DE10151277A1 - Verfahren zur Authentifizierung eines Netzwerkzugriffservers bei einem Authentifizierungsserver - Google Patents
Verfahren zur Authentifizierung eines Netzwerkzugriffservers bei einem AuthentifizierungsserverInfo
- Publication number
- DE10151277A1 DE10151277A1 DE10151277A DE10151277A DE10151277A1 DE 10151277 A1 DE10151277 A1 DE 10151277A1 DE 10151277 A DE10151277 A DE 10151277A DE 10151277 A DE10151277 A DE 10151277A DE 10151277 A1 DE10151277 A1 DE 10151277A1
- Authority
- DE
- Germany
- Prior art keywords
- nas
- network
- user
- password
- ras
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99951—File or database maintenance
- Y10S707/99952—Coherency, e.g. same view to multiple users
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
Abstract
Ein Verfahren zur Authentifizierung zwischen Servern in einem Drei-Parteien-Netzwerk-Protokollnetzwerk (14), das als erstes Bereitstellen mindestens eines Netzwerkzugriffservers (NAS) (18) in Kommunikation mit mindestens einem Benutzer (12) des Netzwerks und des weiteren in Kommunikation mit mindestens einem entfernten Authentifizierungsserver (RAS) (20), der an das Netzwerk gekoppelt ist, umfasst. Eine Zugriffsanfragenachricht, die ein vom Benutzer an den NAS gesendetes (32) Benutzerpasswort umfasst. Der NAS verschlüsselt (34) das Passwort mit einem von dem NAS und dem RAS gemeinsam benutzten Geheimnis. Der NAS hängt (36) daraufhin einen Nachrichtenauthentifizierungskode (MAC) unter Verwendung des gemeinsam benutzten Geheimnisses an das verschlüsselte Passwort an. Das verschlüsselte Passwort und MAC werden dann an den RAS gesendet (38). Der RAS authentifiziert (40) als erstes den NAS durch Verifizierung des MAC, bevor das verschlüsselte Benutzerpasswort entschlüsselt wird (46).
Description
Die gegenwärtige Erfindung betrifft allgemein ein Kommunikationsnetzwerk, und genauer
ein Verfahren zur Authenfifizierung zwischen Servern innerhalb des Netzwerks.
In einem konventionellen Drei-Parteinen Netzwerkprotokoll greift ein Benutzer, der sich
entfernt von einem Netzwerk befindet, auf das Netzwerk zu, indem er eine
Anwahlverbindung ("dial-up connection") über einen Netzwerkzugriffserver verwendet.
Der Netzwerkzugriffserver übermittelt dann gesicherte Daten an einen Sicherheitsserver
oder Authentifizierungsserver bevor der Benutzer Zugriff auf das Netzwerk erhält. Der
Netzwerkzugriffserver tritt als Klient ("client") für den Authentifizierungsserver auf und
gibt Identifikationsinformation von dem Benutzer an den Sicherheitsserver immer wenn
die Identifikationsinformation durch eine Antwort auf eine zufällige Herausforderung
repräsentiert wird mit oder ohne Verschlüsselung weiter. In einer typischen Ausführung
entschlüsselt der Sicherheitsserver die verschlüsselte Benutzeridentifikationsinformation
oder überprüft die Benutzerantwort und verifiziert den Benutzer unter Verwendung eines
solchen Protokolls. Eine Zugriffs-Annahme oder Zugriffsherausforderungsnachricht wird
mittels dem Netzwerkzugriffserver an den Benutzer zurückgeschickt, falls die
Identifikationsinformation erkannt oder autorisiert wird. Eine Zugriff-
Zurückweisungsnachricht wird zurückgegeben, falls die Identifikationsinformation nicht
erkannt wird.
Das konventionelle Vertrauensmodell eines derartigen Drei-Parteien Protokollsystems
besteht darin, dem Netzwerkzugriffserver zu vertrauen, wobei der Netzwerkzugriffserver
sich nicht mit dem Netzwerkauthentifizierungsserver authentifiziert. Wenn der
Authentifizierungsserver eine Zugriff-Anfragenachricht vom Netzwerkzugriffserver erhält,
entschlüsselt oder überprüft er sofort das Passwort oder andere Identifikationsdaten des
Benutzers und verifiziert den Benutzer. Es findet keine Verifikation des
Netzwerkzugriffservers statt.
Der Netzwerkzugriffserver und der Authentifizierungsserver benutzen in einem derartigen
Drei-Parteien Netzwerkprotokoll typischer Weise gemeinsam einen Geheimniswert ("share
a secret value between them"). Wenn der Netzwerkzugriffserver die
Identifikationsinformation des Benutzers verschlüsselt, wird ein Netzwerkzugriffserver
diese mit dem gemeinsam benutzten Geheimniswert verschlüsseln und die verschlüsselte
Information an den Authentifizierungsserver senden. Wenn der Sicherheitsserver die
Information erhält, entschlüsselt der Server automatisch oder überprüft anderenfalls die
Daten unter Verwendung des gemeinsam benutzten Geheimnisses, unter der Annahme,
dass es sich um einen autorisierten Netzwerkzugriffserver handelt. Jedoch können in einer
derartigen Treue-Anordnung ("trust arrangement") eine Anzahl unterschiedlicher
Situationen auftreten, die vom Netzwerk nicht unterschieden werden können. Ein
Authentifizierungsserver in einem derartigen Drei-Parteien Protokollnetzwerk kann nicht
zwischen den mehreren folgenden unterschiedlichen Fällen unterscheiden, die stattdessen
dem Authentifizierungsserver als essentiell gleich erscheinen: (1) ein autorisierter
Netzwerkzugriffserver verschlüsselt ein ungültiges Passwort von einem illegalen Benutzer
korrekter Weise und leitet es an den Authentifizierungsserver weiter; (2) ein Mogel- oder
Betrugsnetzwerkzugriffserver ("cheating or imposter network access server") verschlüsselt
ein gültiges Passwort von einem gültigen Benutzer korrekter Weise, wie durch
Verwendung eines ungültigen gemeinsam benutzten Geheimniswerts, und leitet es an den
Authentifizierungsserver weiter; und (3) ein Betrugsnetzwerkzugriffserver verschlüsselt
ein ungültiges Passwort von einem illegalen Benutzer unkorrekter Weise, vielleicht durch
Verwendung eines ungültigen gemeinsam benutzten Geheimniswerts, und leitet es an den
Authentifizierungsserver weiter.
Der Authentifizierungsserver wird die verschlüsselte Information vom Benutzer
entsprechend einer Liste mit autorisierten Benutzern und Passworten verifizieren. Jedoch
kann in einem derartigen Netzwerk der Authentifizierungsserver nicht zwischen diesen
drei Fällen unterscheiden. In jedem Fall wird der Server versuchen, die Daten unter
Verwendung des gemeinsam benutzten Geheimniswerts zu entschlüsseln. Im ersten Fall
wird der Authentifizierungsserver korrekt feststellen, dass der Benutzer ungültig ist, weil
er das verschlüsselte Passwort nicht erkennen wird. Im zweiten Fall wird der Server nach
der Entschlüsselung der Information Müll produziert haben, weil sie nicht unter
Verwendung der richtigen gemeinsam benutzten Information verschlüsselt wurde. Jedoch
wird der Server nach Nichterkennung des Passwortes noch immer nur feststellen, dass der
Benutzer ein illegaler Benutzer ist. Der Server wird nicht den
Betrugsnetzwerkzugriffserver erkennen und wird nicht den gültigen Benutzer erkennen.
Genauso wird auch im dritten Fall der Server nur Müll erhalten und wird feststellen, dass
nur der Benutzer illegal ist, nicht erkennend, dass auch der Netzwerkzugriffserver ein
Betrüger ist. Es ist daher ein Problem, wo ein unehrlicher oder
Betrugsnetzwerkzugriffserver auf den Sicherheitsserver zuzugreifen versucht.
Daher besteht ein Bedarf nach einem Verfahren zur Authentifizierung eines
Netzwerkzugriffservers in einem derartigen Drei-Parteien Netzwerkprotokoll bei einem
Sicherheitsserver bevor der Sicherheitsserver dem Betrugsklientenserver
Netzwerkzugriffsinformation gibt.
Fig. 1 zeigt ein Blockdiagramm eines Teils eines Kommunikationsnetzwerks und mehrere
Kommunikationsverbindungen zur Verwendung gemäß der Lehre der
gegenwärtigen Erfindung.
Fig. 2 zeigt ein Flussdiagramm eines Prozesses zur Authentifizierung eines
Netzwerkzugriffservers bei einem entfernten Authentifizierungsserver des in Fig. 1
gezeigten Kommunikationsnetzwerks.
Fig. 3 zeigt eine schematische Darstellung des in Fig. 1 gezeigten
Kommunikationsnetzwerks, wobei der Netzwerkzugriffserver vom entfernten
Server als ein unautorisierter Server abgelehnt wurde.
Fig. 4 zeigt eine schematische Darstellung des in Fig. 1 gezeigten
Kommunikationsnetzwerks, wobei der Netzwerkzugriffserver vom entfernten
Server als ein autorisierter Server angenommen wurde.
Die Erfindung betrifft allgemein ein Verfahren zur Authentifizierung oder Verifizierung
eines Klientenservers in einem Drei-Parteien Kommunikationsnetzwerkprotokoll. In einem
derartigen Netzwerk übersendet ein entfernter Benutzer typischer Weise eine Zugriffs-
Anfragenachricht an einen Netzwerkzugriffserver (NAS) oder Klienten des Netzwerks
mittels einer Einwahlverbindung. Der NAS wird dann die Benutzeranfrageinformation
einschließlich des Passworts verschlüsseln und wird bei Verschlüsselung des Passworts
einen gemeinsam benutzten Geheimniswert s verwenden. Das verschlüsselte Passwort und
Zugriffs-Anfrage wird dann mittels dem NAS an einen entfernten Authentifizierungsserver
(RAS) gesendet, der das Passwort sofort entschlüsselt und die Benutzerinformation
verifiziert. Die Erfindung betrifft ein Verfahren zur Authentifizierung des NAS bei dem
RAS bevor das Benutzerpasswort entschlüsselt wird. Das erfindungsgemäße Verfahren
ermöglicht daher dem RAS zwischen einem legalen und einem illegalen Benutzer zu
unterscheiden und auch zwischen einem ehrlichen NAS und einem Betrugs-NAS, als auch
zu unterscheiden zwischen unkorrekter Information vom Benutzer und unkorrekter
Information vom NAS.
Unter Bezugnahme auf die Zeichnung zeigt Fig. 1 ein Blockdiagramm eines Teils eines
Kommunikationsnetzwerks und mehrere Kommunikationsverbindungen zur Verwendung
gemäß der Lehre der gegenwärtigen Erfindung. Fig. 1 zeigt allgemein einen
Netzwerkbenutzer 12, ein Netzwerk 14, eine Einwahlanbindung oder
Kommunikationsverbindung 16, einen Netzwerkzugriffserver (NAS) 18, und einen
entfernten Authentifizierungsserver (RAS) 20. Der NAS 18 und der RAS 20 können oder
können nicht ein Teil des Netzwerks sein. Jeder kann auch ein Teil eines außenseitigen
Services oder Teil von zwei verschiedenen und separaten außenseitigen Services, die
Zugriff auf oder Verbindung mit dem Netzwerk 14 ermöglichen, sein und die dem
Fachmann bekannt sind. Der Benutzer 12 will auf das Netzwerk 14 oft von einem
entfernten Ort zugreifen. Der Benutzer 12 kann dies typischer Weise tun, indem er sich
mittels der Verbindung oder Anbindung 16 in den NAS 18 einwählt. Ein Drei-Parteien
Protokoll wird für den Benutzer 12, den NAS 18 und den RAS 20 spezifiziert. Der NAS 18
wird Benutzerauthentifizierungsinformation an den RAS 20 senden, um den Benutzer 12
als einen autorisierten Benutzer des Netzwerks zu verifizieren.
Der NAS 18 erhält eine ZUGRIFFS-ANFRAGE Nachricht von dem Benutzer und
verschlüsselt mindestens Teile der Nachricht, wie notwendig, und wie es genauer in einem
Beispiel unten beschrieben wird. Der NAS übersendet dann die ZUGRIFFS-ANFRAGE
Nachricht einschließlich des verschlüsselten Teils an einen entfernten
Authentifizierungsserver 20, im Weiteren als der RAS bezeichnet. Der RAS entschlüsselt
den verschlüsselten Teil der Nachricht und verifiziert, ob der Benutzer ein autorisierter
Benutzer des Netzwerks 14 ist. Allgemein sendet der RAS, falls der Benutzer vom RAS als
autorisiert verifiziert wird, eine ZUGRIFFS-ANNAHME Nachricht zurück und erlaubt
dem Benutzer auf Teile des Netzwerks 14 zuzugreifen, für die er autorisierten Zugriff
besitzt. In einigen Systemen kann der RAS die Benutzerinformation verifizieren und
trotzdem eine ZUGRIFFS-INFRAGESTELLUNG Nachricht zurücksenden, die weitere
Beweise der Benutzeridentität oder Autorisierung fordert. Für diese Beschreibung
bezeichnen wir die Sicherheitsinformation vom Benutzer als Benutzer PASSWORT (P).
Das erfindungsgemäße Verfahren wird ausgeführt und die Sicherheitsinformation wird
hierbei als das Passwort P bezeichnet, ob der Benutzer 12 versucht, auf das Netzwerk 14
erstmalig zuzugreifen, oder auf einen vom RAS zurückgegebene ZUGRIFFS-
INFRAGESTELLUNG antwortet.
Die Verwendung des RAS befreit den NAS von der Speicherung der entfernten
Benutzersicherheitsdaten. Die zentralisierte Benutzersicherheitsdatenbank macht das
Netzwerk weniger verwundbar bezüglich eines Angriffs durch einen unautorisierten
Benutzer, der versucht, in die benutzersensitive Datenbank einzudringen. Derartige Drei-
Parteien Netzwerkprotokolle sind dem Fachmann bekannt.
Um die Beschreibung der Erfindung zu vereinfachen werden hier nur ein Benutzer 12, ein
NAS 18 und ein RAS 20 beschrieben und in Fig. 1 gezeigt. Jedoch ist es wohl bekannt,
dass eine große Anzahl der autorisierten Benutzer 12 auf das Netzwerk 14 zugreifen
können. Es ist des Weiteren bekannt, dass Vielklientenserver wie der NAS 18 zur
Verfügung stehen können, um Zugriff auf das Netzwerk 14 bereitzustellen. Des Weiteren
ist bekannt, dass mehr als ein RAS 20 mit Zugriff auf das Netzwerk 14 für größere
Netzwerke bereitgestellt wird. Oft beinhaltet das Netzwerk 14 eine Anzahl verschiedener
Authentifizierungsserver 20, wobei jeder RAS eine andere Verifikationsfunktion für einen
separaten Teil des Netzwerks oder für eine spezifizierte Gruppe an autorisierten Benutzern
ausführt. Manchmal ermöglichen diese Netzwerke es einem Benutzer 12, zu bestimmen,
welcher RAS abhängig vom Typ des erforderlichen Zugriffs oder dem Typ des
angeforderten Datenzugriffs verwendet werden soll.
Fig. 2 zeigt ein Flussdiagramm eines Beispiels eines Prozesses oder Verfahrens zur
Authentifizierung des NAS 18 bei dem RAS 20 des Kommunikationsnetzwerks, das in
Figur Gezeigt wird. Als erstes wählt sich der Benutzer 12 in das Netzwerk mittels dem
NAS ein, wie bei Block 30 gezeigt. Bei Block 32 übersendet oder stellt der Benutzer
Zugriffsinformation einschließlich mindestens dem Benutzerpasswort P bereit. Bei Block
34 verschlüsselt der NAS P mit einem gemeinsam benutzten Geheimniswert, im Folgenden
als gemeinsam benutzter geheimer Wert s bezeichnet. Der gemeinsam benutzte geheime
Wert s ist zwischen dem NAS 18 und dem RAS 20 bekannt.
Das gemeinsam benutzte Geheimnis s ist in einem Beispiel eine binäre Zeichenfolge, die
als Schlüssel zur Verschlüsselung verwendet wird und dem Sicherheits- und
Verschlüsselungsfachmann bekannt. Das gemeinsam benutzte Geheimnis kann praktisch
jeder brauchbare Schlüssel sein, der zwischen dem RAS und dem NAS gemeinsam benutzt
wird, um Information, die zwischen ihnen gemeinsam benutzt wird, abzusichern.
Um die Verschlüsselung bei Block 34 durch ein Beispiel zu illustrieren, nimmt man an,
dass das Benutzerpasswort P = (p1, p2, . . ., pi). In einem Beispiel ist jedes Zeichen p eine
128-Bit Nummer. Die Verschlüsselung von P resultiert dann in einem verschlüsselten
Benutzerpasswort, identifiziert durch die Gleichung:
E(P) = C = (c(1)2 c(2)2 . . . 2 c(i)), (1)
wobei:
b1 = MD5(s2RA) und c(1) = b1ρp1 (2)
b2 = MD5(s2c(1)) und c(2) = b2ρp2 (3)
b1 = MD5(s2c(i-1)) und c(i) = biρpi (4).
In den obigen Gleichungen ist der gemeinsam benutzte Geheimniswert s der Schlüssel, der
gemeinsam zwischen dem NAS und dem RAS benutzt wird. Der Terminus RA bezeichnet
einen Auslösevektor, der eine Zufallszahl sein kann, die von dem NAS zur
Verschlüsselung des Passworts erzeugt wird. Die obigen Gleichungen zeigen einen
Verschlüsselungsalgorithmus in Form einer Strom-Kode-Verschlüsselung ("stream cipher
encryption"), wobei der Schlüsselstrom ("key stream") von MD5 mit dem gemeinsam
benutzten Geheimniswert s als Samen erzeugt wird. MD5 repräsentiert eine
Verschlüsselung-Hash-Funktion und ist eine Internet Engineering Task Force (IETF)
standardisierte Hash-Funktion, die in vielen verschiedenen Anwendungen verwendet wird.
Für den Fachmann ist erkennbar, dass die Hash-Funktion MD5, die in diesem Beispiel
verwendet wird, ausgetauscht werden kann und im Rahmen der gegenwärtigen Erfindung
stark variieren kann.
Das verschlüsselte Passwort E(P) oder, im Folgenden, Kodetext C ("ciphertext") im
gegenwärtigen oder existierenden Drei-Parteien Protokoll wird dann an den RAS 20
gesendet. Der RAS wird diesen Kodetext sofort entschlüsseln, wobei er die selbe Funktion
und den gemeinsam benutzten Geheimniswert s verwendet, um festzustellen, ob das
Passwort ein anerkanntes Passwort für einen autorisierten Benutzer 12 war. Jedoch falls
der NAS ein Betrugs-NAS 18x ist, kennt er den gemeinsam benutzten Geheimniswert s
nicht. Daher wird der Betrugs-NAS 18x ein Passwort senden, das unzulässig verschlüsselt
ist. Beim Entschlüsseln des Kodetextes C hat der RAS 20 keine Möglichkeit festzustellen,
ob die gesendete Information ein unzulässiges Passwort von einem illegalen Benutzer 12x
oder ein zulässiges Passwort von einem legalen Benutzer 12, das von einem Betrugs- oder
illegalen NAS 18x unter Verwendung eines unkorrekten Geheimniswerts gesendet wurde,
beinhaltet.
Unter wiederholter Bezugnahme auf Fig. 2 wird die Erfindung klarer verstanden. Bei
Block 36 fügt der NAS 18 als nächstes einen Nachrichtauthentifizierungskode (MAC) an
den Kodetext C an. Die Gültigkeit oder Autorisierung des NAS 18 kann vom RAS 20 wie
unten beschrieben durch diesen gesonderten Schritt ermittelt werden.
Gemäß der Lehre der gegenwärtigen Erfindung ist der MAC an den verschlüsselten
Benutzerpasswort-Kodetext C angehängt. Der MAC wird als erstes den NAS 18 oder 18x
für den RAS 20 identifizieren bevor der RAS den Kodetext C entschlüsselt. In einem
Beispiel hängt der NAS den MAC wie folgt an, anstatt nur den verschlüsselten Kodetext C
des Benutzerpassworts P an den RAS zu senden:
c(1)2 c(2)2 . . . 2 c(i)2 c(i+1), (5)
wobei c(i+1) den MAC für den Kodetext C oder verschlüsselte Benutzerpasswort darstellt.
In einem Beispiel gemäß der Lehre der gegenwärtigen Erfindung wird c(i+1) aus dem
Folgenden abgeleitet:
c(i+1) = MD5(s2 c(1)2 c(2)2 . . . 2 c(i)), (6)
oder in einem anderen Beispiel wird c(i+1) aus dem Folgenden abgeleitet:
c(i+1) = MD5(s2 c(1)2 c(2)2 . . . 2 c(i)2 SQN), (7)
wobei SQN eine optionale Durchlaufnummer ("count number") oder
Sequentialisierungsnummer repräsentiert, die auch an den MAC zum Zweck der "Anti-
Wiederholungsattacke" angehängt ist, wie unten in größerem Detail beschrieben.
Aus den obigen Gleichungen ist ersichtlich, dass der gemeinsam benutzte Geheimniswert
s, der zwischen dem NAS 18 und dem RAS 20 bekannt ist, verwendet wird, um den MAC,
der an das verschlüsselte Benutzerpasswort oder den Kodetext C angehängt ist, zu
erzeugen. Des weiteren repräsentiert MD5 wieder die Hash-Funktion, die verwendet wird,
um den Schlüsselstrom unter Verwendung des gemeinsam benutzten Geheimniswerts s als
Samen zu erzeugen. Die SQN Durchlaufnummer oder Sequentialisierungsnummer kann
der Information, die vom NAS an den RAS gesendet wird, zugefügt werden, um jede und
sämtliche Übertragung genau zu identifizieren. Eine "Wiederholungs"-Attacke ist ein
Angriff durch einen Betrüger oder unautorisiertes Individuum, das Nachrichten
wiederholen kann, die von einer autorisierten Partei gesendet wurden, um sich die
autorisierte Partei zu eigen zu machen und auf das Netzwerk zuzugreifen. Als Beispiel
kann ein Betrugs-NAS einen MAC, der an ein verschlüsseltes P von einem autorisierten
NAS angehängt ist, abschneiden und ihn an den RAS leiten, um vom RAS Verifikation zu
erhalten und auf das Netzwerk unter Verwendung des selben Passworts P zuzugreifen.
Hinzufügen einer Sequenzialisierungs- oder Durchlaufnummer zeigt dem RAS an, ob die
gesendete Nachricht eine "frische" Nachricht ist. Falls der Betrüger eine "Wiederholungs"-
Taktik anwendet, überträgt er den MAC mit der alten angehängten SQN. Diese
Falschübertragung wird vom RAS leicht erkannt.
Wie Block 38 zeigt, sendet der NAS 18 dann den MAC an den RAS 20, und wie Block 40
zeigt, verifiziert der RAS als erstes den MAC unter Verwendung des gemeinsam benutzten
Geheimniswerts s und, optional, der Sequentialisierungsnummer SQN. Nach Verifikation
des vom Klienten-NAS empfangenen MAC hat der RAS 20 mehrere Optionen, die vom
Ergebnis der Verifikation der MAC-Information abhängen, wie bei Block 42 gezeigt.
Wenn der RAS 20 feststellt, dass der c(i+1) kein korrekter MAC des verschlüsselten
Passworts oder Kodetext C ist, dann wird der RAS das Benutzerpasswort P nicht weiter
entschlüsseln. Dies zeigt dem RAS an, dass der Klienten-NAS ein Betrugs-Klientenserver
wie NAS 18x ist. Ein Betrugs-NAS kann den gemeinsam benutzten Geheimniswert s nicht
erraten und wird demnach einen unkorrekten MAC erzeugen, da er keinen korrekten
Nachrichtauthentifizierungskode oder MAC an den Kodetext C anhängen kann. In solch
einem Fall sendet der RAS 20 eine Nachricht zurück an den NAS, die anzeigt, dass die
NAS-Authentifizierung fehlgeschlagen ist und dass Zugriff auf das Netzwerk abgelehnt
wurde. Dies wird bei Block 44 dargestellt.
Falls jedoch der RAS 20 den MAC bei Block 44 verifiziert und einen korrekten c(i+1) wie
im obigen Beispiel erhält, erkennt der RAS den gültigen NAS 18 an. Nachdem er beim
korrekten MAC angekommen ist, entschlüsselt der RAS 20 das Benutzerpasswort P wie
bei Block 46 gezeigt, unter Verwendung des gemeinsam benutzten Geheimniswerts s und
Entschlüsselung des Kodetextes C. Bei Block 48 vergleicht der RAS 20 das entschlüsselte
P mit einer Liste an Daten, die beim RAS gespeichert sind, um den Benutzer, der Zugriff
anfordert, zu verifizieren.
Wie bei Block 50 gezeigt kann das Passwort P ein unkorrektes Benutzerpasswort sein, das
anzeigt, dass der Benutzer ungültig oder nicht autorisiert ist, wie ein illegaler Benutzer
12x. In einem solchen Fall sendet der RAS eine ACCESS-REJECT Nachricht (Zugriff
verweigert) zurück an den NAS 18, die besagt, dass der Benutzer nicht autorisiert ist und
dass aus diesem Grund Zugriff aus das Netzwerk 14 verweigert wurde. Der NAS 18
berichtet dem Benutzer 12x dann, dass der Zugriff verweigert wurde.
Wie bei Block 52 gezeigt kann der RAS 20 alternative herausfinden, dass P gültig ist und
dass der Benutzer 12 ein autorisierter Benutzer des Netzwerks 14 ist. In einem solchen Fall
verständigt der RAS den NAS 18, indem er eine ACCESS-ACCEPT Nachricht (Zugriff
gestattet) sendet und der NAS verständigt den Benutzer 12 hinsichtlich der Gestaltung.
Unter diesen Umständen hat der Benutzer 12 dann Zugriff auf das Netzwerk 14, wie bei
Block 54 gezeigt, einschließlich aller Zugriffsprivilegien, die dem bestimmten Benutzer,
durch das Passwort identifiziert, gewährt werden.
Fig. 3 zeigt allgemein das Kommunikationsprotokoll für ein Drei-Parteien Protokoll
gemäß der Erfindung, wobei der Betrugs-NAS 18x durch den RAS 20 wie oben
beschrieben detektiert wird. Genauso zeigt Fig. 4 ein Drei-Parteien Protokoll gemäß der
gegenwärtigen Erfindung, wobei der RAS 20 den gültigen oder autorisierten NAS 18
detektiert hat. Anwendung der Erfindung gestattet einem RAS zwischen einem gültigen
NAS 18, einem ungültigen NAS 18x, einem gültigen Benutzer 12, und einem ungültigen
Benutzer 12x zu unterscheiden.
Das erfindungsgemäße Verfahren ist insbesondere dahingehend vorteilhaft, als dass ein
NAS oder Klientenserver beim RAS oder Authentifizierungsserver eines Netzwerks
innerhalb des bestimmten Netzwerkprotokolls autorisiert werden kann. Durch Anwendung
des erfindungsgemäßen Verfahrens steigt die Berechnung des MD5 nur von i mal auf (i+1)
mal an wenn das Passwort P kleiner ist als 128 × i Bits. Daher wird unter derartigen
Umständen der hinzugefügte Kode für den RAS zur separaten Identifikation des NAS nur
um 128 Bits ansteigen. Des weiteren erfordert die Anwendung des erfindungsgemäßen
Verfahrens nicht, dass eines der original Nachrichtenprotokollformate für das bestimmte
Netzwerk geändert werden muss.
Für den Fachmann ist erkennbar, dass das bestimmte Netzwerkprotokoll variieren kann
und dennoch in den Bereich der gegenwärtigen Erfindung fallen. Das Verfahren der
gegenwärtigen Erfindung kann in jedem Netzwerk, das ein Drei-Parteien Protokoll
einschließlich eines Benutzers, eines Netzwerkzugriffservers und eines entfernten
Authentifizierungsservers verwendet, eingesetzt werden. Auch können die entsprechenden
Verschlüsselungs- und Entschlüsselungsalgorithmen, die für jede betreffende
Passwortformulierung verwendet werden, die gemeinsam benutzten Geheimniswerte
zwischen den Servern, die Algorithmen zur Berechnung des MAC, und dergleichen
beträchtlich variieren. In einem Beispiel verwendet ein Computernetzwerkprotokoll
bekannt als ein Entferntes Authentifizierungs Einwahl Benutzer Service ("Remote
Authentication Dial In User Service") (RADIUS) Protokoll das Drei-Parteien Protokoll.
Der Benutzer wählt sich in einen Klientenserver oder NAS ein, der dann mit einem
RADIUS Server kommuniziert, der als hierin beschriebener RAS auftritt. Auch andere
derartige Netzwerk-Arrangements sind gut für das Server-zu-Server
Authentifizierungsverfahren der Erfindung geeignet.
Die vorangehende detaillierte Beschreibung wurde nur zum besseren Verständnis gegeben,
und sie soll nicht als Beschränkung aufgefasst werden, da Modifikationen (an der
Erfindung) dem Fachmann offensichtlich sind.
Claims (10)
1. Ein Verfahren zur Authentifizierung zwischen Servern in einem Drei-Partein
Netzwerk Authentifizierungsprotokoll, gekennzeichnet durch die Schritte:
Bereitstellen mindestens eines Netzwerkzugriffservers (NAS) (18) in Kommunikation mit mindestens einem Benutzer (12) des Netzwerks (14) und in Kommunikation mit mindestens einem entfernten Authentifizierungsserver (RAS) (20), der an das Netzwerk gekoppelt ist;
Senden (32) einer Zugriffsanfragenachricht, die ein Benutzerpasswort des mindestens einen Benutzers umfasst, an den NAS;
Erzeugen (34) eines verschlüsselten Passworts im NAS mit einem gemeinsam benutzten Geheimnis zwischen dem NAS und dem RAS;
Hinzufügen (36) eines Nachrichtauthentifizierungskodes im NAS an das verschlüsselte Passwort;
Senden (38) des verschlüsselten Passworts und des Nachrichtauthentifizierungskodes an den RAS; und
Authentifizierung (40) des NAS durch Verifizierung des Nachrichtauthentifizierungskodes im RAS vor Entschlüsselung (46) des verschlüsselten Benutzerpassworts.
Bereitstellen mindestens eines Netzwerkzugriffservers (NAS) (18) in Kommunikation mit mindestens einem Benutzer (12) des Netzwerks (14) und in Kommunikation mit mindestens einem entfernten Authentifizierungsserver (RAS) (20), der an das Netzwerk gekoppelt ist;
Senden (32) einer Zugriffsanfragenachricht, die ein Benutzerpasswort des mindestens einen Benutzers umfasst, an den NAS;
Erzeugen (34) eines verschlüsselten Passworts im NAS mit einem gemeinsam benutzten Geheimnis zwischen dem NAS und dem RAS;
Hinzufügen (36) eines Nachrichtauthentifizierungskodes im NAS an das verschlüsselte Passwort;
Senden (38) des verschlüsselten Passworts und des Nachrichtauthentifizierungskodes an den RAS; und
Authentifizierung (40) des NAS durch Verifizierung des Nachrichtauthentifizierungskodes im RAS vor Entschlüsselung (46) des verschlüsselten Benutzerpassworts.
2. Ein Verfahren gemäß Anspruch 1, wobei der Schritt des Hinzufügens des
Nachrichtauthentifizierungskodes des weiteren gekennzeichnet ist durch:
Erzeugen des Nachrichtauthentifizierungskodes aus dem verschlüsselten Passwort
und dem gemeinsam benutzten Geheimnis.
3. Ein Verfahren gemäß Anspruch 1, des weiteren gekennzeichnet durch den Schritt:
Verwenden einer einmaligen Sequenzialisierungsnummer als Teil einer Eingabe zur
Berechnung des Nachrichtauthentifizierungskodes.
4. Ein Verfahren gemäß Anspruch 1, wobei der Schritt des Sendens des weiteren
gekennzeichnet ist durch:
Hinzufügen des Nachrichtauthentifizierungskodes an eine Netzwerkzugriffs- Anfragenachricht gesendet vom NAS (18) an den RAS (20).
Hinzufügen des Nachrichtauthentifizierungskodes an eine Netzwerkzugriffs- Anfragenachricht gesendet vom NAS (18) an den RAS (20).
5. Ein Verfahren gemäß Anspruch 1, wobei das Passwort P durch Schriftzeichen
("characters") P = (p1, p2, . . . pi) gekennzeichnet ist, und wobei der Schritt des
Hinzufügens des Nachrichtauthentifizierungskodes des weiteren Generieren eines
Nachrichtauthentifizierungskodes c(i+1) des verschlüsselten Passworts E(P)
umfasst, wobei E(P) = (c(1)2 c(2)2 . . . 2 c(i)), und i die Anzahl an Schriftzeichen im
Passwort ist.
6. Ein Verfahren zur Authentifizierung in einem Drei-Partein
Kommunikationsnetzwerkprotokoll, gekennzeichnet durch die Schritte:
Festsetzen (32) eines Benutzerpassworts zum Identifizieren eines bestimmten Benutzers des Netzwerks (14);
Übergabe (32) einer Zugriss-Anfragenachricht inklusive des Benutzerpassworts vom Benutzer an einen Netzwerkzugriffserver (NAS) (18) des Netzwerks;
Erzeugen (34) eines verschlüsselten Benutzerpassworts im NAS unter Verwendung eines gemeinsam benutzten Geheimnisses, das von dem NAS und einem entfernten Authentifizierungsserver (RAS) (20) des Netzwerks gemeinsam benutzt wird;
Generieren (36) eines separaten Nachrichtauthentifizierungskodes im NAS unter Verwendung des gemeinsam benutzten Geheimnisses;
Hinzufügen (36) des Nachrichtauthentifizierungskodes an das verschlüsselte Passwort;
Senden (38) der Zugriss-Anfragenachricht, die das verschlüsselte Passwort umfasst, und des Nachrichtauthentifizierungskodes an den RAS; und
Authentifizierung (40) des NAS durch Verifizierung des Nachrichtauthentifizierungskodes im RAS vor Entschlüsselung des verschlüsselten Passworts.
Festsetzen (32) eines Benutzerpassworts zum Identifizieren eines bestimmten Benutzers des Netzwerks (14);
Übergabe (32) einer Zugriss-Anfragenachricht inklusive des Benutzerpassworts vom Benutzer an einen Netzwerkzugriffserver (NAS) (18) des Netzwerks;
Erzeugen (34) eines verschlüsselten Benutzerpassworts im NAS unter Verwendung eines gemeinsam benutzten Geheimnisses, das von dem NAS und einem entfernten Authentifizierungsserver (RAS) (20) des Netzwerks gemeinsam benutzt wird;
Generieren (36) eines separaten Nachrichtauthentifizierungskodes im NAS unter Verwendung des gemeinsam benutzten Geheimnisses;
Hinzufügen (36) des Nachrichtauthentifizierungskodes an das verschlüsselte Passwort;
Senden (38) der Zugriss-Anfragenachricht, die das verschlüsselte Passwort umfasst, und des Nachrichtauthentifizierungskodes an den RAS; und
Authentifizierung (40) des NAS durch Verifizierung des Nachrichtauthentifizierungskodes im RAS vor Entschlüsselung des verschlüsselten Passworts.
7. Ein Verfahren gemäß Anspruch 6, wobei der Schritt des Generierens
gekennzeichnet ist durch Generieren des Nachrichtauthentifizierungskodes aus dem
verschlüsselten Passwort unter Verwendung des gemeinsam benutzten
Geheimnisses.
13. Ein Verfahren gemäß Anspruch 6, des weiteren gekennzeichnet durch den Schritt:
Verwenden einer einmaligen Sequenzialisierungsnummer als Teil einer Eingabe zur
Berechnung des Nachrichtauthentifizierungskodes.
9. Ein Verfahren gemäß Anspruch 6, wobei der Schritt des Sendens des weiteren
gekennzeichnet ist durch:
Hinzufügen des Nachrichtauthentifizierungskodes und des verschlüsselten
Passworts an die Netzwerkzugriffs-Anfragenachricht gesendet vom NAS (18) an
den RAS (20).
10. Ein Verfahren gemäß Anspruch 6, wobei das Passwort P durch Schriftzeichen
P = (p1, p2, . . . pi) gekennzeichnet ist, und wobei der Schritt des Hinzufügens des
Nachrichtauthentifizierungskodes des weiteren Generieren eines
Nachrichtauthentifizierungskodes c(i+1) des verschlüsselten Passworts E(P)
umfasst, wobei E(P) = (c(1)2 c(2)2 . . . 2 c(i)), und i die Anzahl an Schriftzeichen im
Passwort ist.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/695,554 US6732270B1 (en) | 2000-10-23 | 2000-10-23 | Method to authenticate a network access server to an authentication server |
Publications (1)
Publication Number | Publication Date |
---|---|
DE10151277A1 true DE10151277A1 (de) | 2002-06-13 |
Family
ID=24793488
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10151277A Withdrawn DE10151277A1 (de) | 2000-10-23 | 2001-10-22 | Verfahren zur Authentifizierung eines Netzwerkzugriffservers bei einem Authentifizierungsserver |
Country Status (4)
Country | Link |
---|---|
US (1) | US6732270B1 (de) |
JP (1) | JP2002197064A (de) |
DE (1) | DE10151277A1 (de) |
GB (1) | GB2371957B (de) |
Families Citing this family (36)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7290288B2 (en) | 1997-06-11 | 2007-10-30 | Prism Technologies, L.L.C. | Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network |
HU0101106D0 (en) * | 2001-03-14 | 2001-05-28 | Tozai Trading Corp | Id alsorithm |
US7921290B2 (en) * | 2001-04-18 | 2011-04-05 | Ipass Inc. | Method and system for securely authenticating network access credentials for users |
US20030065919A1 (en) * | 2001-04-18 | 2003-04-03 | Albert Roy David | Method and system for identifying a replay attack by an access device to a computer system |
US7469341B2 (en) * | 2001-04-18 | 2008-12-23 | Ipass Inc. | Method and system for associating a plurality of transaction data records generated in a service access system |
US20040139204A1 (en) * | 2001-04-23 | 2004-07-15 | Siegried Ergezinger | Architecture for providing services in the internet |
WO2003010669A1 (en) * | 2001-07-24 | 2003-02-06 | Barry Porozni | Wireless access system, method, signal, and computer program product |
JP4237055B2 (ja) * | 2001-09-28 | 2009-03-11 | ファイバーリンク コミュニケーションズ コーポレーション | クライアント側網アクセス・ポリシー及び管理アプリケーション |
US20030093680A1 (en) * | 2001-11-13 | 2003-05-15 | International Business Machines Corporation | Methods, apparatus and computer programs performing a mutual challenge-response authentication protocol using operating system capabilities |
US20040003081A1 (en) * | 2002-06-26 | 2004-01-01 | Microsoft Corporation | System and method for providing program credentials |
AU2003265434A1 (en) * | 2002-08-12 | 2004-02-25 | Wireless Security Corporation | Fine grained access control for wireless networks |
US7562390B1 (en) | 2003-05-21 | 2009-07-14 | Foundry Networks, Inc. | System and method for ARP anti-spoofing security |
US7516487B1 (en) | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
US8606885B2 (en) * | 2003-06-05 | 2013-12-10 | Ipass Inc. | Method and system of providing access point data associated with a network access point |
US20040255154A1 (en) * | 2003-06-11 | 2004-12-16 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus |
US7876772B2 (en) * | 2003-08-01 | 2011-01-25 | Foundry Networks, Llc | System, method and apparatus for providing multiple access modes in a data communications network |
EP1654827A4 (de) * | 2003-08-15 | 2009-08-05 | Fiberlink Comm Corp | System, verfahren, vorrichtung und computerprogrammprodukt zur ermöglichung der digitalen kommunikation |
US7735114B2 (en) * | 2003-09-04 | 2010-06-08 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
US7774833B1 (en) | 2003-09-23 | 2010-08-10 | Foundry Networks, Inc. | System and method for protecting CPU against remote access attacks |
US8528071B1 (en) * | 2003-12-05 | 2013-09-03 | Foundry Networks, Llc | System and method for flexible authentication in a data communications network |
US7539862B2 (en) * | 2004-04-08 | 2009-05-26 | Ipass Inc. | Method and system for verifying and updating the configuration of an access device during authentication |
JP4009273B2 (ja) * | 2004-05-19 | 2007-11-14 | 松下電器産業株式会社 | 通信方法 |
JP2006054694A (ja) * | 2004-08-12 | 2006-02-23 | Nec Access Technica Ltd | ネットワーク接続方法及びシステム、ネットワーク接続用プログラム |
US7725589B2 (en) * | 2004-08-16 | 2010-05-25 | Fiberlink Communications Corporation | System, method, apparatus, and computer program product for facilitating digital communications |
US20060236385A1 (en) * | 2005-01-14 | 2006-10-19 | Citrix Systems, Inc. | A method and system for authenticating servers in a server farm |
US8151112B2 (en) * | 2005-04-22 | 2012-04-03 | Gerard Lin | Deliver-upon-request secure electronic message system |
US9032215B2 (en) * | 2005-06-15 | 2015-05-12 | Nokia Corporation | Management of access control in wireless networks |
JP4728740B2 (ja) * | 2005-08-23 | 2011-07-20 | Necディスプレイソリューションズ株式会社 | 電子ペン、電子黒板システム、およびプロジェクタシステム |
US20070055752A1 (en) * | 2005-09-08 | 2007-03-08 | Fiberlink | Dynamic network connection based on compliance |
US20070143851A1 (en) | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
US20070143827A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Methods and systems for intelligently controlling access to computing resources |
US8494169B2 (en) * | 2008-08-29 | 2013-07-23 | Red Hat, Inc. | Validating encrypted archive keys |
ES2403280T3 (es) | 2008-09-10 | 2013-05-17 | Nec Corporation | Método para rehabilitar la limitación del acceso de servicio |
US8799165B2 (en) * | 2012-01-11 | 2014-08-05 | Rawllin International Inc. | Electronic signature security algorithms |
US10057224B2 (en) * | 2015-08-04 | 2018-08-21 | Rubicon Labs, Inc. | System and method for initializing a shared secret system |
US11290466B2 (en) * | 2017-08-16 | 2022-03-29 | Cable Television Laboratories, Inc. | Systems and methods for network access granting |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5491752A (en) * | 1993-03-18 | 1996-02-13 | Digital Equipment Corporation, Patent Law Group | System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens |
US6694429B1 (en) * | 1998-08-04 | 2004-02-17 | At&T Corp. | Method for establishing call state information without maintaining state information at gate controllers |
US6633980B1 (en) * | 1999-06-14 | 2003-10-14 | Sun Microsystems, Inc. | Computing device communication with replay protection |
US6701439B1 (en) * | 1999-06-30 | 2004-03-02 | Lucent Technologies Inc. | Call rejection interface for internet protocols |
US7047408B1 (en) * | 2000-03-17 | 2006-05-16 | Lucent Technologies Inc. | Secure mutual network authentication and key exchange protocol |
JP4903346B2 (ja) * | 2000-06-22 | 2012-03-28 | マスターカード インターナシヨナル インコーポレーテツド | 擬似或いは代理口座番号なしでコンピュータネットワークを越えて安全な支払いを処理するための改善された方法およびシステム |
US6691227B1 (en) * | 2000-09-08 | 2004-02-10 | Reefedge, Inc. | Location-independent packet routing and secure access in a short-range wireless networking environment |
-
2000
- 2000-10-23 US US09/695,554 patent/US6732270B1/en not_active Expired - Lifetime
-
2001
- 2001-10-22 GB GB0125301A patent/GB2371957B/en not_active Expired - Lifetime
- 2001-10-22 DE DE10151277A patent/DE10151277A1/de not_active Withdrawn
- 2001-10-22 JP JP2001323525A patent/JP2002197064A/ja active Pending
Also Published As
Publication number | Publication date |
---|---|
GB2371957B (en) | 2003-03-26 |
JP2002197064A (ja) | 2002-07-12 |
GB0125301D0 (en) | 2001-12-12 |
US6732270B1 (en) | 2004-05-04 |
GB2371957A (en) | 2002-08-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE10151277A1 (de) | Verfahren zur Authentifizierung eines Netzwerkzugriffservers bei einem Authentifizierungsserver | |
DE60036112T2 (de) | Serverunterstützte wiedergewinnung eines starken geheimnisses aus einem schwachen geheimnis | |
DE69828809T2 (de) | Sicherheit von datenverbindungen | |
DE69213062T2 (de) | Authentisierungsprotokolle für Kommunikationsnetzwerke | |
DE60114986T2 (de) | Verfahren zur herausgabe einer elektronischen identität | |
DE60220780T2 (de) | Fernauthentifizierung von fingerabdrücken über ein unsicheres netzwerk | |
EP1777907B1 (de) | Vorrichtungen und Verfahren zum Durchführen von kryptographischen Operationen in einem Server-Client-Rechnernetzwerksystem | |
DE60223129T2 (de) | Verfahren und system zur sicherung eines rechnernetzwerks und persönliches identifikationsgerät, das für die steuerung des netzwerkkomponentenzugangs verwendet wird | |
DE69312328T2 (de) | System und verfahren zur änderung des schlüssels oder des kennwortes in einem kommunikationsnetzwerk mit schlüssel- verteilung | |
DE19722424C1 (de) | Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System | |
DE60029390T2 (de) | Verfahren und Vorrichtung zur Verschlüsselung/Entschlüsselung sowie Identifikationssysteme | |
DE60212577T2 (de) | Verfahren und vorrichtung zur beglaubigung von daten | |
DE69431040T2 (de) | Verfahren zur gegenseitigen erkennung eines benutzers und eines servers auf einem netzwerk | |
DE69416809T2 (de) | Verbesserungen der Sicherheit in Datenverarbeitungssystemen | |
DE102009001718B4 (de) | Verfahren zur Bereitstellung von kryptografischen Schlüsselpaaren | |
EP3416140B1 (de) | Verfahren und vorrichtung zum authentisieren eines nutzers an einem fahrzeug | |
DE69431426T2 (de) | System und Verfahren zur Nachrichtenauthentisierung in einem nicht-schmiedbaren Kryptosystem mit öffentlichen Schlüssel | |
EP1231531A1 (de) | Verfahren, Anordnung und Sicherheitsmedium zur Benutzer-Authentifikation beim Zugriff auf vertrauliche Daten | |
DE212015000047U1 (de) | Sichere Anmeldung ohne Passwörter | |
EP3114600B1 (de) | Sicherheitssystem mit zugriffskontrolle | |
DE10244727B4 (de) | System und Verfahren zur sicheren Datenübertragung | |
DE10124427A1 (de) | System und Verfahren für einen sicheren Vergleich eines gemeinsamen Geheimnisses von Kommunikationsgeräten | |
DE3036804A1 (de) | Sicherheitssystem zur verhinderung unerlaubter manipulationen bei der elektronischen textuebertragung in nachrichtennetzen | |
DE102017121648B3 (de) | Verfahren zum anmelden eines benutzers an einem endgerät | |
DE102017006200A1 (de) | Verfahren, Hardware und System zur dynamischen Datenübertragung an ein Blockchain Rechner Netzwerk zur Abspeicherung Persönlicher Daten um diese Teils wieder Blockweise als Grundlage zur End zu Endverschlüsselung verwendet werden um den Prozess der Datensammlung über das Datenübertragungsmodul weitere Daten in Echtzeit von Sensoreinheiten dynamisch aktualisiert werden. Die Blockmodule auf dem Blockchaindatenbanksystem sind unbegrenzt erweiterbar. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8128 | New person/name/address of the agent |
Representative=s name: SCHUMACHER & WILLSAU, PATENTANWALTSSOZIETAET, 8033 |
|
8131 | Rejection | ||
8139 | Disposal/non-payment of the annual fee |