit SE zu einer der Clienteinheiten CE1,. . .,CEce, als auch jeden Verbindungsaufbau zu jedem auf Serviceeinheit SE ausgeführten Programm bis auf Service S blockiert.
lokaler Firewall LF maximal den Aufbau mindestens einer Verbindung von minde stens einem der Clientprogramme CP1,. . .,CPcp zu Service S sowie die verbin dungsorientierte bidirektionale Kommunikation zwischen Service S und den mit Service S verbundenen Clientprogrammen sowie den Aufbau der Verbindung VS und die bidirektionale Kommunikation via Verbindung VS zwischen Service S und Logonservice LS bzw. Autorisierungsservice AS gestattet,
lokaler Firewall LF insbesondere alle verbindungslos von und zu Serviceeinheit SE gesendeten Nachrichten, als auch jeden Verbindungsaufbau von Serviceeinheit SE zu einer der Clienteinheiten CE1,. . .,CEce, als auch jeden Verbindungsaufbau zu jedem auf Serviceeinheit SE ausgeführten Programm bis auf Service S blockiert.
36. Netzwerk mit Kommunikationssystem nach einem der vorherigen Ansprüche,
wobei zwischen mindestens Service S ausführende Serviceeinheit SE und minde
stens Client C ausführende Clienteinheit CE mindestens ein Firewall F geschaltet
ist, und wobei Clientprogramme CP1,. . .,CPcp ausschließlich auf Clienteinheiten
CE1,. . .,CEce ausgeführt werden, dadurch gekennzeichnet, daß
Firewall F maximal den Aufbau mindestens einer Verbindung von mindestens einem der Clientprogramme CP1,. . .,CPcp zu Service S sowie die verbindungsorien tierte bidirektionale Kommunikation zwischen Service S und den mit Service S ver bundenen Clientprogrammen sowie den Aufbau der Verbindung VS und die bidirektionale Kommunikation via Verbindung VS zwischen Service S und Logon service LS bzw. Autorisierungsservice AS gestattet,
Firewall F insbesondere alle verbindungslos von und zu Serviceeinheit SE gesen deten Nachrichten, als auch jeden Verbindungsaufbau von Serviceeinheit SE zu einer der Clienteinheiten CE1,. . .,CEce, als auch jeden Verbindungsaufbau zu jedem auf Serviceeinheit SE ausgeführten Programm bis auf Service S blockiert.
Firewall F maximal den Aufbau mindestens einer Verbindung von mindestens einem der Clientprogramme CP1,. . .,CPcp zu Service S sowie die verbindungsorien tierte bidirektionale Kommunikation zwischen Service S und den mit Service S ver bundenen Clientprogrammen sowie den Aufbau der Verbindung VS und die bidirektionale Kommunikation via Verbindung VS zwischen Service S und Logon service LS bzw. Autorisierungsservice AS gestattet,
Firewall F insbesondere alle verbindungslos von und zu Serviceeinheit SE gesen deten Nachrichten, als auch jeden Verbindungsaufbau von Serviceeinheit SE zu einer der Clienteinheiten CE1,. . .,CEce, als auch jeden Verbindungsaufbau zu jedem auf Serviceeinheit SE ausgeführten Programm bis auf Service S blockiert.
37. Netzwerk mit Kommunikationssystem nach einem der vorherigen Ansprüche,
dadurch gekennzeichnet, daß
Service S Mittel enthält, um freie Verbindungsendpunkte nur nach vorheriger Auf
forderung seitens eines Logonservices oder eines Autorisierungsservices bereitzu
stellen und mindestens einen freien Verbindungsendpunkt VEPS für Client C nur
für einen beliebig vorgebbaren Zeitraum T bereitzustellen und, falls sich Client C
nicht innerhalb Zeitraumes T mit Verbindungsendpunkt VEPS verbindet, Verbin
dungsendpunkt VEPS wieder zu schließen.
38. Netzwerk mit Kommunikationssystem bestehend aus einer beliebigen Anzahl se
(se ganzahlig und se < 0) Serviceeinheiten SE1,. . .,SEse, einer beliebigen Anzahl le
(le ganzahlig und le ≧ 0) Logoneinheiten LE1,. . .,LEle und einer beliebigen Anzahl ce
(ce ganzahlig und ce ≧ 0) Clienteinheiten CE1,. . .,CEce, wobei Einheiten
SE1,. . .,SEse, LE1,. . .,LEle und CE1,. . .,CEce über jeweils mindestens ein Netzwerkin
terface NISE1,. . .,NISEse, NILE1,. . .,NILEle und NICE1,. . .,NICEce physikalisch mit
mindestens einem Netzwerk N derart verbunden sind, daß mindestens alle
beschriebenen Kommunikationsverbindungen aufbaubar sind, und wobei Service
einheiten SE1,. . .,SEse eine beliebige Anzahl sp (sp ganzzahlig und sp < 0) Service
programme SP1,. . .,SPsp ausführen, und wobei Einheiten SE1,. . .,SEse, LE1,. . .,LEle
eine beliebige Anzahl lp (lp ganzzahlig und lp < 0) Logonprogramme LP1,. . .,LPlp
ausführen, und wobei Einheiten SE1,. . .,SEse, LE1,. . .,LEle und CE1,. . .,CEce eine
beliebige Anzahl cp (cp ganzahlig und cp < 0) Clientprogramme CP1,. . .,CPcp aus
führen, dadurch gekennzeichnet, daß
- a) mindestens ein Logonservice LS der Logonprogramme LP1,. . .,LPlp Mittel ent hält, um mindestens einen freien Verbindungsendpunkt VEPCL für minde stens einen Client C der Clientprogramme CP1,. . .,CPcp bereitzustellen, und
- b) mindestens Logonservice LS Mittel enthält, um mindestens eine zuverlässige stehende logische bidirektionale Interprozeßkommunikationsverbindung VS zu bzw. von mindestens einem Service S der Serviceprogramme SP1,. . .,SPsp aufzubauen bzw. zu akzeptieren, und iii. mindestens Service S Mittel enthält, um mindestens genannte Verbindung VS von Logonservice LS zu akzeptieren bzw. zu Logonservice LS aufzubauen, und
- c) mindestens ein Client C der Clientprogramme CP1,. . .,CPcp Mittel enthält, um -
zum Verbindungsaufbau zwischen Service S und Client C - erstens eine logi
sche Kommunikationsverbindung VCL zu freiem Verbindungsendpunkt
VEPCL des Logonservices LS aufzubauen, zweitens einen freien Verbin
dungsendpunkt VEPC für Service S bereitzustellen, und drittens Verbin
dungsparameter VP via Verbindung VCL an Logonservice LS zu senden;
Logonservice LS Mittel enthält, um erstens Verbindung VCL von Client C zu akzeptieren und zweitens via Verbindung VCL Verbindungsparameter VP von Client C zu empfangen und drittens via Verbindung VS Verbindungsparame ter VP zusammen mit Aufforderung A, Verbindung VC zu Verbindungsend punkt VEPC des Clients C aufzubauen, an Service S zu senden;
Service S Mittel enthält, um erstens via Verbindung VS Verbindungparameter VP und Aufforderung A von Logonservice LS zu empfangen und zweitens zuverlässige stehende logische bidirektionale Interthread- oder Interprozeß kommunikationsverbindung VC zu Verbindungsendpunkt VEPC des Clients C aufzubauen und
Client C Mittel enthält, um die Verbindungsanforderung von Service S zu Ver bindungsendpunkt VEPC zu akzeptieren.
39. Netzwerk mit Kommunikationssystem nach Anspruch 38 bestehend aus minde
stens zwei verschiedenen Einheiten LE und SE, dadurch gekennzeich
net, daß
mindestens Logonservice LS auf Einheit LE und mindestens Service S auf Einheit
SE ausgeführt werden.
40. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 38 bis 39,
dadurch gekennzeichnet, daß
- a) mindestens Logonservice LS Mittel enthält, um auf Autorisierungsdaten AD zuzugreifen, und
- b) mindestens Client C Mittel enthält, um nach Aufbau der Verbindung VCL zu Logonservice LS via Verbindung VCL Anmeldungsdaten AMD an Logonser vice LS zu senden, und
- c) mindestens Logonservice LS Mittel enthält, um erstens via Verbindung VCL Anmeldungsdaten AMD von Client C zu empfangen und zweitens Aufforde rung A, eine Verbindung zu von Client C bereitgestelltem Verbindungsend punkt VEPC aufzubauen, nur nach positiv ausgefallener Autorisierungsprüfung der Anmeldungsdaten AMD gegen Autorisierungsda ten AD an Service S zu senden.
41. Netzwerk mit Kommunikationssystem nach Anspruch 40, dadurch gekenn
zeichnet, daß
- a) mindestens Client C Mittel enthält, um mindestens einen Teil TAMD der Anmeldungsdaten AMD via Verbindung VCL verschlüsselt an Logonservice LS zu senden,
- b) mindestens Logonservice LS Mittel enthält, um erstens Anmeldungsdaten AMD via Verbindung VCL von Client C zu empfangen und zweitens den ver schlüsselten Teil TAMD der Anmeldungsdaten AMD zu entschlüsseln.
42. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 38 bis 41,
dadurch gekennzeichnet, daß
- a) mindestens Service S Zugangsdaten ZD zu Verbindungsendpunkt VEPC vor Aufbau der Verbindung VCL zwischen Client C und Logonservice LS nicht kennt, und
- b) mindestens Logonservice LS Mittel enthält, um erstens via Verbindung VS Zugangsdaten ZD an Service S zu senden und zweitens via Verbindung VCL Zugangsdaten ZD an Client C zu senden, und
- c) mindestens Client C Mittel enthält, um erstens via Verbindung VCL Zugangs daten ZD von Logonservice LS zu empfangen und zweitens in Abhängigkeit von mindestens einem Teil der Zugangsdaten ZD Verbindungsendpunkt VEPC für Service S bereitzustellen, und
- d) mindestens Service S Mittel enthält, um erstens via Verbindung VS Zugangs daten ZD von Logonservice LS zu empfangen und zweitens in Abhängigkeit von mindestens einem Teil der Zugangsdaten ZD Verbindung VC zu von Cli ent C bereitgestelltem Verbindungsendpunkt VEPC aufzubauen.
43. Netzwerk mit Kommunikationssystem nach Anspruch 42, dadurch gekenn
zeichnet, daß
- a) mindestens Logonservice LS Mittel enthält, um mindestens einen Teil LTZD der Zugangsdaten ZD zu erzeugen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um Teil LTZD der Zugangsdaten ZD von Logonservice LS sowohl via Verbindung VCL an Client C als auch via Verbindung VS an Service S zu übermitteln.
44. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 42 bis 43,
dadurch gekennzeichnet, daß
- a) mindestens Service S Mittel enthält, um mindestens einen Teil STZD der Zugangsdaten ZD zu erzeugen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um Teil STZD der Zugangsdaten ZD von Service S via Verbindung VS, Logonservice LS und Verbindung VCL an Client C zu übermitteln.
45. Netzwerk mit Kommunikationssystem nach Anspruch 42 bis 44, dadurch
gekennzeichnet, daß
- a) mindestens ein Client C Mittel enthält, um mindestens einen Teil CTZD der Zugangsdaten ZD zu erzeugen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um Teil CTZD der Zugangsdaten ZD von Client C via Verbindung VCL, Logonservice LS und Verbindung VS an Service S zu übermitteln.
46. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 42 bis 45,
dadurch gekennzeichnet, daß
- a) mindestens Logonservice LS Mittel enthält, um mindestens einen Service S auszuwählen, und
- b) mindestens alle beteiligten Programme Mittel enthalten, um von Logonservice LS via Verbindung VCL in den Zugangsdaten ZD mindestens eine physikali sche Adresse mindestens eines Netzwerkinterfaces der Service S ausführen den Serviceeinheit SE an Client C zu übermitteln.
47. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 42 bis 46,
dadurch gekennzeichnet, daß
- a) mindestens Logonservice LS Mittel enthält, um mindestens eine lokale Ken nung LK mindestens eines von Client C bereitzustellenden Verbindungsend punktes VEPS auszuwählen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um lokale Kennung LK von Logonservice LS via Verbindung VCL an Client C und von Logonser vice LS via Verbindung VS an Service S zu übermitteln.
48. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 42 bis 47,
dadurch gekennzeichnet, daß
- a) mindestens Service S Mittel enthält, um mindestens eine lokale Kennung LK mindestens eines von mindestens einem Client C bereitzustellenden Verbin dungsendpunktes VEPS auszuwählen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um lokale Kennung LK von Service S via Verbindung VS, Logonservice LS und Verbindung VCL an Client C zu übermitteln.
49. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 42 bis 48,
dadurch gekennzeichnet, daß
- a) mindestens Client C Mittel enthält, um mindestens eine lokale Kennung LK mindestens eines von Client C bereitzustellenden Verbindungsendpunktes VEPS auszuwählen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um lokale Kennung LK via Verbindung VCL, Logonservice LS und Verbindung VS an Service S zu übermitteln.
50. Netzwerk nach einem der Ansprüche 42 bis 49, dadurch gekennzeich
net, daß
- a) mindestens Logonservice LS Mittel enthält, um via Verbindung VCL minde stens einen Teil VTZD der Zugangsdaten ZD verschlüsselt an Client C zu senden und
- b) mindestens Client C Mittel enthält, um via Verbindung VCL den verschlüsselt übertragenen Teil VTZD der Zugangsdaten ZD von Logonservice LS zu emp fangen und zu entschlüsseln.
51. Netzwerk nach einem der Ansprüche 42 bis 50, dadurch gekennzeich
net, daß
- a) mindestens Logonservice LS Mittel enthält, um via Verbindung VS minde stens einen Teil VTZD2 der Zugangsdaten ZD verschlüsselt an Service S zu senden, und
- b) mindestens Service S Mittel enthält, um via Verbindung VS den verschlüsselt übertragenen Teil VTZD2 der Zugangsdaten ZD von Logonservice LS zu empfangen und zu entschlüsseln.
52. Netzwerk mit Kommunikationssystem bestehend aus einer beliebigen Anzahl se
(se ganzahlig und se < 0) Serviceeinheiten SE1,. . .,SEse, einer beliebigen Anzahl le
(le ganzahlig und le ≧ 0) Logoneinheiten LE1,. . .,LEle, einer beliebigen Anzahl ae
(ae ganzahlig und ae ≧ 0) Autorisierungseinheiten AE1,. . .,AEae und einer beliebi
gen Anzahl ce (ce ganzahlig und ce ≧ 0) Clienteinheiten CE1,. . .,CEce, wobei Ein
heiten SE1,. . .,SEse, LE1,. . .,LEle, AE1,. . .,AEae und CE1,. . .,CEce über jeweils
mindestens ein Netzwerkinterface NISE1,. . .,NISEse, NILE1,. . .,NILEle,
NIAE1,. . .,NIAEae und NICE1,. . .,NICEce physikalisch mit mindestens einem Netz
werk N derart verbunden sind, daß mindestens alle beschriebenen Kommunikati
onsverbindungen aufbaubar sind, und wobei Serviceeinheiten SE1,. . .,SEse eine
beliebige Anzahl sp (sp ganzzahlig und sp < 0) Serviceprogramme SP1,. . .,SPsp
ausführen, und wobei Einheiten SE1,. . .,SEse, LE1,. . .,LEle eine beliebige Anzahl lp
(lp ganzzahlig und lp < 0) Logonprogramme LP1,. . .,LPlp ausführen, und wobei Ein
heiten SE1,. . .,SEse, AE1,. . .,AEae eine beliebige Anzahl ap (ap ganzzahlig und ap <
0) Autorisierungsprogramme AP1,. . .,APap ausführen, und wobei Einheiten
SE1,. . .,SEse, LE1,. . .,LEle und CE1,. . .,CEce eine beliebige Anzahl cp (cp ganzahlig
und cp < 0) Clientprogramme CP1,. . .,CPcp ausführen, dadurch gekenn
zeichnet, daß
- a) mindestens ein Logonservice LS der Logonprogramme LP1,. . .,LPlp Mittel ent hält, um mindestens einen freien Verbindungsendpunkt VEPCL für minde stens einen Client C der Clientprogramme CP1,. . .,CPcp bereitzustellen, und
- b) mindestens Logonservice LS Mittel enthält, um mindestens eine zuverlässige stehende logische bidirektionale Interthread- oder Interprozeßkommunikati onsverbindung VA zu bzw. von mindestens einem Autorisierungsservice AS der Authorisationsprogramme AP1,. . .,APap aufzubauen bzw. zu akzeptieren, und
- c) mindestens Autorisierungsservice AS Mittel enthält, um mindestens genannte Verbindung VA von Logonservice LS zu akzeptieren bzw. zu Logonservice LS aufzubauen, und
- d) mindestens Autorisierungsservice AS Mittel enthält, um mindestens eine zuverlässige stehende logische bidirektionale Interthread- oder Interprozeß kommunikationsverbindung VS zu bzw. von mindestens einem Service S der Serviceprogramme SP1,. . .,SPsp aufzubauen bzw. zu akzeptieren, und
- e) mindestens Service S Mittel enthält, um mindestens genannte Verbindung VS von Autorisierungsservice AS zu akzeptieren bzw. zu Autorisierungsservice AS aufzubauen, und
- f) mindestens Client C Mittel enthält, um - zum Verbindungsaufbau zwischen
Service S und Client C - erstens eine logische Kommunikationsverbindung
VCL zu freiem Verbindungsendpunkt VEPCL des Logonservices LS aufzu
bauen, zweitens einen freien Verbindungsendpunkt VEPC für Service S
bereitzustellen und drittens Verbindungsparameter VP via Verbindung VCL an
Logonservice LS zu senden;
Logonservice LS Mittel enthält, um erstens Verbindung VCL von Client C zu akzeptieren, zweitens via Verbindung VCL Verbindungsparameter VP von Cli ent C zu empfangen und drittens via Verbindung VA Verbindungsparameter VP an Autorisierungservice AS zu senden;
Autorisierungsservice AS Mittel enthält, um erstens Verbindungsparameter VP via Verbindung VA von Logonservice LS zu empfangen und zweitens Ver bindungsparameter VP zusammen mit Aufforderung A, eine Verbindung zu Verbindungsendpunkt VEPC des Clients C aufzubauen, an Service S zu sen den;
Service S Mittel enthält, um erstens via Verbindung VA Verbindungsparame ter VP und Aufforderung A von Autorisierungsservice AS zu empfangen und zweitens mit Hilfe der Verbindungsparameter VP eine zuverlässige stehende logische bidirektionale Interthread- oder Interprozeßkommunikationsver bindung VC zu Verbindungsendpunkt VEPC des Clients C aufzubauen, und
Client C Mittel enthält, um die Verbindungsanforderung von Service S zu Ver bindungsendpunkt VEPC zu akzeptieren.
53. Netzwerk mit Kommunikationssystem nach Anspruch 52 bestehend aus minde
stens zwei verschiedenen Service-, Logon- und Autorisierungseinheiten,
dadurch gekennzeichnet, daß
mindestens eines der Programme Logonservice LS, Autorisierungsservice AS oder
Service S auf einer anderen Einheit ausgeführt wird, als die beiden anderen der
genannten Programme LS, AS und S.
54. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 52 bis 53,
dadurch gekennzeichnet, daß
- a) mindestens Autorisierungsservice AS Mittel enthält, um auf Autorisierungsda ten AD zuzugreifen, und
- b) mindestens Client C Mittel enthält, um nach Aufbau der Verbindung VCL Logonservice LS via Verbindung VCL Anmeldungsdaten AMD an Logonser vice LS zu senden, und
- c) mindestens Logonservice LS Mittel enthält, um via Verbindung VCL Anmel dungsdaten AMD von Client C zu empfangen und via Verbindung VA Anmel dungsdaten AMD an Autorisierungsservice AS zu senden, und
- d) mindestens Autorisierungsservice AS Mittel enthält, um via Verbindung VA Anmeldungsdaten AMD von Logonservice LS zu empfangen und Aufforde rung A, eine Verbindung zu von Client C bereitgestelltem Verbindungsend punkt VEPC aufzubauen, nur nach positiv ausgefallener Autorisierungsprüfung der Anmeldungsdaten AMD gegen Autorisierungsda ten AD an Service S zu senden.
55. Netzwerk mit Kommunikationssystem nach Anspruch 54, dadurch gekenn
zeichnet, daß
- a) mindestens Client C Mittel enthält, um mindestens einen Teil TAMD der Anmeldungsdaten AMD verschlüsselt via Verbindung VCL an Logonservice LS zu senden, und
- b) mindestens Logonservice LS Mittel enthält, um erstens via Verbindung VCL Teil TAMD der Anmeldungsdaten AMD von Client C zu empfangen und zwei tens via Verbindung VA Teil TAMD der Anmeldungsdaten AMD an Autorisie rungsservice AS zu senden, und
- c) mindestens Autorisierungsservice AS Mittel enthält, um via Verbindung VA Teil TAMD der Anmeldungsdaten AMD von Logonservice LS zu empfangen und zu entschlüsseln.
56. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 52 bis 55,
dadurch gekennzeichnet, daß
- a) mindestens Service S die Zugangsdaten ZD zu Verbindungsendpunkt VEPC vor Aufbau der Verbindung VCL zwischen Logonservice LS und Client C nicht kennt, und
- b) mindestens Logonservice LS Mittel enthält, um Zugangsdaten ZD via Verbin dung VCL an Client C zu senden, und
- c) mindestens Autorisierungsservice AS Mittel enthält, um Zugangsdaten ZD via Verbindung VS an Service S zu senden, und
- d) mindestens Client C Mittel enthält, um via Verbindung VCL Zugangsdaten ZD von Logonservice LS zu empfangen und in Abhängigkeit von mindestens einem Teil der Zugangsdaten ZD Verbindungsendpunkt VEPC für Service S bereitzustellen, und
- e) mindestens Service S Mittel enthält, um via Verbindung VS Zugangsdaten ZD von Autorisierungsservice AS zu empfangen und in Abhängigkeit von minde stens einem Teil der Zugangsdaten ZD Verbindung VC zu von Client C bereit gestelltem Verbindungsendpunkt VEPC aufzubauen.
57. Netzwerk mit Kommunikationssystem nach Anspruch 56, dadurch gekenn
zeichnet, daß
- a) mindestens Logonservice LS Mittel enthält, um mindestens einen Teil LTZD der Zugangsdaten ZD zu erzeugen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um Teil LTZD der Zugangsdaten ZD von Logonservice LS sowohl via Verbindung VCL an Client C als auch via Verbindung VA, Autorisierungsservice AS und Verbindung VS an Service S zu übermitteln.
58. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 56 bis 57,
dadurch gekennzeichnet, daß
- a) mindestens Autorisierungsservice AS Mittel enthält, um mindestens einen Teil ATZD der Zugangsdaten ZD zu erzeugen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um Teil ATZD der Zugangsdaten ZD von Autorisierungsservice AS sowohl via Verbindung VS an Service S als auch via Verbindung VA, Logonservice LS und Verbindung VCL an Client C zu übermitteln.
59. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 56 bis 58,
dadurch gekennzeichnet, daß
- a) mindestens Service S Mittel enthält, um mindestens einen Teil STZD der Zugangsdaten ZD zu erzeugen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um Teil STZD der Zugangsdaten ZD von Service S via Verbindung VS, Autorisierungsservice AS, Verbindung VA, Logonservice LS und Verbindung VCL an Client C zu übermitteln.
60. Netzwerk mit Kommunikationssystem nach Anspruch 56 bis 59, dadurch
gekennzeichnet, daß
- a) mindestens Client C Mittel enthält, um mindestens einen Teil CTZD der Zugangsdaten ZD zu erzeugen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um Teil CTZD der Zugangsdaten ZD von Client C via Verbindung VCL, Logonservice LS, Ver bindung VA, Autorisierungsservice AS und Verbindung VS an Service S zu übermitteln.
61. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 56 bis 60,
dadurch gekennzeichnet, daß
- a) mindestens Logonservice LS Mittel enthält, um mindestens einen Service S auszuwählen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um von Logonservice LS via Verbindung VCL in den Zugangsdaten ZD mindestens eine physikali sche Adresse PASE mindestens eines Netzwerkinterfaces der Service S aus führenden Serviceeinheit SE an Client C zu übermitteln, so daß Client C physikalische Adresse PASE während des Aufbaues der Verbindung VC überprüfen kann und Verbindung VC nur dann akzeptiert, wenn Service S Verbindung VC über das Netzwerkinterface mit der physikalischen Adresse PASE aufbaut.
62. Netzwerk mit Kommunikationssystem nach Ansprüchen 56 bis 61, dadurch
gekennzeichnet, daß
- a) mindestens Autorisierungsservice AS Mittel enthält, um mindestens einen Service S auszuwählen und
- b) mindestens alle beteiligten Programme Mittel enthalten, um von Autorisie rungsservice AS via Verbindung VA, Logonservice LS und Verbindung VCL in den Zugangsdaten ZD mindestens eine physikalische Adresse PASE minde stens eines Netzwerkinterfaces der Service S ausführenden Serviceeinheit SE an Client C zu übermitteln, so daß Client C physikalische Adresse PASE während des Aufbaues der Verbindung VC überprüfen kann und Verbindung VC nur dann akzeptiert, wenn Service S Verbindung VC über das Netzwerkin terface mit der physikalischen Adresse PASE aufbaut.
63. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 56 bis 62,
dadurch gekennzeichnet, daß
- a) mindestens Logonservice LS Mittel enthält, um mindestens eine lokale Ken nung LK mindestens eines von Client C bereitzustellenden Verbindungsend punktes VEPS auszuwählen, und
- b) mindestens alle beteiligten Programme Mittel enthalten, um lokale Kennung LK von Logonservice LS via Verbindung VCL an Client C und von Logonser vice LS via Verbindung VA, Autorisierungsservice AS und Verbindung VS an Service S zu übermitteln.
64. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 56 bis 63,
dadurch gekennzeichnet, daß
- a) mindestens Autorisierungsservice AS Mittel enthält, um mindestens eine lokale Kennung LK mindestens eines von Client C bereitzustellenden Verbin dungsendpunktes VEPS auszuwählen, und
- b) mindestens alle beteiligten Programme Mittel enthalten, um lokale Kennung LK von Autorisierungsservice AS via Verbindung VS an Service S und von Autorisierungsservice AS via Verbindung VA, Logonservice LS und Verbin dung VCL an Client C zu übermitteln.
65. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 56 bis 64,
dadurch gekennzeichnet, daß
- a) mindestens Service S Mittel enthält, um mindestens eine lokale Kennung LK mindestens eines von Client C bereitzustellenden Verbindungsendpunktes VEPS auszuwählen, und
- b) mindestens alle beteiligten Programme Mittel enthalten, um lokale Kennung LK von Service S via Verbindung VS, Autorisierungsservice AS, Verbindung VA, Logonservice LS und Verbindung VCL an Client C zu übermitteln.
66. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 56 bis 65,
dadurch gekennzeichnet, daß
- a) mindestens Client C Mittel enthält, um mindestens eine lokale Kennung LK mindestens eines von Client C bereitzustellenden Verbindungsendpunktes VEPS auszuwählen, und
- b) mindestens alle beteiligten Programme Mittel enthalten, um lokale Kennung LK von Client C via Verbindung VCL, Logonservice LS, Verbindung VA, Auto risierungsservice AS und Verbindung VS an Service S zu übermitteln.
67. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 56 bis 66,
dadurch gekennzeichnet, daß
- a) mindestens Logonservice LS Mittel enthält, um via Verbindung VCL minde stens ein Teil VTZD der Zugangsdaten ZD verschlüsselt an Client C zu sen den, und
- b) mindestens Client C Mittel enthält, um via Verbindung VCL den verschlüsselt übertragenen Teil VTZD der Zugangsdaten von Logonservice LS zu empfan gen und zu entschlüsseln.
68. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 56 bis 67,
dadurch gekennzeichnet, daß
- a) mindestens Autorisierungsservice AS Mittel enthält, um via Verbindung VS mindestens einen Teil VTZD2 der Zugangsdaten ZD verschlüsselt an Service S zu senden, und
- b) mindestens Service S Mittel enthält, um via Verbindung VS den verschlüsselt übertragenen Teil VTZD2 der Zugangsdaten ZD von Autorisierungsservice AS zu empfangen und zu entschlüsseln.
69. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 42 bis 51 und 56
bis 68, dadurch gekennzeichnet, daß
- a) mindestens Client C Mittel enthält, um via Verbindung VC mindestens einen in Zugangsdaten ZD enthaltenen Schlüssel ZSC an Service S zu übermitteln, und
- b) mindestens Service S Mittel enthält, um erstens via Verbindung VC Schlüssel ZSC von Client C zu empfangen, zweitens Schlüssel ZSC gegen Zugangsda ten ZD zu überprüfen und drittens Verbindung VC zu Client C nur bestehen zu lassen, falls die genannte Schlüsselüberprüfung zu einem positiven Ergebnis führt.
70. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 42 bis 51 und 56
bis 69, dadurch gekennzeichnet, daß
- a) mindestens Service S Mittel enthält, um erstens via Verbindung VC minde stens einen in Zugangsdaten ZD enthaltenen Schlüssel ZSS an Client C zu übermitteln, und
- b) mindestens Client C Mittel enthält, um erstens via Verbindung VC Schlüssel ZSS von Service S zu empfangen, zweitens Schlüssel ZSS gegen Zugangs daten ZD zu überprüfen und drittens Verbindung VC zu Service S nur beste hen zu lassen, falls die genannte Schlüsselüberprüfung zu einem positiven Ergebnis führt.
71. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 42 bis 51 und 56
bis 70, dadurch gekennzeichnet, daß
mindestens ein Teil der Zugangsdaten ZD pseudozufällig oder absolut zufällig
erzeugt wird.
72. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 38 bis 71, wobei
mindestens Service S ausführende Serviceeinheit SE einen lokalen Firewall LF
ausführt, und wobei Logonprogramme LP1,. . .,LPlp ausschließlich auf Logoneinhei
ten LE1,. . .,LEle ausgeführt werden, und wobei Clientprogramme CP1,. . .,CPcp aus
schließlich auf Clienteinheiten CE1,. . .,CEce ausgeführt werden, dadurch
gekennzeichnet, daß
lokaler Firewall LF maximal den Aufbau mindestens einer Verbindung von Service S zu mindestens einem der Clientprogramme CP1,. . .,CPcp sowie die verbindungs orientierte bidirektionale Kommunikation zwischen Service S und den verbundenen Clientprogrammen sowie den Aufbau der Verbindung VS und die bidirektionale Kommunikation via Verbindung VS zwischen Service S und Logonservice LS bzw. Autorisierungsservice AS gestattet,
lokaler Firewall LF insbesondere alle verbindungslos von und zu Serviceeinheit SE gesendeten Nachrichten als auch jeden Verbindungsaufbau von einer der Cli enteinheiten CE1,. . .,CEce zu Serviceeinheit SE als auch jeden Verbindungsaufbau von jedem auf Serviceeinheit SE ausgeführten Programm bis auf Service S bloc kiert.
lokaler Firewall LF maximal den Aufbau mindestens einer Verbindung von Service S zu mindestens einem der Clientprogramme CP1,. . .,CPcp sowie die verbindungs orientierte bidirektionale Kommunikation zwischen Service S und den verbundenen Clientprogrammen sowie den Aufbau der Verbindung VS und die bidirektionale Kommunikation via Verbindung VS zwischen Service S und Logonservice LS bzw. Autorisierungsservice AS gestattet,
lokaler Firewall LF insbesondere alle verbindungslos von und zu Serviceeinheit SE gesendeten Nachrichten als auch jeden Verbindungsaufbau von einer der Cli enteinheiten CE1,. . .,CEce zu Serviceeinheit SE als auch jeden Verbindungsaufbau von jedem auf Serviceeinheit SE ausgeführten Programm bis auf Service S bloc kiert.
73. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 38 bis 72, wobei
mindestens zwischen Service S ausführenden Serviceeinheit SE und mindestens
Client C ausführenden Clienteinheit CE mindestens ein Firewall F geschaltet ist,
und wobei Clientprogramme CP1,. . .,CPcp ausschließlich auf Clienteinheiten
CE1,. . .,CEce ausgeführt werden, dadurch gekennzeichnet, daß
Firewall F maximal den Aufbau mindestens einer Verbindung von Service S zu min destens einem der Clientprogramme CP1,. . .,CPcp sowie die verbindungsorientierte bidirektionale Kommunikation zwischen Service S und den verbundenen Clientpro grammen sowie den Aufbau der Verbindung VS und die bidirektionale Kommunika tion via Verbindung VS zwischen Service S und Logonservice LS bzw. Autorisierungsservice AS gestattet,
Firewall F insbesondere alle verbindungslos von und zu Serviceeinheit SE gesen deten Nachrichten als auch jeden Verbindungsaufbau von einer der Clienteinheiten CE1,. . .,CEce zu Serviceeinheit SE als auch jeden Verbindungsaufbau von jedem auf Serviceeinheit SE ausgeführten Programm bis auf Service S blockiert.
Firewall F maximal den Aufbau mindestens einer Verbindung von Service S zu min destens einem der Clientprogramme CP1,. . .,CPcp sowie die verbindungsorientierte bidirektionale Kommunikation zwischen Service S und den verbundenen Clientpro grammen sowie den Aufbau der Verbindung VS und die bidirektionale Kommunika tion via Verbindung VS zwischen Service S und Logonservice LS bzw. Autorisierungsservice AS gestattet,
Firewall F insbesondere alle verbindungslos von und zu Serviceeinheit SE gesen deten Nachrichten als auch jeden Verbindungsaufbau von einer der Clienteinheiten CE1,. . .,CEce zu Serviceeinheit SE als auch jeden Verbindungsaufbau von jedem auf Serviceeinheit SE ausgeführten Programm bis auf Service S blockiert.
74. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 38 bis 73,
dadurch gekennzeichnet, daß
Client C Mittel enthält, um mindestens einen Verbindungsendpunkt VEPC für Ser
vice S nur für einen beliebig vorgebbaren Zeitraum T bereitzustellen und, falls sich
Service S nicht innerhalb Zeitraumes T mit Verbindungsendpunkt VEPC verbindet,
Verbindungsendpunkt VEPC wieder zu schließen.
75. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 38 bis 74,
dadurch gekennzeichnet, daß
nach Aufbau der Verbindung VS zu bzw. von Service S alle von Serviceeinheit SE
ausgeführten Programme - insbesondere auch Service S - zu keinem Zeitpunkt
einen freien Verbindungsendpunkt bereitstellen.
76. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 38 bis 75,
dadurch gekennzeichnet, daß
mindestens ein Service S Verbindung VS selbst aufbaut und alle von Serviceein
heit SE ausgeführten Programme - insbesondere auch Service S - zu absolut kei
nem Zeitpunkt einen freien Verbindungsendpunkt bereitstellen.
77. Netzwerk mit Kommunikationssystem nach einem der vorherigen Ansprüche,
dadurch gekennzeichnet, daß
alle von Serviceeinheit SE ausgeführten Programme - insbesondere auch Service
S - zu absolut keinem Zeitpunkt verbindungslose Nachrichten senden.
78. Netzwerk mit Kommunikationssystem nach einem der vorherigen Ansprüche,
dadurch gekennzeichnet, daß
mindestens ein auf Serviceeinheit SE ausgeführtes Programm Mittel enthält, um
alle verbindungslos an Serviceeinheit SE gesendeten Nachrichten zu blockieren.
79. Netzwerk mit Kommunikationssystem nach einem der vorherigen Ansprüche,
dadurch gekennzeichnet, daß
Service S von bzw. zu mindestens einem Client C der Clientprogramme
CP1,. . .,CPcp mindestens zwei zuverlässige stehende logische bidirektionale Inter
thread- oder Interprozeßkommunikationsverbindungen VC1 und VC2 akzeptiert
bzw. aufbaut, so daß beide Verbindungen VC1 und VC2 nach ihrem Aufbau absolut
gleichzeitig bestehen.
80. Netzwerk mit Kommunikationssystem nach einem der vorherigen Ansprüche,
dadurch gekennzeichnet, daß
nach erfolgtem Aufbau mindestens einer Verbindung VC zwischen Service S und
Client C,
- a) mindestens Client C Mittel enthält, um erstens mindestens eine Anforderung CA via Verbindung VC an Service S zu senden und zweitens via Verbindung VC auf mindestens ein Resultat CR von Service S zu warten, und
- b) mindestens Service S Mittel enthält, um erstens auf mindestens eine Anforde rung von mindestens einem der mit Service S verbundenen Clients zu warten, zweitens via Verbindung VC mindestens Anforderung CA von Client C zu empfangen, gegebenenfalls in Abhängigkeit mindestens der Anforderung CA eine vorgegebene Aktion auszuführen und drittens mindestens ein Resultat CR via Verbindung VC an Client C zu senden, und
- c) mindestens Client C Mittel enthält, um mindestens ein Resultat CR via Verbin dung VC von Service S zu empfangen.
81. Netzwerk mit Kommunikationssystem nach Anspruch 80, dadurch gekenn
zeichnet, daß
- a) jeweils mindestens eine zuverlässige stehende logische bidirektionale Inter thread- oder Interprozeßkommunikationsverbindung zwischen mindestens einem Service S und einer beliebigen Anzahl Clients der Clientprogramme CP1,. . .,CPcp aufbaubar sind und
- b) Service S Mittel enthält, um für jeden der verbundenen Clients die in den Merkmalen von Anspruch 80 genannten Schritte unabhängig von den ande ren mit Service S verbundenen Clients auszuführen.
82. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 80 bis 81,
dadurch gekennzeichnet, daß
Service S Mittel enthält, um für jeden Client Ci (i ganzzahlig und 0 < i < cp+1) der
mit Service S verbundenen Clients die in den Merkmalen von Anspruch 80 genann
ten Schritte unabhängig von den anderen mit Service S verbundenen Clients
solange zu wiederholen, bis entweder die Verbindung VCi zu Client Ci unterbro
chen wird oder ein Client Ci die Verbindung VCi schließt oder Service S die Verbin
dung VCi schließt.
83. Netzwerk mit Kommunikationssystem nach einem der vorherigen Ansprüche,
zusätzlich bestehend aus einer beliebigen Anzahl te (te ganzzahlig und te < 0) von
Tresoreinheiten TE1,. . .,TEte, wobei Tresoreinheiten TE1,. . .,TEte mindestens über
ein Netzwerk NT physikalisch mit mindestens einer Serviceeinheit SE der Service
einheiten SE1,. . .,SEse verbunden sind, und wobei Tresoreinheiten TE1,. . .,TEte eine
beliebige Anzahl tp (tp ganzzahlig und tp < 0) Tresorprogramme TP1,. . .,TPtp aus
führen, und wobei zwischen mindestens einem auf Tresoreinheit TE ausgeführten
Tresor T der Tresorprogramme TP1,. . .,TPtp und mindestens einem auf Serviceein
heit SE ausgeführten Service S der Serviceprogramme SP1,. . .,SPsp mindestens
eine zuverlässige stehende logische bidirektionale Interprozeßkommunikationsver
bindung VT aufbaubar ist, dadurch gekennzeichnet, daß
nach erfolgtem Aufbau mindestens einer Verbindung VC zwischen Service S und
Client C, und nach erfolgtem Aufbau mindestens einer Verbindung VT zwischen Service
S und Tresor T,
- a) mindestens Client C Mittel enthält, um erstens mindestens eine Anforderung CA via Verbindung VC an Service S zu senden und zweitens via Verbindung VC auf mindestens ein Resultat CR von Service S zu warten, und
- b) mindestens Service S Mittel enthält, um erstens auf mindestens eine Anforde rung von mindestens einem der mit Service S verbundenen Clients zu warten, zweitens via Verbindung VC mindestens Anforderung CA von Client C zu empfangen, gegebenenfalls Anforderung CA zu überprüfen, und drittens Anforderung CA in geeigneter Form als mindestens eine Anforderung SA via Verbindung VT an Tresor T zu senden, und viertens via Verbindung VT auf mindestens ein Resultat TR von Tresor T zu warten,
- c) mindestens Tresor T Mittel enthält, um erstens auf mindestens eine Anforde rung eines mit Tresor T verbundenen Services S zu warten, zweitens via Ver bindung VT mindestens Anforderung SA von Service S zu empfangen, gegebenenfalls in Abhängigkeit mindestens der Anforderung SA eine vorge gebene Aktion auszuführen und drittens via Verbindung VT mindestens ein Resultat TR an Service S zu senden, und
- d) mindestens Service S Mittel enthält, um erstens via Verbindung VT minde stens Resultat TR von Tresor T zu empfangen, gegebenenfalls Resultat TR zu überprüfen, und via zweitens Verbindung VC Resultat TR in geeigneter Form als mindestens ein Resultat CR an Client C zu senden,
- e) mindestens Client C Mittel enthält, um mindestens ein Resultat CR via Verbin dung VC von Service S zu empfangen.
84. Netzwerk mit Kommunikationssystem nach Anspruch 83, dadurch gekenn
zeichnet, daß
- a) zwischen mindestens einem Service S und einer beliebigen Anzahl Clients der Clientprogramme CP1,. . .,CPcp jeweils mindestens eine zuverlässige ste hende logische bidirektionale Interthread- oder Interprozeßkommunikations verbindung aufbaubar ist und
- b) Service S und Tresor T Mittel enthalten, um für jeden der verbundenen Clients die in den Merkmalen von Anspruch 83 genannten Schritte unabhängig von den anderen mit Service S verbundenen Clients auszuführen.
85. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 83 bis 84,
dadurch gekennzeichnet, daß
Service S und Tresor T Mittel enthalten, um für jeden Client Ci (i ganzzahlig und 0 <
i < cp+1) der mit Service S verbundenen Clients die in den Merkmalen von
Anspruch 83 genannten Schritte unabhängig von den anderen mit Service S ver
bundenen Clients solange zu wiederholen, bis entweder die Verbindung VCi zu Cli
ent Ci unterbrochen wird, oder die Verbindung VT zwischen Service S und Tresor T
unterbrochen wird, oder ein Client Ci die Verbindung VCi schließt oder Service S
die Verbindung VCi, oder Tresor T die Verbindung VT schließt oder Service S die
Verbindung VT schließt.
86. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 83 bis 85, wobei
der Aufbau mindestens einer Verbindung VT1 zwischen mindestens einem Service
S1 und mindestens einem Tresor T1 nach einem der Ansprüche 1 bis 82 erfolgt,
dadurch gekennzeichnet, daß
für den Aufbau der Verbindung VT1 Tresor T1 die Rolle von Client C und Service
S1 die Rolle von Service S übernimmt.
87. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 83 bis 86, wobei
der Aufbau mindestens einer Verbindung VT2 zwischen mindestens einem Service
S2 und mindestens einem Tresor T2 nach einem der Ansprüche 1 bis 82 erfolgt,
dadurch gekennzeichnet, daß
für den Aufbau der Verbindung VT2 Service S2 die Rolle von Client C und Tresor
T2 die Rolle des Service S übernimmt.
88. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 83 bis 87,
dadurch gekennzeichnet, daß
mindestens ein Service S Mittel enthält, um mindestens einer Verbindung minde
stens eines mit Service S verbundenen Tresores T mindestens eine logische Ken
nung derart zuzuordnen, so daß mindestens ein mit Service S verbundener Client
C allein aufgrund genannter logischen Kennung(en) indirekt über Service S mit
mindestens einem Mitglied einer durch die logische Kennung(en) eindeutig
bestimmten Gruppe von Tresoren kommunizieren kann.
89. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 83 bis 88,
dadurch gekennzeichnet, daß
mindestens ein Service S Mittel enthält, um mindestens einer Verbindung minde
stens eines mit Service S verbundenen Tresores T mindestens eine logische Ken
nung LKVT derart zuzuordnen, so daß mindestens ein mit Service S verbundener
Client C allein aufgrund genannter logischen Kennung(en) LKVT indirekt über Ser
vice S mit mindestens einem Mitglied einer durch genannte logische Kennung(en)
LKVT eindeutig bestimmten Gruppe von Verbindungen eines Tresores T kommuni
zieren kann.
90. Netzwerk mit Kommunikationssystem nach einem der Ansprüche 83 bis 89,
dadurch gekennzeichnet, daß
Service S Mittel enthält, um mindestens eine logische Kennung LKVT eindeutig
genau einer Verbindung VT genau eines Tresores T zuzuordnen, daß mindestens
ein mit Service S verbundener Client C allein aufgrund genannter logischen Ken
nung LKVT indirekt über Service S mit genau einer durch die logische Kennung
LKVT eindeutig bestimmten Verbindung VT des Tresores T kommunizieren kann.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE20114373U DE20114373U1 (de) | 2001-08-01 | 2001-08-01 | Unsichtbare Services |
DE10137693A DE10137693A1 (de) | 2001-06-18 | 2001-08-01 | Unsichtbare Services |
US10/161,722 US20020194505A1 (en) | 2001-06-18 | 2002-06-05 | Invisible services |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10129295A DE10129295A1 (de) | 2001-06-18 | 2001-06-18 | Triggerbare geschlossene Services |
DE10137693A DE10137693A1 (de) | 2001-06-18 | 2001-08-01 | Unsichtbare Services |
Publications (1)
Publication Number | Publication Date |
---|---|
DE10137693A1 true DE10137693A1 (de) | 2002-05-16 |
Family
ID=26009540
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10137693A Ceased DE10137693A1 (de) | 2001-06-18 | 2001-08-01 | Unsichtbare Services |
Country Status (2)
Country | Link |
---|---|
US (1) | US20020194505A1 (de) |
DE (1) | DE10137693A1 (de) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4043355B2 (ja) * | 2002-12-10 | 2008-02-06 | 富士通株式会社 | サーバ負荷分散プログラム、サーバ負荷分散方法、およびサーバ負荷分散装置 |
US9564004B2 (en) | 2003-10-20 | 2017-02-07 | Igt | Closed-loop system for providing additional event participation to electronic video game customers |
JP4501063B2 (ja) * | 2004-07-27 | 2010-07-14 | ソニー株式会社 | 情報処理装置および方法、記録媒体、並びにプログラム |
US9613491B2 (en) | 2004-12-16 | 2017-04-04 | Igt | Video gaming device having a system and method for completing wagers and purchases during the cash out process |
US20070143849A1 (en) * | 2005-12-19 | 2007-06-21 | Eyal Adar | Method and a software system for end-to-end security assessment for security and CIP professionals |
US8392999B2 (en) * | 2005-12-19 | 2013-03-05 | White Cyber Knight Ltd. | Apparatus and methods for assessing and maintaining security of a computerized system under development |
US9028329B2 (en) | 2006-04-13 | 2015-05-12 | Igt | Integrating remotely-hosted and locally rendered content on a gaming device |
US8777737B2 (en) * | 2006-04-13 | 2014-07-15 | Igt | Method and apparatus for integrating remotely-hosted and locally rendered content on a gaming device |
US8992304B2 (en) | 2006-04-13 | 2015-03-31 | Igt | Methods and systems for tracking an event of an externally controlled interface |
US8968077B2 (en) | 2006-04-13 | 2015-03-03 | Idt | Methods and systems for interfacing with a third-party application |
US8784196B2 (en) | 2006-04-13 | 2014-07-22 | Igt | Remote content management and resource sharing on a gaming machine and method of implementing same |
US8512139B2 (en) | 2006-04-13 | 2013-08-20 | Igt | Multi-layer display 3D server based portals |
US10026255B2 (en) | 2006-04-13 | 2018-07-17 | Igt | Presentation of remotely-hosted and locally rendered content for gaming systems |
US9311774B2 (en) | 2006-11-10 | 2016-04-12 | Igt | Gaming machine with externally controlled content display |
US20090156303A1 (en) | 2006-11-10 | 2009-06-18 | Igt | Bonusing Architectures in a Gaming Environment |
US8001243B2 (en) * | 2008-11-07 | 2011-08-16 | Oracle America, Inc. | Distributed denial of service deterrence using outbound packet rewriting |
US9466173B2 (en) | 2011-09-30 | 2016-10-11 | Igt | System and method for remote rendering of content on an electronic gaming machine |
US9524609B2 (en) | 2011-09-30 | 2016-12-20 | Igt | Gaming system, gaming device and method for utilizing mobile devices at a gaming establishment |
US9129469B2 (en) | 2012-09-11 | 2015-09-08 | Igt | Player driven game download to a gaming machine |
US9088598B1 (en) * | 2013-11-14 | 2015-07-21 | Narus, Inc. | Systematic mining of associated server herds for uncovering malware and attack campaigns |
US10055930B2 (en) | 2015-08-11 | 2018-08-21 | Igt | Gaming system and method for placing and redeeming sports bets |
US11265310B2 (en) | 2017-10-19 | 2022-03-01 | Microsoft Technology Licensing, Llc | Isolating networks and credentials using on-demand port forwarding |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US558435A (en) * | 1896-04-14 | James e | ||
US740925A (en) * | 1902-05-29 | 1903-10-06 | Friedrich Adolf Richter | Star-wheel for music-boxes. |
US5642515A (en) * | 1992-04-17 | 1997-06-24 | International Business Machines Corporation | Network server for local and remote resources |
US5497463A (en) * | 1992-09-25 | 1996-03-05 | Bull Hn Information Systems Inc. | Ally mechanism for interconnecting non-distributed computing environment (DCE) and DCE systems to operate in a network system |
US5623605A (en) * | 1994-08-29 | 1997-04-22 | Lucent Technologies Inc. | Methods and systems for interprocess communication and inter-network data transfer |
US6502192B1 (en) * | 1998-09-03 | 2002-12-31 | Cisco Technology, Inc. | Security between client and server in a computer network |
US6564261B1 (en) * | 1999-05-10 | 2003-05-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Distributed system to intelligently establish sessions between anonymous users over various networks |
-
2001
- 2001-08-01 DE DE10137693A patent/DE10137693A1/de not_active Ceased
-
2002
- 2002-06-05 US US10/161,722 patent/US20020194505A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
US20020194505A1 (en) | 2002-12-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE10137693A1 (de) | Unsichtbare Services | |
Yan et al. | Distributed denial of service attacks in software-defined networking with cloud computing | |
DE10052312B4 (de) | Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze | |
US8146133B2 (en) | Apparatus and method for managing P2P traffic | |
EP1826956B1 (de) | Anpassung von virtuellen und physikalischen Netzwerkschnittstellen | |
US7207061B2 (en) | State machine for accessing a stealth firewall | |
DE602004007301T2 (de) | Adressierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten | |
US20070124577A1 (en) | Systems and methods for implementing protocol enforcement rules | |
JP2005529409A (ja) | プロトコルゲートウェイのためのシステム及び方法 | |
DE19740547A1 (de) | Sicherer Netzwerk-Proxy zum Verbinden von Entitäten | |
US8014406B2 (en) | System and method of inserting a node into a virtual ring | |
EP1721235B1 (de) | Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes | |
US8954590B2 (en) | Tunneling apparatus and method for client-server communication | |
EP3318033B1 (de) | Anti-cracking verfahren mit hilfe eines vermittlungscomputer | |
DE112004000125T5 (de) | Gesichertes Client-Server-Datenübertragungssystem | |
DE19961399C2 (de) | Schutz sicherheitskritischer Daten in Netzwerken | |
EP3170295B1 (de) | Erhöhen der sicherheit beim port-knocking durch externe computersysteme | |
DE102014112466A1 (de) | Verfahren zur Kommunikation zwischen abgesicherten Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt | |
EP1820293A2 (de) | Systeme und verfahren zur implementierung von protokolldurchsetzungsregeln | |
Shaw et al. | A new local area network attack through IP and MAC address spoofing | |
DE60127187T2 (de) | System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen | |
DE102006038599B3 (de) | Verfahren zur Wiederaktivierung einer sicheren Kommunikationsverbindung | |
DE10129295A1 (de) | Triggerbare geschlossene Services | |
Shanmughapriya et al. | Bot net of things–a survey | |
EP4228204A1 (de) | Zero trust für ein operational technology netzwerk transport protokoll |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
AF | Is addition to no. |
Ref country code: DE Ref document number: 10129295 Format of ref document f/p: P |
|
AF | Is addition to no. |
Ref country code: DE Ref document number: 10129295 Format of ref document f/p: P |
|
OAV | Publication of unexamined application with consent of applicant | ||
OP8 | Request for examination as to paragraph 44 patent law | ||
8125 | Change of the main classification |
Ipc: G06F 944 |
|
8131 | Rejection |